Net-Worm.Win32.Kido.ih

Printable View

04.07.2009, 15:40
LoMo

Вложений: 3

Net-Worm.Win32.Kido.ih

Доброго времени суток. Посмотрите пожалуйста логи, касперским проверяли, но он не удалил почему то вирус... симптомы - интернет соединение рвётся каждые 15 минут примерно...
04.07.2009, 15:56
Bratez

[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\01.tmp','');
DeleteFile('C:\WINDOWS\system32\01.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('pqjyt');
BC_DeleteSvc('efxvlcd');
BC_DeleteSvc('dwclxytah');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=49286[/url]).

Сделайте новый лог syscheck (только п.2 раздела Диагностика).
Сделайте [URL="http://virusinfo.info/showthread.php?t=40118"]лог gmer [/URL].
04.07.2009, 16:49
LoMo

Вложений: 2

Карантин выслал, лог прирепил...
04.07.2009, 17:06
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ynbrd.dll','');
DeleteFile('C:\WINDOWS\system32\ynbrd.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=49286[/url]).

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Сохраните следующий код в виде файла runme.bat и поместите в папку с gmer:
[code]
gmer.exe -del file "C:\WINDOWS\system32\ynbrd.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kqrdmrkv"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\txcuhdwwx"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kqrdmrkv"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\txcuhdwwx"
gmer.exe -reboot[/code]
Запустите этот файл.
Компьютер перезагрузится.
Сделайте новый лог gmer.
04.07.2009, 17:33
LoMo

Вложений: 1

Карантин выслал, лог делается...

Добавил лог gmer...
04.07.2009, 19:09
LoMo

Добавил лог.
04.07.2009, 19:18
V_Bond

в логе чисто ...
04.07.2009, 19:33
LoMo

[B]V_Bond[/B], вот только что опять отвалился интернет... соединения интернета (в виде значка в трее) остаётся а его юзать уже не получается... и пере подключиться не возможно, только после ребута компа....
04.07.2009, 19:44
pig

Давайте новые логи. Может, опять кто залез.
04.07.2009, 19:52
LoMo

Вложений: 3

Вооть....
04.07.2009, 20:43
LoMo

Вложений: 2

Вот лог касперского....(1111)
После перезагрузки (2222)
04.07.2009, 20:47
Kuzz

Похоже это как раз для Вас:
[QUOTE]
Краткое описание семейства Net-Worm.Win32.Kido. (По ESETу Win32/Conficker)
......
Внимание! С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:
* Установить патчи, закрывающие уязвимости [URL="http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx"]MS08-067[/URL], [URL="http://www.microsoft.com/technet/security/Bulletin/MS08-068.mspx"]MS08-068[/URL], [URL="http://www.microsoft.com/technet/security/Bulletin/MS09-001.mspx"]MS09-001[/URL] (на данных страницах вам необходимо выбрать операционную систему, которая установлена на зараженном компьютере, скачать нужный патч и установить его).
* Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр. Либо сменить ранее установленный пароль локального администратора.
* Отключить автозапуск исполняемых файлов со съемных носителей, запустив утилиту KK.exe с ключом -a.
* Заблокировать доступ к TCP-портам: 445 и 139 с помощью сетевого экрана.[/QUOTE]
Так же не помешает и лечение провести (профилактическое):
[QUOTE] Способы удаления
Удаление сетевого червя производится с помощью [URL="www.drpbk.dp.ua/cure/mf/kk_v3.4.7.zip"]специальной утилиты KK.exe[/URL].

Локальное удаление:

1. Скачайте архив [URL="www.drpbk.dp.ua/cure/mf/kk_v3.4.7.zip"]KK_v3.4.7.zip[/URL] и распакуйте его в отдельную папку на зараженной машине.
2. Запустите файл KK.exe .

Замечание
По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KK.exe с ключом -y.
3. Дождитесь окончания сканирования.
ВниманиеЕсли на компьютере, на котором запускается утилита KK.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.
4. Выполните сканирование всего компьютера с помощью вашего Антивируса.[/QUOTE]

А собственно корень проблемы тут:
[QUOTE]Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)[/QUOTE]
Пока не обновите - он будет постоянно пытаться к вам забраться
05.07.2009, 19:11
LoMo

Всё, проблемам решилась переустановкой ОС... Всем спасибо, кто помогал :)

P.S.
[B]Kuzz[/B]
И утилита KK.exe не помогла...
06.07.2009, 19:11
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\system volume information\_restore{98fa1193-dd64-4192-91ef-171f2858fea3}\rp95\a0018000.exe - [B]not-a-virus:AdWare.Win32.SaveNow.by[/B] ( DrWEB: Adware.SaveNow, BitDefender: Adware.Savenow.CA )[*] c:\windows\system32\ynbrd.dll - [B]Net-Worm.Win32.Kido.ih[/B] ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen )[/LIST][/LIST]