Вирус

Printable View

15.02.2010, 10:30
marninka

Вирус

Здравствуйте,посмотрите мои логи,все ли там впорядке?(я в этом ничего не понимаю):) и еще вопросик у меня касперский всевремя сообщает об вирусе Kido,потом вроде удаляет,затем опять обнаруживает,может у меня на компе вирус?
15.02.2010, 11:24
polword

1. Скачайте [URL="http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215"]такую[/URL] утилитку и провертесь ей

После лечения:
1. Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
2. Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]Gmer[/URL]
17.02.2010, 18:20
marninka

вот выкладываю,незнаю правильно сделала или нет чего то про gmer не поняла последние.и в kk.exe вышли все нули
18.02.2010, 07:59
polword

сделали все правильно.
Сохраните текст ниже как 1.bat в ту же папку, где находится okk7qtvl.exe (GMER) и запустите этот батник(1.bat):

[CODE]okk7qtvl.exe -del service jydyon
okk7qtvl.exe -del file "C:\WINDOWS\system32\xxrffocw.dll"
okk7qtvl.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\jydyon\Parameters"
okk7qtvl.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\jydyon"
okk7qtvl.exe -del reg "HKLM\SYSTEM\CurrentControlSet001\Services\jydyon\Parameters"
okk7qtvl.exe -del reg "HKLM\SYSTEM\CurrentControlSet001\Services\jydyon"
okk7qtvl.exe -del reg "HKLM\SYSTEM\CurrentControlSet003\Services\jydyon\Parameters"
okk7qtvl.exe -del reg "HKLM\SYSTEM\CurrentControlSet003\Services\jydyon"
okk7qtvl.exe -reboot[/CODE]

Компьютер перезагрузится

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

после перезагрузки повторите лог Gmer и virusinfo_syscheck.zip
18.02.2010, 14:10
marninka

вирус

[COLOR="Magenta"]Вот я зделала что сказали,так у меня есть на компе вирус или нет?[/COLOR]
18.02.2010, 14:53
polword

есть и его надо удалить

Сохраните текст ниже как 1.bat в ту же папку, где находится [COLOR="Red"][B]c6js5ykk.exe [/B][/COLOR](GMER) - проверьте что бы именно этот файл был
и запустите этот батник(1.bat):

[CODE]c6js5ykk.exe -del service jydyon
c6js5ykk.exe -del file "C:\WINDOWS\system32\xxrffocw.dll"
c6js5ykk.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\jydyon\Parameters"
c6js5ykk.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\jydyon"
c6js5ykk.exe -del reg "HKLM\SYSTEM\CurrentControlSet001\Services\jydyon\Parameters"
c6js5ykk.exe -del reg "HKLM\SYSTEM\CurrentControlSet001\Services\jydyon"
c6js5ykk.exe -del reg "HKLM\SYSTEM\CurrentControlSet003\Services\jydyon\Parameters"
c6js5ykk.exe -del reg "HKLM\SYSTEM\CurrentControlSet003\Services\jydyon"
c6js5ykk.exe -reboot[/CODE]

Компьютер перезагрузится

после перезагрузки снова повторите лог Gmer и virusinfo_syscheck.zip
19.02.2010, 09:47
marninka

ничего он не перезагружается,он открыл окно,где быстро пробежали какие то буквы закрыл его,и отпечатал в этой же папки файл (0 кб. юьюушэх!)все равно выкладывать логи?
19.02.2010, 10:13
polword

лог Gmer новый выложите
19.02.2010, 17:30
marninka

новый лог
19.02.2010, 18:11
polword

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
QuarantineFile('C:\WINDOWS\system32\xxrffocw.dll','');
BC_ServiceKill('jydyon');
DeleteFile('C:\WINDOWS\system32\xxrffocw.dll');
BC_Activate;
Rebootwindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторные логи virusinfo_syscheck.zip и Gmer
20.02.2010, 13:01
marninka

вирус

[COLOR="DarkOrchid"]Все зделала,выкладываю,спасибо вам большое что помогаете:)[/COLOR]
21.02.2010, 11:23
polword

в логах чисто. Если что-то еще беспокоит отпишитесь
21.02.2010, 12:13
marninka

Спаибо большое,думаю темку можно закрыть