На машине обнаружен вирус kido (как надоело повторять одно и то же =). Кидокиллер удалил его, после этого KAV ничего не находит, утилита от dr.web тоже... Осталась проблема с неотображением скрытых, а avz находит вирус в файле d:\autorun.inf....
На машине обнаружен вирус kido (как надоело повторять одно и то же =). Кидокиллер удалил его, после этого KAV ничего не находит, утилита от dr.web тоже... Осталась проблема с неотображением скрытых, а avz находит вирус в файле d:\autorun.inf....
[LEFT]Да будут уничтожены все зловреды на нашей планете! Если я туплю - не напрягайтесь, я только учусь =)[/LEFT]
1. Пофиксите в HiJackThis:
2. Удалите со всех дисков autorun.inf -сам по себе файл малоопасен, он просто вызывал у Вас автоматическое заражение Kido.Код:O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
Желательно отключить автозапуск, таким образом предотвращая заражение от этого типа вирусов. Для этого скопируйте текст ниже в Блокнот:
Сохраните текст как 1.reg, а затем дважды кликните на нём. Внесение информации в реестр - разрешите.Код:Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom] "AutoRun"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff "NoDriveAutoRun"=dword:000000ff [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files] "*.*"="" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ShellHWDetection\] "Start"=dword:00000004 [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDriveTypeAutoRun"=dword:000000FF "NoDriveAutoRun"=dword:000000ff [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files] "*.*"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist"
Учтите, что после выполнения этих действий отключится автозапуск, и Вам придётся впредь открывать носители и запускать автозапускаемые диски самостоятельно.
3. Я Вам уже говорил - установите все последние обновления, включая SP3! Если Вы этого не сделаете, а все заражённые компьютеры в единой сети, то последовательно удаляя Kido мы занимаемся ерундой, поскольку без обновлений заражение повторяется из сети.
Я, кстати, после того, как сделал логи, отключил автозапуск вот так:
Отключение всего, кроме CD:
procedure DisableAutorun;
begin
// Блокировка автозапуска (0x1 + 0x4 + 0x8 + 0x10 + 0x40 + 0x80 - отключили все типа, кроме CD)
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Win dows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
// Блокировка автозапуска (0x4) - заблокировали автозапуск на C:
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Win dows\CurrentVersion\Policies\Explorer','NoDriveAut oRun', 4);
end;
begin
DisableAutorun;
end.
Отключение автозапуска с CD:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun ', 0);
RebootWindows(true);
end.
Нужно ли создавать reg-файл и вносить изменения в реестр или достаточно того, что я сделал?
И по поводу скрытых файлов - они сами должны начать отображаться после того, как я пофиксю и удалю автораны или что-то нужно будет делать? Как это сделать при помощи avz?
[LEFT]Да будут уничтожены все зловреды на нашей планете! Если я туплю - не напрягайтесь, я только учусь =)[/LEFT]
Внесите изменения в реестр, они не повредят.
Вы через Проводник-Сервис-Свойства папки-Вид пытались включить скрытые файлы? Не помогает?
Окей... А с помощью этого reg-файла можно отключить автозапуск на всех машинах?
Скрытые именно так и пробовал открыть... Не помогло =(
[LEFT]Да будут уничтожены все зловреды на нашей планете! Если я туплю - не напрягайтесь, я только учусь =)[/LEFT]
В AVZ файл -- восст системы -- п.6,8 отметить и выполнить.
Далее провериться на тему скрытых файлов.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
С помощью указанного выше reg-файла ожно отключить автозапуск на всех машинах.
Спасибо
Лечение закончил, все нормализовалось... Полечил и все оставшиеся машины, включая сервер... KidoKiller - хорошая штука! Спасибо за помощь!
Последний раз редактировалось Rene-gad; 01.08.2009 в 13:41.
[LEFT]Да будут уничтожены все зловреды на нашей планете! Если я туплю - не напрягайтесь, я только учусь =)[/LEFT]
См. пост № 4 и 6
[LEFT]Да будут уничтожены все зловреды на нашей планете! Если я туплю - не напрягайтесь, я только учусь =)[/LEFT]
Уважаемый(ая) martynmartan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.