Показано с 1 по 20 из 20.

Kido + Banker, а может и ещё что-то :( (заявка № 52886)

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.08.2009
    Сообщений
    8
    Вес репутации
    0

    Exclamation Kido + Banker, а может и ещё что-то :(

    Здрасте.
    Просю помочь, если только это возможно.

    Кратко обрисую ситуевину:

    Комп глюкает, тормозит и лагает. Как бы не очень сильно, но работать мешает. На сайты антивирусов и ВирусИнфо зайти не получалось, пока AVZ(полиморф) первый раз не прошолся, а НОД и до сих пор неможет обновиться

    Пугает что AVZ вовремя сканирования ругнулся красным на какой тоBanker Это както с банком связано.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    200
    Отключите восстановление системы!

    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\p2001.exe','');
     QuarantineFile('C:\WINDOWS\system32\logon.exe','');
     QuarantineFile('C:\WINDOWS\system32\dybvatzx.dll','');
     DeleteFile('C:\WINDOWS\system32\logon.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы).

    Пофиксите:
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe logon.exe
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
    Дополнительно:
    - Скачайте GMER по одной из указанных ссылок:
    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
    - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
    Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
    После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
    • Sections
    • IAT/EAT
    • Show all
    Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
    - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
    После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.08.2009
    Сообщений
    8
    Вес репутации
    0
    Карантин отправил. Лог GMER сделал. Что дальше?.

    ЗЫ. В сетке более 10 компов, на них тоже нужно проделать тоже самое или есть другие способа? И о Banker-е разъясните плиз. Это правда може както с банком быть связано и чем может грозить?
    Вложения Вложения
    • Тип файла: log GMER.log (11.5 Кб, 12 просмотров)

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    200
    Выполните следующие команды в gmer:
    Код:
    gmer.exe -del service aaulw
    gmer.exe -del file "C:\WINDOWS\system32\dybvatzx.dll"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\aaulw"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\aaulw"
    gmer.exe -reboot
    Подготовьте новый лог гмер.
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Trojan-Banker.Win32.Banker.afwk - занимается тем, что ворует пароли к клиент-банкам. Желательно их сменить.

    Другие машины в отдельные темы. Там могут быть свои звери.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.08.2009
    Сообщений
    8
    Вес репутации
    0
    Выполнил эти команды, лучшеб не выполнял, пипец полнейший
    Комп стал грузиться 7-8 минут вместо 3-4 как до лечения, а раньше, до того как вирус поймал, вообще максимум полторы минуты было.
    Сети нестало.
    Рабочий стол стал ХЗ на что пожожий - ярлыков нет, панель какбы есть, но на ней только трей и кнопка Пуск. Проги запускаются через Пуск | Все программы, но окна запущеных прог на панели не видать, а если свернуть окна то приходится маневрировать ими только через Альт + Таб, вобщем кошмар.

    Я уже человеку который меня на ваш форум направил высказал все, что на душе накипело, он правда не сильно обиделся и даже (несмотря на то что сам находится в отъзде) разрешил с его ноута продолжить с вами общаться. Говорит, тип, процесс лечения не завершон...

    Так что же, господа Харошии, мне дальше делать?!
    Последний раз редактировалось Rene-gad; 29.08.2009 в 13:44. Причина: overquoting removed

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от cherubic Посмотреть сообщение
    Выполнил эти команды, лучшеб не выполнял
    Хмм, если бы обновили систему вовремя
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    не пришлось бы команд выполнять.
    Я уже человеку который меня на ваш форум направил высказал все, что на душе накипело
    А он тут причем? Поиск виноватого в таком случае нужно всегда начинать со взгляда в зеркало.
    Говорит, тип, процесс лечения не завершон...
    Правду говорит.
    - Выполните скрипт
    Код:
    begin
    ExecuteRepair(1);
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    ExecuteRepair(11);
    ExecuteRepair(16);
    ExecuteRepair(17);
    RebootWindows(true);
    end.
    После перезагрузки сделайте новые логи по правилам и лог gmer.

  9. #8
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.08.2009
    Сообщений
    8
    Вес репутации
    0
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Хмм, если бы обновили систему вовремя
    не пришлось бы команд выполнять.
    Чего теперь рассуждать, еслиб да кабы?.
    А как насчот "не навреди"? Мне каэтся, тут этот принцип некоторые Хелперы точно игнорируют! Дал команды для выполнения и не подумал, как мне после этих команд дальше консультации получать!
    Или он и мысли не допускал что после их выполнения, Инет накроется?
    Ну тогда это говорит о его квалификации и кидает тень на репутацию всего вашего форума!
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    А он тут причем? Поиск виноватого в таком случае нужно всегда начинать со взгляда в зеркало.
    Правду говорит.
    Как причем? Я только от него и слышал о вашем форуме, так мне нахваливал, тип, там собрались спецы супер, кого попало в хелперы не берут и ваще их, тип, спец курсы какиет проходить заставляют..
    А по факту оказалось ХЗ что.
    Лишний раз убедился что бесплатный сыр бывает только в мышеловке, а ведь хотел же в Скорую компьютерную помощь обратиться, хоть и дороговато берут, зато с гарантией, а он меня по телефону битый час отговаривал и отговорил на мою голову. Ну да ладна, дествительно, сам виноват, поддался на уговоры
    А куда деваться? И выполню и логи сделаю, но только не раньше чем в понедельник.
    Надеюсь после этого ниче больше не отвалится?
    Последний раз редактировалось Rene-gad; 30.08.2009 в 19:40. Причина: overquoting removed

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от cherubic Посмотреть сообщение
    А как насчот "не навреди"? Мне каэтся, тут этот принцип некоторые Хелперы точно игнорируют!
    Это не так . Просто логи - это как айсберг - 1/7 видно, 6/7 нет. Может что-то и накрылось в процессе.
    Кроме того - Вы можете сами увидеть, что конкретно делает скрипт (если посмотрите его, конечно). Скрипты, которые Вы получили и выполнили, написаны без ошибок и должны были удалить зловредные файлы, драйверы и записи в реестре.
    Ну тогда это говорит о его квалификации и кидает тень на репутацию всего вашего форума!
    Вы нас с Гарри Поттером не путаете часом? Мы колдовать не умеем и полного выздоровления не гарантируем, тем более - при запущенных случаях.
    Лишний раз убедился что бесплатный сыр бывает только в мышеловке
    А сколько нужно раз, наступить на грабли, чтобы убедиться, что они больно бъют?
    хотел же в Скорую компьютерную помощь обратиться, хоть и дороговато берут, зато с гарантией
    Если Вам дают ГАРАНТИЮ в лечении системы - за деньги или бесплатно - то просто не верьте.
    ГАРАНТИЮ дает только переустановка системы в чистый раздел с установкой в оффлайне всех Сервис Паков.
    В этом случае можно - до первого подключения в сеть - говорить о ГАРАНТИРОВАННО ЧИСТОЙ системе.
    И выполню и логи сделаю, но только не раньше чем в понедельник.
    Да уж как и когда Вам угодно будет.

  11. #10
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.08.2009
    Сообщений
    8
    Вес репутации
    0
    Скрипт выполнил. Поведение системы не изменилось, все также тормозит и сети нет, но окна уже сварачиваются вниз рабочего стола, над панелью, а не кудато под нее, как было ранее.
    Заметил новую лажу, не получается копировать текст из одного окна в другое, например, текст скрипта с браузера в AVZ. В браузере выделяю скрипт копирую через правую клавишу мыши, перехожу в AVZ опять жму на правою кнопку мышки, чтоб вставить, а меню не активно. Пришлось набирать скрипт пальцАми
    Да в проводнике тоже самое, файлы не копируются из директории в директорию, ни мышкой ни с клавы

    ЗЫ. Стал глючить НОД32, может эта изза него так тормозит Винда? Хотел его снести, но нигде не нашел деинсталятара, может както руками его можно выковырять, не подскажете как?
    Хотел установить СП-3 с диска, с этого диска многие знакомые его устанавливали, а у меня не захотело, пишет, тип, не запущена служба. Хотел запустить ее, а фиг вам, пишет: Ошибка 2: Не удалось найти указанный файл. Таких не запускаемых служб много, и хотя в свойства всех стоит Авто, они при перезагрузке все равно не работают.
    Вобщем Ж полнейшая. Я уже и на переустановку согласилсяб, так установочный диск не видет жестких дисков, приятель говорит, нужны дрова для контролера, но уменя их нет, а где взять не знаю, у кого не спрошу - ни у кого нет.

    ЗЫЗЫ. Пока ждал завершения сканирования, созвонился с приятелем, который ваш форум рекомендовал. Так вот, он считает что причина всех глюк в том что был поврежден или удален svchost.exe. Грит, чтоб я на это обратил внимание хелперов, тип, подскажут как восстановить.
    Прошу прощения за красный цвет, эт я так ваше внимание привлекаю
    Вложения Вложения

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от cherubic Посмотреть сообщение
    причина всех глюк в том что был поврежден или удален svchost.exe.
    Если Вы вытащите из автомобиля мотор - автомобиль никак не поедет, если Вы удалите из ПК svchost.exe - ПК никак не запустится. Я понятно излагаю?
    Он может быть поврежден или заражен - это правда.
    Файл svchost.exe - пришлите по правилам (приложение 2 и 3).

    Пока суд да дело:
    - Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
    При этом все системные файлы будут заменены, может и Ваша проблема решится.

  13. #12
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.08.2009
    Сообщений
    8
    Вес репутации
    0
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Если Вы вытащите из автомобиля мотор - автомобиль никак не поедет, если Вы удалите из ПК svchost.exe - ПК никак не запустится. Я понятно излагаю?
    Он может быть поврежден или заражен - это правда.
    Файл svchost.exe - пришлите по правилам (приложение 2 и 3).
    Обязательно пришлю, как токо снова буду возле болящего компа

    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Пока суд да дело:
    - Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
    При этом все системные файлы будут заменены, может и Ваша проблема решится.
    Я бы рад, так не ставится, я ж уже писал
    Хотел установить СП-3 с диска, с этого диска многие знакомые его устанавливали, а у меня не захотело, пишет, тип, не запущена служба. Хотел запустить ее, а фиг вам, пишет: Ошибка 2: Не удалось найти указанный файл. Таких не запускаемых служб много, и хотя в свойства всех стоит Авто, они при перезагрузке все равно не работают.
    После обеда буду опять звонить Платову в Ебипет, может что дельное посоветует, а то вам видно некогда вникать, я вижу у вас тут работы хватает и без меня
    Если будут положительные сдвиги напишу, мож комту пригодится.
    И спасиб что не отказали...

    ЗЫ А как на счет НОДа, можно его както выдрать из ситемы?
    Последний раз редактировалось cherubic; 31.08.2009 в 11:53.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от cherubic Посмотреть сообщение
    Хотел установить СП-3 с диска, с этого диска многие знакомые его устанавливали
    А что за диск такой? Скачайте сетап по ссылке в моей подписи.

    Добавлено через 2 минуты

    Цитата Сообщение от cherubic Посмотреть сообщение
    вам видно некогда вникать
    Почему Вы так решили? Пришлете svchosts- проверим его, может он патченный. Можете заменить его из дистрибутива или с любой аналогичний системы. Подробности тут: http://virusinfo.info/showthread.php?t=51654
    Последний раз редактировалось Rene-gad; 31.08.2009 в 13:19. Причина: Добавлено

  15. #14
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.08.2009
    Сообщений
    8
    Вес репутации
    0
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    А что за диск такой?
    WindowsXP-KB936929-SP3-x86-RUS, на сколько мне известно официальный скачаный с сайта MS

    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Пришлете svchosts- проверим его, может он патченный. Можете заменить его из дистрибутива или с любой аналогичний системы. Подробности тут: http://virusinfo.info/showthread.php?t=51654
    Прислать тот самый svchosts уже не получится, там где он должен был бы быть его не оказалось, зато я его нашол в какойто с папок с названием начинающимся с $MS, тупо скопировал в system32 перезагрузил и система ожила, и сеть, и тормоза пропали.
    Осталась только одна проблема, как снести НОД32. Может что присоветуете? А то каждый раз звонить Платову накладно, он сейчас в Египте.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от cherubic Посмотреть сообщение
    Осталась только одна проблема, как снести НОД32. .
    А через установку/удаление программ - никак? Попробуйте накатать ту же версию повторно. Тогда должны появиться файлы типа uninstall.exe

  17. #16
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2147
    cherubic, приносим свои извинения за непростую ситуацию, в которой Вы оказались по вине вируса Kido. Он заменил собой файл svchost.exe и работал под именем logon.exe. Неосторожное удаление этого файла привело к тем печальным последствиям, из которых Вы с честью выбрались.

    Рекомендую Вам ознакомиться с алгоритмом гарантированного удаления этого вируса:
    http://support.kaspersky.ru/wks6mp3/error?qid=208636215

  18. #17
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.08.2009
    Сообщений
    8
    Вес репутации
    0
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    А через установку/удаление программ - никак? Попробуйте накатать ту же версию повторно. Тогда должны появиться файлы типа uninstall.exe
    Повторно не получается! Грит, тип, у вас уже установлен, если есть проблемы обратитесь к админу.

    Цитата Сообщение от DVi Посмотреть сообщение
    cherubic, приносим свои извинения за непростую ситуацию, в которой Вы оказались по вине вируса Kido. Он заменил собой файл svchost.exe и работал под именем logon.exe. Неосторожное удаление этого файла привело к тем печальным последствиям, из которых Вы с честью выбрались.

    Рекомендую Вам ознакомиться с алгоритмом гарантированного удаления этого вируса:
    http://support.kaspersky.ru/wks6mp3/error?qid=208636215
    Извинения принимаются, хоть я и не понял, в какое отношение вы имеете к этому вирусу, что извиняетесь за его действия

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Цитата Сообщение от cherubic Посмотреть сообщение
    в какое отношение вы имеете к этому вирусу, что извиняетесь за его действия
    извиняемся не за вирус, а за не корректное лечение.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от cherubic Посмотреть сообщение
    Грит, тип, у вас уже установлен, если есть проблемы обратитесь к админу.
    К админу обращаться смысла не имеет, тем более он в Египте , а вот в техподдержку ЕСЕТ ИМО нужно.

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,508
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\logon.exe - Worm.Win32.Agent.xt ( DrWEB: Win32.HLLW.Autoruner.6865, BitDefender: Worm.Generic.80558, NOD32: Win32/AutoRun.FakeAlert.CS worm, AVAST4: Win32:Walivun [Trj] )


  • Уважаемый(ая) cherubic, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. антивирь не может удалить trojanDropper, kido и т.д.
      От persey02 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 17.04.2011, 00:40
    2. help with Trj/Banker.MGF
      От CyberHelper в разделе Malware Removal Service
      Ответов: 0
      Последнее сообщение: 13.05.2010, 22:36
    3. Trojan-Banker.Win32.Banker.aniu
      От fabio_yoko в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 10.10.2009, 01:13
    4. Ответов: 6
      Последнее сообщение: 14.08.2009, 10:45
    5. Может вирус, а может руки кривые. Помогите
      От Badhisatva в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 17.06.2007, 22:57

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00031 seconds with 24 queries