Printable View
В локалке гуляет Kido разных версий, у себя вроде бы все убил, но есть подозрения, что что-то осталось. К стандартным сканам avz добавились перехваты в kernel, постоянно в исключения брандмауэра ставится служба mwqpaj и открывается порт 2832. Потестил систему антируткитами, но ничего не нашел. Посмотрите пжл логи...
выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\qszny.dll','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\okna.exe','');
QuarantineFile('\??\C:\WINDOWS\system32\drivers\oreans32.sys','');
QuarantineFile('c:\windows\3ddesk~1.scr','');
DeleteFile('\??\C:\WINDOWS\system32\drivers\oreans32.sys');
DeleteFile('C:\WINDOWS\okna.exe');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\qszny.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить карантин.
Прислать новые логи.
Спасибо, помогло:
1) qszny.dll - Kido.cu (странно, что каспер с базами от 13.01.2009 его не находил, хотя в базах он с 02.01.2009) - удалил все стало норм...
2) остальное не удалял, т.к. это нормальные проги (winlogon и okna, сам ставил, просто названия поменял); oreans32.sys - дровина от темиды; 3ddesk~1.scr - нормальная заставка, просто ключ немного нестандартный)
Также поставил заплатки от MS, теперь все норм...
Временные файлы почистите.
Все-таки сделайте новые логи.
В темпорери я его еще 13.01. удалил ("у себя вроде бы все убил" - 1-й пост). А вот файл в систем после вашего совета, хотя каспер с базами от 13.01 и klwk его там не находили...
Все норм ("левые" порты не открываются, исключения в брандмауэр не добавляются), спасибо вообщем еще раз (логи сделаю конечно, если опять чего-нибудь "поймаю" :)
Мы не уверены, пока не увидим логов по Правилам.
З.Ы. Хотя они не все показывают.