kido.ij

Printable View

18.03.2009, 20:41
martynmartan

Вложений: 3

kido.ij

Ребята, помогите в очередной раз! У друга на компе вирус kido! Блокирует вход на антивирусные сайты, в т.ч. на virusinfo, поэтому все делаем через меня, обычная проблема со скрытыми файлами. KIS7 при проверке ничего не нашел, но после выполнения скриптов в папке infected 32 вируса, все в system32. Логи сделали:
18.03.2009, 20:54
Aleksandra

Попробуйте это [url]http://virusinfo.info/showthread.php?t=41675[/url]

После, не перегружая машину сделайте лог Gmer [url]http://virusinfo.info/showthread.php?t=40118[/url]
18.03.2009, 21:29
martynmartan

Вложений: 1

Сделали, вот, взгляните пожалуйста:
18.03.2009, 21:36
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('zgreatdsd');
QuarantineFile('C:\Windows\system32\vybqpvl.dll','');
DeleteFile('C:\Windows\system32\vybqpvl.dll');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\zgreatdsd','Description');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\zgreatdsd');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('zgreatdsd');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=41995[/url]

3. Повторите лог Gmer.
18.03.2009, 22:47
martynmartan

Вложений: 1

Карантин послал, вот новый лог Gmer:
18.03.2009, 22:56
Aleksandra

1. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
DeleteService('zgreatdsd');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\zgreatdsd','Description');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\zgreatdsd');
BC_DeleteSvc('zgreatdsd');
BC_Activate;
RebootWindows(true);
end.[/CODE]

2. Скачайте [URL="http://rapidshare.com/files/133061044/IceSword122en.zip.html"]IceSword.[/URL] Запустите, слева внизу нажмите Registry, затем найдите ветки:

[QUOTE]HKLM\SYSTEM\CurrentControlSet\Services\zgreatdsd[/QUOTE]

и удалите все ключи с zgreatdsd...

Тоже самое на

[QUOTE]HKLM\SYSTEM\ControlSet003\Services\zgreatdsd[/QUOTE]

[URL="http://virusinfo.info/showthread.php?t=39413"]Как искать и удалять ключи реестра с помощью IceSword[/URL]

3. Сделайте контрольный лог Gmer.
18.03.2009, 23:59
martynmartan

Че-то не получается запустить прогу IceSword, машина перезагружается, а после загрузки винда пишет что была непредвиденная ошибка... Подскажите, что должно быть в папке с прогой, какие файлы?! Там есть архив Cooperator, куда его распаковать?
19.03.2009, 00:14
Aleksandra

Вы вообще что скачали?
19.03.2009, 00:16
Rene-gad

[QUOTE=martynmartan;373936]Там есть архив Cooperator, куда его распаковать?[/QUOTE]
Никуда - не нужен он Вам. В безопасном можете запустить.
19.03.2009, 00:17
martynmartan

По вашей ссылке архив IceSword с Рапиды...

Попробую сейчас в безопасном режиме запустить....
19.03.2009, 00:26
Aleksandra

Возможно что-то не так скачалось. Попробуйте закачать заново.
19.03.2009, 01:40
martynmartan

В безопасном режиме то же самое! Появляется синий экран и внизу строчка с процентами, когда доходит до 100, перезагружается! После загрузки пишет, что система восстановлена после непредвиденного завершения работы!

Повторная загрузка проги результата не дала... ((( Все то же, что раньше...

[size="1"][color="#666686"][B][I]Добавлено через 1 час 5 минут[/I][/B][/color][/size]

Может есть другая ссылка для скачивания? Не Рапида чтоб была...
Или может эти ветки вручную удалить? Их только 2? Если просто через regedit сделать...
19.03.2009, 01:46
Aleksandra

[quote=martynmartan;373953]Если просто через regedit сделать...[/quote]
В regedit дайте "Полный доступ" администратору на эту ветку

[QUOTE]HKLM\SYSTEM\CurrentControlSet\Services\zgreatdsd[/QUOTE]

обновите содержимое по F5 и удалите все ключи, которые ссылаются на zgreatdsd...

Тоже самое на

[QUOTE]HKLM\SYSTEM\ControlSet003\Services\zgreatdsd[/QUOTE]
21.03.2009, 00:09
martynmartan

Вложений: 1

Из реестра ветки удалили, сделали лог Gmer (если вдруг понадобится, сделали еще в АВЗ и hijack).
Все нормализовалось, сайты больше не блокируются. Только скрытые папки не отображаются...
Кстати, при запуске IceSword бсод!?
21.03.2009, 17:01
martynmartan

Люди, есть тут кто? Хэлп, что дальше делать?
21.03.2009, 19:50
Гриша

В AVZ,Файл, Восстановление системы, пункт 6,8 отметить и выполнить...

В логе чисто...
22.03.2009, 19:50
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\vybqpvl.dll - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen )[/LIST][/LIST]