-
Junior Member
- Вес репутации
- 59
Не до конца вылечился
Добрый день!
По всей видимости, пролечил свой ПК не до конца (см. тема http://virusinfo.info/showthread.php?t=48331). После завершения лечения уже третий день следующая проблема: через 15-30 минут работы в сети ПК опять отрезается выход на все антивирусные сайты. Проверяешь AVPTool - в наличии червь Net-Worm.Win32.Kido. Удаляю тем же AVPTool или KK.exe (без разницы) - результат положительный. Однако в следующий выход червь опять обнаруживается спустя небольшое время.
Вопрос: или я не до конца удаляю вирус, или это беспрецедентная эпидемия такая?
Внешними носителями (флешки и т.п.) не пользуюсь для чистоты эксперимента, на сайты хожу разные и вполне безобидные, у знакомых такой проблемы нет.
Надеюсь на помощь.
С уважением,
Алексей
Последний раз редактировалось Alex T; 12.01.2010 в 23:45.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Kido - самоход, использует уязвимость в службе "Сервер" и реализации SMB-протокола,которые закрывают вот эти бюллетени безопасности от Майкрософт:
http://www.microsoft.com/rus/technet.../MS08-067.mspx
http://www.microsoft.com/rus/technet.../MS08-068.mspx
http://www.microsoft.com/rus/technet.../MS09-001.mspx
, либо отключение службы "сервер" . Рекомендации по лечению есть, например, тут:
http://www.kaspersky.ru/news?id=207732936
По вашим логам: программа AVZ - файл - выполнить скрипт - выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\StopHid.exe','');
BC_ImportquarantineList;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=48973 , как написано в прил.3 правил.
-
-
Junior Member
- Вес репутации
- 59
-
Файл в карантине чистый.
Прочитайте и выполните: http://virusinfo.info/showthread.php?t=43700.
В логах больше ничего плохого.
Ставьте SP3 и последующие обновления.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Спасибо, действительно в
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\wuauserv
имеется
%fystemRoot%\system32\svchost.exe -k netsvcs
Только при попытке исправить значение пишет "Не удается изменить... Ошибка при изменении параметра." Что тогда делать?
P.s. Кстати, вот такое окно при запуске windows и есть побочный продукт fystemRoot?
Последний раз редактировалось Alex T; 12.01.2010 в 23:45.
-
Проверьте разрешения на ключ реестра. Дайте себе полные права.
-
-
Сообщение от
Alex T
P.s. Кстати, вот такое окно при запуске windows и есть побочный продукт fystemRoot?
Нет, это побочный продукт отсутствия SP3 и других необходимых обновлений.
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
-