Printable View
Здрасти! Помогите, пожалуйста с удалением вируса kido.ih, который залазит на все флэшки и после этого флэшки перестают открываться! Только после форматирования все становится окей! KAV6 на компе ничего не находит, cureit от Вэба и средство уданения вредоносов от MS тоже! Скрытые файлы и папки не отображаются!
KIS8 на флэшке удаляет Net-Worm.Win32.Kido.ih в файле "флэшка":\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
Заранее благодарен!
[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\051.tmp');
DeleteFile('C:\WINDOWS\system32\01C.tmp');
DeleteFile('C:\WINDOWS\system32\05A.tmp');
QuarantineFile('C:\WINDOWS\system32\mhkddd.dll','');
DeleteFile('C:\WINDOWS\system32\mhkddd.dll');
BC_ImportAll;
BC_DeleteSvc('uiebvaogv');
BC_DeleteSvc('lyntqqplz');
BC_DeleteSvc('akqzhwvk');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=41273"]http://virusinfo.info/upload_virus.php?tid=41273[/URL].
желательно всё, что написано ниже делать при отключенной сети.
1.Отключаем автозапуск с флешек (В разделе "Чаво" написано как).
2.Ставим надёжный пароль на учётку Администратора.
3.Лечимся, как написано тут [URL="http://support.kaspersky.ru/faq/?qid=208636215"]http://support.kaspersky.ru/faq/?qid=208636215[/URL].
4.[URL="http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Устанавливаем SP3[/URL] (может потребоваться активация) + последующие обновления (это обязательно).
5.Повторяем логи со вставленной флешкой.
p.s. Установите AdobeReader 9.0 или деинсталлируйте старый.
Скажите, автозапуск с флэшек можно удалить так, как написано тут: [url]http://virusinfo.info/showthread.php?t=20291[/url] ?
В теме есть REG файл (AutorunDisabled.zip) и скрипт (AutorunDell_FINAL.rar)... Чем лучше отключить авторан?
[URL="http://virusinfo.info/showthread.php?t=16459"]http://virusinfo.info/showthread.php?t=16459[/URL]
А, точно, я же этот скрипт нашел... А запуск с CD стоит отключить или нет??? Потом при переустановке винды не будет проблем?
автозапуск к переустановке совершенно не имеет отношения...
Да, забыл про обновления спросить... На компе нет как сети, так и выхода в инет... Обновления могу только скачать на другой машине и потом установить на "больной"! Не подскажите, какие из них нужно поставить? Т.е. как определить, какие еще нужны кроме тех, что уже стоят???
Сделал все, что написано выше, кроме обновления. Кидокиллер ничего не нашел... Зато на флешке KAV6 теперь вирус нашел, а то раньше не видел... Акробат снес + чое-что еще ненужное... Логи сделал!
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O4 - HKLM\..\Run: [KillCopy] C:\Program Files\KillCopy\kcresume.exe /startup
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('J:\autorun.inf','');
DeleteFile('J:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[CODE]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/CODE]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Есть вопрос: все вышеуказанное делать со вставленной флэшкой или нет???
В скрипте написано QuarantineFile('J:\autorun.inf','');
DeleteFile('J:\autorun.inf');
J-так обозначалась моя флэшка... А если она теперь будет не J, а к примеру H???
Подскажите, плиз... И по поводу "пофиксить" C:\Program Files\KillCopy\kcresume.exe... Я этот копировальщик (который килкопи зовется) удалил вчера после того, как сделал логи и сохранил карантин!?
Флешку перед запуском скрипта надо подключить.
Если KillCopy деинсталировали, то и фиксить уже нечего.
Вот что я сделал:
1) Выполнил скрипт со вставленной флэшкой;
2) Почистил корзину и с помощью cleanmgr все, что было нужно;
3) Сделал новые логи с вынутой флэшкой;
4) Запихнул карантин в архив и отослал по ссылке.
После всего этого вот какое безобразие: при вставлении любой флэшки (даже той, которая была при выполнении скрипта = той, на которой этот скрипт удалил вирус) KAV 6 определяет на них вирус NetWorm.Win32.kido.ih в "флэшка"\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
Т.е. ничего не изменилось.
И еще... Моя флэшка почему-то ВСЕГДА определяется под буквой J. Хэлп! =)
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('vunpikha');
DeleteService('rcqtij');
DeleteFile('C:\WINDOWS\system32\05.tmp');
DeleteFile('C:\WINDOWS\system32\01E.tmp');
DeleteFile('C:\WINDOWS\system32\mhkddd.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('vunpikha');
BC_DeleteSvc('rcqtij');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите логи...
[QUOTE]KAV 6 определяет на них вирус [/QUOTE]
Это версия неактуальна...
[quote=Гриша;370136]
Это версия неактуальна...[/quote]
К сожалению другой ЛИЦЕНЗИОННОЙ версии пока не предвидется =( Лицензия на 1000 компов, пока не закончится, будем юзать...
Логи сделаю...
Лицензия к версии не привязывается. Другое дело, что сама корпоративная версия до сих пор шестая.
Все сделал, вир вроде бы убит... Только бы еще скрытые файлы и папки отобразить! :dance3:
Логи вот:
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/CODE]
Скрытые файлы должны появиться...
Проверьтесь так [url]http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215[/url]
В логах чисто...
В очередной раз спасибо всем за помощь! Все заработало, все супер! =)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]