Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

Вирус Net-Worm.Win32.Kido.ih [Trojan.Win32.Pakes.oft ] (заявка № 37220)

  1. #1
    Junior Member Репутация
    Регистрация
    12.01.2009
    Сообщений
    19
    Вес репутации
    29

    Question Вирус Net-Worm.Win32.Kido.ih [Trojan.Win32.Pakes.oft ]

    Не так давно, делая полную проверку на компьютере KAV 8.0.0.454 09/01/2009 был обнаружен следующий вирус Net-Worm.Win32.Kido.ih . Его лечение или просто удаление оказалось невозможным. Причина: отсутствие права на запись. Поискал на ВирусЛисте информацию о нем, но ничего не нашел. Лишь вчера наткнулся на статью о нем http://forum.kaspersky.com/index.php?showtopic=99451 . Пока ничего не заметил, но подозрительным стало то, что у меня автоматически включается/выключается обновление системы, хотя я его отключаю, автоматически включается/выключается Брандмауэр Windows. После этого заметил еще одну вещь, но я не знаю - относится ли это к данному вирусу. В процессах avp.exe стал отображаться 2 раза. Один в использовании память варьируется в пределе 342***KB, другой является постоянным и использует 12252KB. Причем только одна из них отображается в трее. Выключить оба процесса можно только путем выхода из самой программы. По отдельности завершение процессов не идет. Так же в автозапуске отображаются эти 2 процесса. Отключение их так же невозможно. При поставленной галочке - KAV запускается в самом начале при загрузке Windows. При отключенной (но в последующем она ставится сама собой) загрузка происходит после загрузки всех приложений и очень тормозит систему при запуске операционки.
    Еще один момент. Похоже этот самый вирус заметил только полный антивирус KAV. При проверке утилитой Kaspersky Virus Removal Tool ничего обнаружено не было. А так же при проверке AVZ и Dr. Web CureIt.

    hijackthis.log

    virusinfo_syscure.zip

    virusinfo_syscheck.zip

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    вот в этом файле что лежит:
    C:\autorun.inf?

    avp и должен отображаться два раза.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    12.01.2009
    Сообщений
    19
    Вес репутации
    29
    Цитата Сообщение от PavelA Посмотреть сообщение
    вот в этом файле что лежит:
    C:\autorun.inf?

    avp и должен отображаться два раза.
    а как посмотреть?

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    При помощи "блокнота" открыть и содержимое скопировать и прислать сюда.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    12.01.2009
    Сообщений
    19
    Вес репутации
    29
    Цитата Сообщение от PavelA Посмотреть сообщение
    При помощи "блокнота" открыть и содержимое скопировать и прислать сюда.
    проблема в том что этот файл не отображается // и не является скрытым

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Карантин загрузите через http://virusinfo.info/upload_virus.php?tid=37220
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    12.01.2009
    Сообщений
    19
    Вес репутации
    29
    Хм. Обнаружено вирус Net-Worm.Win32.Kido.ih C:\WINDOWS\system32\olnljgg.dll//PE_Patch.UPX//UPX
    Захожу по адресу - такого dll там нет

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Это кто сказал а/вирус? Он и удалил эту бяку. Странно, но в логах я ее не заметил.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    12.01.2009
    Сообщений
    19
    Вес репутации
    29
    Тогда почему выводит Обнаружено вредоносное ПО и в событиях Тип: Вирус -указывает на него.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Карантина Вашего не вижу.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    12.01.2009
    Сообщений
    19
    Вес репутации
    29
    Цитата Сообщение от priMary Посмотреть сообщение
    проблема в том что этот файл не отображается // и не является скрытым
    хм... оказывается я все-таки не могу просматривать скрытые файлы. В свойствах папки ставлю нужную точку но она снова переключается на неотображение. Такое же поведение как и с выгрузкой avp из автозагрузки. Думаю это как раз из-за этого вируса.

    следует что я не могу ни autorun.inf посмотреть ни послать в карантин этот olnljgg.dll . Ищу его через поиск а он мне выдает, мол нельзя его удалить.

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\autorun.inf');
     DeleteFile('C:\WINDOWS\system32\olnljgg.dll');
     DeleteFileMask('%tmp% ','*.* ',true );     
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи...

  14. #13
    Junior Member Репутация
    Регистрация
    12.01.2009
    Сообщений
    19
    Вес репутации
    29
    Выполнение скрипта прошло успешно. Windows еле-еле загрузился. KAV все равно указывает на наличие этого dll. Сейчас выложу логи

  15. #14
    Junior Member Репутация
    Регистрация
    12.01.2009
    Сообщений
    19
    Вес репутации
    29

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    Логи нужны из обычного режима...

  17. #16
    Junior Member Репутация
    Регистрация
    12.01.2009
    Сообщений
    19
    Вес репутации
    29
    Моя ошибка. Лог syscure из безопасного. Остальное из обычного. Переделывать все логи заного или только этот?

  18. #17
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    Только syscure...

  19. #18
    Junior Member Репутация
    Регистрация
    12.01.2009
    Сообщений
    19
    Вес репутации
    29
    Готово

    virusinfo_syscure.zip

  20. #19
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    В логах его нет, у вас заплатка эта стоит?
    http://www.microsoft.com/technet/sec.../MS08-067.mspx

  21. #20
    Junior Member Репутация
    Регистрация
    12.01.2009
    Сообщений
    19
    Вес репутации
    29
    данная заплатка не ставится - конфликт языка самой заплатки с системой. Ставил Language как Russian так и English

    Добавлено через 36 минут

    Готово.
    Хм. Ставится скачанной только через WindowsUpdate через IE.

    Добавлено через 7 часов 49 минут

    в KAV'е На карантине вирус Net-Worm.Win32.Kido.ih C:\WINDOWS\system32\olnljgg.dll//PE_Patch.UPX//UPX
    а еще стал время от времени то удаляться то появляться в карантине просто Net-Worm.Win32.Kido.ih C:\WINDOWS\system32\olnljgg.dll
    Это нормально?
    Последний раз редактировалось priMary; 13.01.2009 в 08:24. Причина: Добавлено

  • Уважаемый(ая) priMary, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. net win32 worm kido.ih помогите вылечить вирус
      От nikitakls в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 04.01.2010, 22:36
    2. вирус Net-Worm.Win32.Kido.ih
      От inversion в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.07.2009, 02:23
    3. Вирус Net-Worm.Win32.Kido.ih
      От Месроп в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.04.2009, 15:35
    4. Возможно вирус Net-Worm.Win32.Kido
      От webdor в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 16.01.2009, 15:54
    5. Замучил вирус net-worm.win32.kido.ih
      От James026 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 13.01.2009, 21:01

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01091 seconds with 21 queries