[QUOTE=drgdr;421798]фото прилагаю[/QUOTE]Почитайте тут: [url]http://support.microsoft.com/?scid=kb%3Bru%3B324103&x=16&y=6[/url] и тут: [url]http://forum.kaspersky.com/lofiversion/index.php/t22180.html[/url]
Printable View
[QUOTE=drgdr;421798]фото прилагаю[/QUOTE]Почитайте тут: [url]http://support.microsoft.com/?scid=kb%3Bru%3B324103&x=16&y=6[/url] и тут: [url]http://forum.kaspersky.com/lofiversion/index.php/t22180.html[/url]
Выполните [URL=http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215]удаление остатков KIDO[/URL].
[QUOTE=gjf;421853]Карантин - это хорошо. Но я также просил:[/QUOTE]
выполнить-то выполнил, только как сохранить или в какую папку сохраняются логи?
Давайте по пунктам.
1. Скачайте этот файл: [url]http://data2.kaspersky.com:8080/special/KK_v3.4.7.zip[/url]
2. Распакуйте архив и запустите KK.exe
3. После выполнения утилиты перезагрузите систему.
4. Скачайте, если ещё не скачали, [URL="http://ifolder.ru/12581248"]полиморфный AVZ[/URL] md5: 2091925798b7909e010e3f7e328c5f0d
5. Распакуйте содержимое архива в любую папку.
6. [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]
7. Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
8. Сделайте повторные логи согласно [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]. Читайте Правила внимательно - там всё есть.
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
9. Включите Антивирус и Файрволл
10. Прикрепите новые логи к новому сообщению в этой ветке.
все сделал по пунктам. логи прилагаю.
Кидо жив. С безопасным режимом все также проблема?
да, все также :(
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
заплатки от майкрософта ставил перед запуском kk. во время сканирования он говорил что что-то нашел,удалил...
Если попробовать переименовать gmer, он не запускается?
о, запустился! говорит нашел что-то похожее на руткит и предложил полную проверку.
Соглашайтесь и логи выложите здесь.
лог приложил
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe.
И запустите cleanup.bat.
После перезагрузки сделайте новый лог gmer.
[B]ВНИМАНИЕ![/B] Если для запуска gmer Вам пришлось переименовать файл gmer.exe во что-то другое, замените gmer.exe в начале каждой строчки прилагаемого ниже текста на то, во что Вы переименовали этот файл.
[CODE]gmer.exe -killall
gmer.exe -del service AppService
gmer.exe -del file "C:\WINDOWS\system32\ixnvw.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\AppService@DisplayName"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\AppService@Type"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\AppService@Start"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\AppService@ErrorControl"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\AppService@ImagePath"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\AppService@ObjectName"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\AppService@Description"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\AppService\Parameters"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\AppService\Parameters@ServiceDll"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\AppService@DisplayName"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\AppService@Type"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\AppService@Start"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\AppService@ErrorControl"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\AppService@ImagePath"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\AppService@ObjectName"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\AppService@Description"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\AppService\Parameters"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\AppService\Parameters@ServiceDll"
gmer.exe -reboot[/CODE]
сделал.
везде где удаляется в регистре выскакивает ошибка:
DeleteKey: Параметр задан неверно
и подвис при перезагрузке...
Еще раз лог gmer сделайте
сделал. лог прилагаю.
Хорошо. Теперь сделайте повторные логи согласно [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
готово
Хорошо. Вроде как Кидо добили.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[B]- Антивирус и Файрволл.[/B]
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HiJackThis:[/URL]
[CODE]R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\atlon\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll (file missing)[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\atlon\LOCALS~1\Temp\asliahmy.sys','');
DeleteFile('C:\DOCUME~1\atlon\LOCALS~1\Temp\asliahmy.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Google Online Search Service');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Система перезагрузится.
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]
[B]- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/B]
[b]- Обновите базы AVZ![/b]
- Сделайте повторные логи согласно пункта 1 [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
virusinfo_syscure.zip
- На всякий случай скачайте [URL="http://www2.gmer.net/mbr/mbr.exe"]вот такую утилиту[/URL] и запустите её. После запуска в папке с утилитой найдете файл mbr.log. Прикрепите его к следующему сообщению.
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
- Прикрепите новые логи к новому сообщению в этой ветке.
пишу с бывшего (?) зараженного компа - на вирусинфо пускает. карантин прислал, логи прилагаю.
Миссия выполнена [img]http://fc01.deviantart.com/fs12/i/2006/274/c/4/_cowboy__by_sereneworx.gif[/img]
Вы можете отблагодарить хелперов, которые Вам помогли, добавив им отзыв, а также и весь проект VirusInfo вот [URL="http://virusinfo.info/showthread.php?t=3519"]тут.[/URL]
Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам, а также установить все последние [URL="http://www.windowsupdate.com/"]обновления системы Windows[/URL] и используемых программ. Также, рекомендуется провести полную проверку системы антивирусом.
[COLOR="Red"]В обязательном порядке[/COLOR] установить Сервис Пак 3 (возможно потребуется активация) . Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
P.S. Может Вам будет интересно, но мы с Вами обнаружили новую модификацию Kido. Называться будет Trojan-Downloader.Win32.Kido.bj