Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 32.

Вроде kido, а вроде нет (заявка № 38210)

  1. #1
    Junior Member Репутация
    Регистрация
    25.01.2009
    Адрес
    Россий, г. Волжский
    Сообщений
    16
    Вес репутации
    29

    Exclamation Вроде kido, а вроде нет

    С флешки из своего уч. заведения принес какую-то гадость. Сразу не заметил.
    Заметил, когда увидел на всех своих флешках autorunы (дня 3 назад). Оутпост обновился, понаходил всякую гадость (к сожалению, не запоминал что и где - думал что легко обойдется) и вроде как вылечил.
    Файлы на флешках перестали создаваться.
    Но потом (и до сих пор) стал ругаться на файлы \widnows\system32\x, \windows\system32\octen.dll, \docs&setts\networkservice\tempIE\что-то\.bmp(png,jpg).
    Находит в них Trojan.Conficker.Gen!Pac.
    Успешно удаляет, но через пару минут эти файлы опять появляются.
    AVPTool в этих же файлах находит Win32.Kido.ih (или il, что-то такое, но не из тех трех что описаны на сайте Касперского). Также успешно лечит, но файлы появляются.
    Сейчас последовал инстуркции здесь, приложил логи.
    Надеюсь на Вашу помощь )

    хм... а почему у меня нету файла ...syscheck.zip ?
    есть только ...cure.zip размером под 6 Мб.
    Последний раз редактировалось voldemar; 31.01.2009 в 17:28.

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
    Наша служба, будто сердце, отдыха не знает никогда.

  4. #3
    Junior Member Репутация
    Регистрация
    25.01.2009
    Адрес
    Россий, г. Волжский
    Сообщений
    16
    Вес репутации
    29
    Вот
    Последний раз редактировалось voldemar; 31.01.2009 в 17:28.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
     DeleteService('gkchmslm');
     DeleteService('zpfwewdlc');
     RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\gkchmslm','Description');
     RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\zpfwewdlc','Description');
     RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\gkchmslm');
     RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\zpfwewdlc');
     BC_DeleteSvc('gkchmslm');
     BC_DeleteSvc('zpfwewdlc');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Повторите лог Gmer.

    Добавлено через 21 минуту

    На этом лечение не закончится!

    Добавлено через 3 минуты

    Вот еще, забыла:

    Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    Обновите базы AVZ. Логи пока делать не нужно!
    Последний раз редактировалось Aleksandra; 25.01.2009 в 15:00. Причина: Добавлено
    Наша служба, будто сердце, отдыха не знает никогда.

  6. #5
    Junior Member Репутация
    Регистрация
    25.01.2009
    Адрес
    Россий, г. Волжский
    Сообщений
    16
    Вес репутации
    29
    P.S.: оутпост все также и находит зараженные файлы
    Последний раз редактировалось voldemar; 31.01.2009 в 17:28.

  7. #6
    Junior Member Репутация
    Регистрация
    25.01.2009
    Адрес
    Россий, г. Волжский
    Сообщений
    16
    Вес репутации
    29
    Сейчас Outpost Anti-Leak стал сообщать об изменениях в svchost.exe .
    И спрашивает - разрешить измнения или нет.
    Я выбираю блокировать, но эти сообщения (т.е. и попытки изменения) появляются при любом обращении в интернет или локалку.

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782

  9. #8
    Junior Member Репутация
    Регистрация
    25.01.2009
    Адрес
    Россий, г. Волжский
    Сообщений
    16
    Вес репутации
    29
    Спасибо, конечно, но это я сделал в первую очередь.
    KidoKiller также лечит 3 файла и все.
    А они потом вновь появляются.

    P.S.: заплатка установлена

  10. #9
    Junior Member Репутация
    Регистрация
    25.01.2009
    Адрес
    Россий, г. Волжский
    Сообщений
    16
    Вес репутации
    29
    что, никто не в силах помочь?!

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Компьютер в сети?
    Установите SP3 + остальные обновления и должно отпустить : )

  12. #11
    Junior Member Репутация
    Регистрация
    25.01.2009
    Адрес
    Россий, г. Волжский
    Сообщений
    16
    Вес репутации
    29
    Что значит "+ остальные обновления"?
    Какие остальные? Все что найду что ли...

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Хотя бы все обновления безопасности
    Логи повторите

  14. #13
    Junior Member Репутация
    Регистрация
    25.01.2009
    Адрес
    Россий, г. Волжский
    Сообщений
    16
    Вес репутации
    29
    После удаления 3-х зараженных файлов
    Вложения Вложения

  15. #14
    Junior Member Репутация
    Регистрация
    25.01.2009
    Адрес
    Россий, г. Волжский
    Сообщений
    16
    Вес репутации
    29
    мда, похоже легче винду переустановить.
    жаль времени нет сейчас (

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    В этих логах нашелся:
    C:\WINDOWS\system32\octen.dll

    Скрипт сейчас будет.

    Добавлено через 13 минут

    Выполнить:
    Код:
    begin
    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
    DeleteFile('C:\WINDOWS\system32\octen.dll');
    QuarantineFile('C:\WINDOWS\system32\octen.dll','');
    
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузить карантин через http://virusinfo.info/upload_virus.php?tid=38210
    Последний раз редактировалось PavelA; 28.01.2009 в 17:14. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Карантин присылать по ссылке вверху темы. Отсюда удалить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    25.01.2009
    Адрес
    Россий, г. Волжский
    Сообщений
    16
    Вес репутации
    29
    блин, ссори, забыл!
    сначала открыло нужную ссылку, но комп перезагрузился - я по инерции уже сюда прикрепил!

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    cdykn[1].png,
    octen.dll,
    x - Net-Worm.Win32.Kido.ih

    Вот он Ваш Кидо.

    Логи надо заново сделать.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Junior Member Репутация
    Регистрация
    25.01.2009
    Адрес
    Россий, г. Волжский
    Сообщений
    16
    Вес репутации
    29
    да я в курсе )
    только зачем заново? я ж ничего не менял.

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) voldemar, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Вроде как кто живет, а вроде и нет
      От Бумбарам в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.11.2010, 19:33
    2. Вирус вроде KIDO
      От Dana в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 05.08.2009, 21:39
    3. Вроде чисто
      От vvalerya в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 15.06.2009, 03:15
    4. Kido вроде удалил
      От ober в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 07.05.2009, 13:11
    5. Вроде что-то подхватил...
      От Vidok в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.06.2008, 10:31

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00295 seconds with 23 queries