Висну по-страшному или неистребимые Net-Worm.Win32.kido.ih и Worm.Win32.AutoRun.fla
Утро понедельника. Загружаю основной рабочий компьютер - Каспер ругается на Net-Worm.Win32.kido.ih, типа нашел, удалил. Работаю дальше, точнее пытаюсь работать - комп страшно тормозил, неоткрывал подолгу файлы. Ругался на все подряд. То одно, то другое. Плюнула и пошла пить кофе, оставив Каспера выполнять полную проверку. Когда вернулась, комп перезагрузился с сообщением типа "Система восстановлена после серьозной ошибки".
Ладно думаю, пофиг. Пытаюсь работать дальше. Каспер опять руганулся на Net-Worm.Win32.kido.ih , а через какое-то время и на Worm.Win32.AutoRun.fla . После чего сообщил о специальной процедуре лечения, перезагрузился и опять двадцать пять и так раз пятнадцать, пока с него пытались достать данные другие сотрудники. Выпив еще поллитра чая попробовали полечить хотя бы kido с помощью KidoKiller 3.4.
Пошуршал, полечил... при перезагрузке та же фигня в том же количестве.
Помогите, пожалуйста.
Утро вторника.
В процессе быстрой проверки Dr.Web'ом нашелся и удалился BackDoor.IRC.Sdbot.4752
А при полной такие звери как BackDoor.IRC.Sdbot.4752 (в 12-ти файлах), Adware.Hotbar (в 2-х файлах), Win32.HLLW.Autoruner.5555 (в 5-ти файлах), Win32.HLLW.Shadow (в 1-ом файле).
После выполнения "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" и перезагрузки, компьютер выдал сообщение:
"Оборудование этого компьютера было значительно изменено с момента первой активации Windows. Из-за этих изменений необходимо повторно активировать Windows в течение 3 дней.
Выполнить повторную активацию сейчас?"
И два варианта ответа: да, нет.
Нажала соответственно "Да", ибо товарищ из айти предупреждал когда-то, что если выбрать "Нет" - комп заблокирует и уже уж точно никак не активируешь.
Активации через интернет не произошло. Ладно, пофиг, есть еще 3 дня.
Запускаю "Скрипт сбора информации для раздела "Помогите!" virusinfo.info", тут AVZ зависает напрочь. Вис, вис, вис... (Диспетчер задач кстати не отзывался). Невыдержала - перезагрузила, заодно активировав Windows.
Вновь запустила "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Проверялось, проверялось, выскочила ошибка "Generic Host Process for Win32 Services", а по завершении проверки еще и Ошибка приложения svchost.exe (типа Инструкция по адресу *** обратилась по адресу ***. Память не может быть "read").
Пока копировала важные файлы с флешки Каспер ругнулся на kido уже на другом компьютере.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
И с такой системой Вы работаете в сети? Так у Вас там уже змеи завелись, не только вирусы!!!
И пожалуйста, не надо растекаться мыслью по древу и описывать историю города Москвы от Юрия Долгорукого. Логи и короткое - в 2-х строчках описание проблемы, nothing more.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Если не Ваши IP пофиксите
После перезагрузки:
- Удалите Bonjour
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
PS 1) Каспер по 5-10-15 раз на дню блокирует атаки с разных IP-адресов, принадлежащих той же компании, что и указанные Вами выше.
2) Зверя Bonjour у меня вроде не было, или был?
3) Систему обновить лучше сейчас или когда закончим?
4) Worm.Win32.AutoRun.fla еще жив...
Последний раз редактировалось Irene; 08.04.2009 в 18:24.
После перезагрузки:
- Карантин загрузите, если там будут *.dta - файлы
- Сделайте повторные логи virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
Т.е. это не Вы прописывали? Ну они ИМО больше в логе не появились.
Что не прописывала? Куда не прописывала?
PS А отчего при проверке вылезают ошибки "Generic Host Process for Win32 Services" и "Инструкция по адресу *** обратилась по адресу ***. Память не может быть "read""?
Последний раз редактировалось Irene; 08.04.2009 в 20:12.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
А отчего при проверке вылезают ошибки "Generic Host Process for Win32 Services" и "Инструкция по адресу *** обратилась по адресу ***. Память не может быть "read""?
Устанавливалось обновление Windows, потом курс вырубился, перезагрузился, рукгулся, что обновление не до конца установилось и попросил удалить его. Удалили, перезагрузился и вот теперь ни в каком режиме (ни в безопасном, ни в прочих) грузится не желает.
Что делать?
10. Запрещены ссылки на "варез" (нелицензионные или взломанные программы, серийные номера, кряки, кейгены), а также вопросы по поиску вышеперечисленного.
Что пукт 10?) Я не оставляла ссылок на перечисленное и точно не спрашивала где это найти)
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: