Помогите убить Kido.xx

[~killer~]

Здравствуйте Господа хелперы! Прошу Вас помочь убить гадость под названием Kido. Появляется снова и снова после перезагрузки.
Выкладываю лог

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\WINDOWS\system32\drivers\pmxdrv.sys','');
 QuarantineFile('C:\WINDOWS\system32\io02.sys','');
end.

Пришлите карантин согласно приложению 3 правил.

[~killer~]

Карантин выслал

[AndreyKa]

Карантин выслал

Вредоносный код в файлах не обнаружен.

Установите обновления безопасности на Windows.

[~killer~]

Восстановление Системы обратно надо включить?

[AndreyKa]

Как хотите.

[Aleksandra]

Пока для контроля сделайте такой лог http://virusinfo.info/showthread.php?t=40118

[~killer~]

Выкладываю Лог

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('pwbojoyxg');
 QuarantineFile('C:\WINDOWS\system32\jtcrmv.dll','');
 DeleteFile('C:\WINDOWS\system32\jtcrmv.dll');
 RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\pwbojoyxg','Description');
 RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\pwbojoyxg');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('pwbojoyxg');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=45919

3. Скачайте IceSword. Запустите, слева внизу нажмите Registry, затем найдите ветку:

HKLM\SYSTEM\CurrentControlSet\Services\pwbojoyxg

и удалите все ключи с pwbojoyxg...

Тоже самое на

HKLM\SYSTEM\ControlSet001\Services\pwbojoyxg
HKLM\SYSTEM\ControlSet002\Services\pwbojoyxg
HKLM\SYSTEM\ControlSet003\Services\pwbojoyxg
HKLM\SYSTEM\ControlSet005\Services\pwbojoyxg

4. Повторите лог Gmer.

Как искать и удалять ключи реестра с помощью IceSword http://virusinfo.info/showthread.php?t=39413

Поиск по

pwbojoyxg

Вам в помощь.

[~killer~]

IceSword пишет finished searching но ветку эту не находит

[Aleksandra]

Что-то делаете не так.

[~killer~]

Выслал карантин
Удалил все ключи из ветки
Выкладываю лог

[~killer~]

Выслал карантин
Удалил все ключи из ветки
Выкладываю лог

[Aleksandra]

Вы справились!

Ничего зловредного в логах нет.

O17 - HKLM\System\CCS\Services\Tcpip\..\{C47C16D3-BC31-4381-98C4-4469C067B2B7}: NameServer = 217.172.16.8 217.172.17.1

Эти адреса Вам известны? Если нет, то их необходимо пофиксить.

Добавлено через 2 минуты

Выполните эту инструкцию http://virusinfo.info/showthread.php?t=3519 и загрузите полученный карантин через форму http://virusinfo.info/index.php?page=uploadclean После его загрузки продублируйте имя и MD5 файла, который выдаст форма приема карантинов.

Добавлено через 1 минуту

Также необходимо установить все доступные обновления системы.

[~killer~]

Известны, это адресса шлюзов моего провайдера
Всё равно загружать карантин?

[Aleksandra]

Известны, это адресса шлюзов моего провайдера

Хорошо.

Всё равно загружать карантин?

Да, файлы нужны для пополнения базы безопасных. Если есть возможность, то желательно.

[~killer~]

Всё выполнил.
Спасибо за помощь!

[Aleksandra]

Ответ http://virusinfo.info/showpost.php?p...postcount=1191

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 4
• В ходе лечения вредоносные программы в карантинах не обнаружены