-
Junior Member
- Вес репутации
- 56
Вирус Net-Worm.Win32.Kido.ih [Trojan.Win32.Pakes.oft
]
Не так давно, делая полную проверку на компьютере KAV 8.0.0.454 09/01/2009 был обнаружен следующий вирус Net-Worm.Win32.Kido.ih . Его лечение или просто удаление оказалось невозможным. Причина: отсутствие права на запись. Поискал на ВирусЛисте информацию о нем, но ничего не нашел. Лишь вчера наткнулся на статью о нем http://forum.kaspersky.com/index.php?showtopic=99451 . Пока ничего не заметил, но подозрительным стало то, что у меня автоматически включается/выключается обновление системы, хотя я его отключаю, автоматически включается/выключается Брандмауэр Windows. После этого заметил еще одну вещь, но я не знаю - относится ли это к данному вирусу. В процессах avp.exe стал отображаться 2 раза. Один в использовании память варьируется в пределе 342***KB, другой является постоянным и использует 12252KB. Причем только одна из них отображается в трее. Выключить оба процесса можно только путем выхода из самой программы. По отдельности завершение процессов не идет. Так же в автозапуске отображаются эти 2 процесса. Отключение их так же невозможно. При поставленной галочке - KAV запускается в самом начале при загрузке Windows. При отключенной (но в последующем она ставится сама собой) загрузка происходит после загрузки всех приложений и очень тормозит систему при запуске операционки.
Еще один момент. Похоже этот самый вирус заметил только полный антивирус KAV. При проверке утилитой Kaspersky Virus Removal Tool ничего обнаружено не было. А так же при проверке AVZ и Dr. Web CureIt.
hijackthis.log
virusinfo_syscure.zip
virusinfo_syscheck.zip
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
вот в этом файле что лежит:
C:\autorun.inf?
avp и должен отображаться два раза.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 56
Сообщение от
PavelA
вот в этом файле что лежит:
C:\autorun.inf?
avp и должен отображаться два раза.
а как посмотреть?
-
При помощи "блокнота" открыть и содержимое скопировать и прислать сюда.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 56
Сообщение от
PavelA
При помощи "блокнота" открыть и содержимое скопировать и прислать сюда.
проблема в том что этот файл не отображается // и не является скрытым
-
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 56
Хм. Обнаружено вирус Net-Worm.Win32.Kido.ih C:\WINDOWS\system32\olnljgg.dll//PE_Patch.UPX//UPX
Захожу по адресу - такого dll там нет
-
Это кто сказал а/вирус? Он и удалил эту бяку. Странно, но в логах я ее не заметил.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 56
Тогда почему выводит Обнаружено вредоносное ПО и в событиях Тип: Вирус -указывает на него.
-
Карантина Вашего не вижу.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 56
Сообщение от
priMary
проблема в том что этот файл не отображается // и не является скрытым
хм... оказывается я все-таки не могу просматривать скрытые файлы. В свойствах папки ставлю нужную точку но она снова переключается на неотображение. Такое же поведение как и с выгрузкой avp из автозагрузки. Думаю это как раз из-за этого вируса.
следует что я не могу ни autorun.inf посмотреть ни послать в карантин этот olnljgg.dll . Ищу его через поиск а он мне выдает, мол нельзя его удалить.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\olnljgg.dll');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите логи...
-
-
Junior Member
- Вес репутации
- 56
Выполнение скрипта прошло успешно. Windows еле-еле загрузился. KAV все равно указывает на наличие этого dll. Сейчас выложу логи
-
Junior Member
- Вес репутации
- 56
-
Логи нужны из обычного режима...
-
-
Junior Member
- Вес репутации
- 56
Моя ошибка. Лог syscure из безопасного. Остальное из обычного. Переделывать все логи заного или только этот?
-
-
-
Junior Member
- Вес репутации
- 56
-
-
-
Junior Member
- Вес репутации
- 56
данная заплатка не ставится - конфликт языка самой заплатки с системой. Ставил Language как Russian так и English
Добавлено через 36 минут
Готово.
Хм. Ставится скачанной только через WindowsUpdate через IE.
Добавлено через 7 часов 49 минут
в KAV'е На карантине вирус Net-Worm.Win32.Kido.ih C:\WINDOWS\system32\olnljgg.dll//PE_Patch.UPX//UPX
а еще стал время от времени то удаляться то появляться в карантине просто Net-Worm.Win32.Kido.ih C:\WINDOWS\system32\olnljgg.dll
Это нормально?
Последний раз редактировалось priMary; 13.01.2009 в 08:24.
Причина: Добавлено