-
Junior Member
- Вес репутации
- 52
Есть подозрение на Kido, не обновляются базы антивируса, закрыт доступ к некоторым сайтам, тормозит комп.
Здравствуйте! Бьюсь неделю над очисткой машины, перепробовал разные утилиты - ни одна не видит вирус... 2 недели назад начал тормозить компьютер и интернет. Сначала подумал на память - поставил недавно 2Гб, затем на IE - поставил FireFox, проблема осталась. ОС - Windows XP SP2 с дополнениями по безопасности. Дома стоял Стрим-Антивирус от F-Secure без проверки входящего трафика :-( вот и подцепил кучу всего, сам виноват. Комп тормозит, нет доступа к антивирусным и некоторым другим сайтам, периодически мелькает (обновляется) рабочий стол, иногда самопроизвольно перезагружается Винда, идёт левый трафик (не успел пока проверить куда именно).
Сначала запустил AVZ, который ничего особенного не нашёл, но зато в это время мой антивир нашёл и почистил W32/Bagle.SR. Не помогло. Начал разбираться что к чему, проверил машину Dr. Web CureIt и AVP Tool. CureIt нашёл и вылечил Trojan.Packed.20032. Больше ничего на компьютере "интересного" ни один антивир не обнаружил.
Проверил комп на сайте группы по борьбе с Кидо - показало наличие вируса типа А/В. Начал бороться. Установил обновления для винды KB921883, KB885250, KB923414, KB957097, KB958644, KB958687. Закрыл 445 порт. В реестре нашёл ветку netsvc, как верный признак Кидо - удалил. К сожалению, я поторопился, т.к. только после прочитал, что нужно было открыть полный доступ к этой ветке, посмотреть скрытый путь к dll вируса и удалить файл. В итоге этого я не сделал. Странно то, что в службе Svchosts в разделе netsvc никаких левых процессов не было указано, дважды проверял. Потом прочитал, что такое возможно, если комп заражён Kido.Х (или D). Сейчас он набирает обороты, т.к. стал более хитро прятаться и в реестре и в системе. Проверил утилитой от MS - kb890830. Прогонял и проверял машину разными прогами: Gmer, kk, klwk, OSAM, antikido, RootkitRevealer, mbam, ComboFix, Anti-kido, anti-Downadup, dcleaner - ничего не нашёл... Но проблема осталась... Да, все проги в основном скачивал через анонимайзеры.
Прошу помочь мне, т.к. единственная надежда осталась на AVZ и вашу помощь. Заранее благодарен.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
С ComboFix надо быть осторожнее. Логи остались от работы этой проги?
Выполните скрипт:
Код:
begin
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
Компьютер перезагрузится.
Поставьте SP3+ все обновы (может потребоваться активация). Логи повторите. О проблемах отпишитесь.
-
-
Junior Member
- Вес репутации
- 52
Спасибо!
Скрипт выполнил, сайты открываются нормально. Хотел уточнить, что скрипт перегрузил в системе? Что касается поведения машины - передёргивание рабочего стола осталось, левый трафик идёт, более того, прежде чем загружается нужная страница - периодически идёт сначала обращение к разным левым адресам в фоновом режиме, причём зайти на них я не могу - пробовал.
Кроме того, как быть с netsvc? Раздел в реестре был создан. AVZ определяло и определяет неизвестных перехватчиков, то spni.sys, то другую какую-то, а в последнем сканировании spkp.sys. Причём имена меняются... Кстати, я не нахожу на винте эти файлы, хотя открыл через реестр скрытые системные файлы Винды. Никаких dll, exe, sys файлов, непонятных мне, на винте я тоже не нашёл.
И ещё, насколько я уже понял, запись типа:
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89F0E1F8 -> перехватчик не определен
в AVZ может ещё означать, что комп заражён файловым вирусом?
-
Сообщение от
Rhett
Раздел в реестре был создан. AVZ определяло и определяет неизвестных перехватчиков, то spni.sys, то другую какую-то, а в последнем сканировании spkp.sys.
Это от DAEMON Tools
Сделайте лог MBAM
Добавлено через 32 минуты
Надо проверить некоторые файлы, выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\wscntfy.exe',' ');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Последний раз редактировалось Шапельский Александр; 07.05.2010 в 23:53.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 52
Делал сканирование 4-го. MBAM Нашёл один и удалил файл:
Зараженные файлы:
C:\Documents and Settings\NetworkService\Application Data\fvgqad.dat (Malware.Trace) -> Quarantined and deleted successfully.
Лог ComboFix прилагаю. Свежий лог быстрого сканирования MBAM тоже - чисто. Полное сканирование нужно?
DAEMON Tools я удалил, но видимо не на 100%. А окончательно можно убрать? На будущее, чтобы уметь...
Файл закачал, из наблюдений за машиной - мышь уводит время от времени в разные стороны.
Последний раз редактировалось Rhett; 08.05.2010 в 00:04.
-
Junior Member
- Вес репутации
- 52
Как добавление. Один из первых сканов HiJacka нашёл какой-то файл в реестре userini.exe (без T на конце). Сам файл я не увидел, но ветка в реестре была - её я удалил и попробовал зафиксить на всякий случай этот файл через HiJack. Старый лог от 29.04 прилагаю.
Кстати, gmer под своим именем не запускался - приходилось переименовывать, так же как и HiJack и ещё пару программ.
Последний раз редактировалось Rhett; 08.05.2010 в 09:03.
-
http://virusinfo.info/showpost.php?p=633784&postcount=2 - после этого сообщения логи AVZ надо было повторить. Да, и лог Хиджака тоже.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Я понял, спасибо, повторю логи после SP3.
Последний раз редактировалось Rhett; 08.05.2010 в 15:20.
-
Сразу после SP3 выполните в AVZ скрипт из файла ScanVuln.txt.
Пройдитесь по ссылкам из файла avz_log.txt из под-папки log и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
-