net-worm.win32.kido.ih

Добрый день.

Помогите пожалуйста избавиться от этой гадости:

net-worm.win32.kido.ih (ir)

с трудом установил Cristal но он не помогает начинает сканировать и виснет, также как и КК.ехе :sad:
PS. заплатки по ХР уже поставил.

- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"][COLOR="Blue"][B]Gmer[/B][/COLOR][/URL]
- Сделайте логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.1-3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log[/COLOR])

логи

Логи AVZ по правилам можете сделать?

Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\E113~1\LOCALS~1\Temp\962.exe
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [ЪЪП‡.µ«cє‘?vmгRIч.%......
O4 - HKLM\..\Run: [2vpEгћГ’˜¶А–™ЅзФMУ3·—.....
O4 - HKLM\..\Run: [»"й‚9ЏH)(ђь#{#СeUЋl\˜Аэ97.....
O4 - HKLM\..\Run: [ЪЪЊЙT7юf)•Ъ.....
O4 - HKCU\..\Run: [ЪЪП‡.µ«cє‘?vmгRIч.%[У....
O4 - HKCU\..\Run: [2vpEгћГ’˜¶А–™ЅзФMУ3·—.....
O4 - HKCU\..\Run: [»"й‚9ЏH)(ђь#{#СeUЋl\˜Аэ97.....
O4 - HKCU\..\Run: [ЪЪЊЙT7юf)•Ъ гRIч.%[У.....
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\E113~1\LOCALS~1\Temp\962.exe','');
DeleteFile('C:\DOCUME~1\E113~1\LOCALS~1\Temp\962.exe');
DeleteFileMask('C:\DOCUME~1\E113~1\LOCALS~1\Temp', '*.*'true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=95103[/url]).
Сделайте новые логи (все 3 в соответствии с разделом [I]Диагностика[/I] правил).

проверил CureIt нашел 5 Trojan.DownLoad2.18953 и 5 Win32.HLLW.Gavir.ini
профиксил HijackThis (лог прилагается)
avz при сканировании завис
Касперский зависает при проверке.

[QUOTE='Gennadiy;755423']avz при сканировании завис[/QUOTE]
Сделайте лог по п.2 раздела [I]Диагностика[/I].

avz зависает на пункте "Выполняется исследование системы"

логи avz

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\DOCUME~1\E113~1\LOCALS~1\Temp\Eg6.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\Fdp25.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Dop82.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\btukuoqz.sys','');
QuarantineFile('C:\WINDOWS\system32\0C.tmp','');
QuarantineFile('C:\Documents and Settings\Алексей Владимирович\Application Data\Microsoft\joujygygy.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ndisvvan.sys','');
DeleteFile('C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job');
DeleteFile('C:\Documents and Settings\Алексей Владимирович\Application Data\Microsoft\joujygygy.exe');
DeleteFile('C:\WINDOWS\system32\DRIVERS\ndisvvan.sys');
DeleteFile('C:\WINDOWS\system32\0C.tmp');
DeleteFile('C:\WINDOWS\system32\Drivers\btukuoqz.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Dop82.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Fdp25.sys');
DeleteFile('C:\PROGRA~1\Grisoft\AVG7\avglog.dll');
DeleteFile('C:\WINDOWS\System32\drivers\dwprot.sys');
DeleteFile('C:\DOCUME~1\E113~1\LOCALS~1\Temp\Eg6.exe');
BC_DeleteSvc('Passthru');
BC_DeleteSvc('aabmjz');
BC_DeleteSvc('ahwqqa');
BC_DeleteSvc('amittdmwe');
BC_DeleteSvc('aowcbwmu');
BC_DeleteSvc('ascgdy');
BC_DeleteSvc('bnzfl');
BC_DeleteSvc('bszbuu');
BC_DeleteSvc('btukuoqz');
BC_DeleteSvc('cbvctq');
BC_DeleteSvc('chzilsht');
BC_DeleteSvc('coueycz');
BC_DeleteSvc('cpevg');
BC_DeleteSvc('cqrtsip');
BC_DeleteSvc('cqxlzcyb');
BC_DeleteSvc('cykseh');
BC_DeleteSvc('dhyqqzjk');
BC_DeleteSvc('Dop82');
BC_DeleteSvc('dorrfp');
BC_DeleteSvc('dsoqn');
BC_DeleteSvc('dvziseyf');
BC_DeleteSvc('eaavthyjn');
BC_DeleteSvc('eeyeq');
BC_DeleteSvc('egnjozmdx');
BC_DeleteSvc('elmvjrmo');
BC_DeleteSvc('Fdp25');
BC_DeleteSvc('ffhzho');
BC_DeleteSvc('fjzus');
BC_DeleteSvc('fqematm');
BC_DeleteSvc('fyciebro');
BC_DeleteSvc('gghlnvloz');
BC_DeleteSvc('gpnwtg');
BC_DeleteSvc('graiqmb');
BC_DeleteSvc('gtxfjwpc');
BC_DeleteSvc('gtxqzor');
BC_DeleteSvc('gvvljq');
BC_DeleteSvc('gwntfrp');
BC_DeleteSvc('gzjny');
BC_DeleteSvc('hsbygrq');
BC_DeleteSvc('iavkkf');
BC_DeleteSvc('ifpfo');
BC_DeleteSvc('ifuwxdrt');
BC_DeleteSvc('imyjy');
BC_DeleteSvc('Iqm64');
BC_DeleteSvc('iransv');
BC_DeleteSvc('Irp71');
BC_DeleteSvc('itmtg');
BC_DeleteSvc('ixmzxf');
BC_DeleteSvc('jtciplb');
BC_DeleteSvc('Jvg47');
BC_DeleteSvc('kbmhne');
BC_DeleteSvc('kocahekw');
BC_DeleteSvc('licxwy');
BC_DeleteSvc('ljuuzlcq');
BC_DeleteSvc('lpgqcs');
BC_DeleteSvc('Lsa47');
BC_DeleteSvc('ltwwtz');
BC_DeleteSvc('masxwpihp');
BC_DeleteSvc('melfzrrps');
BC_DeleteSvc('mgqaz');
BC_DeleteSvc('mkisxbop');
BC_DeleteSvc('mmleaa');
BC_DeleteSvc('mofwoae');
BC_DeleteSvc('mrpao');
BC_DeleteSvc('mummtf');
BC_DeleteSvc('mwoutaaue');
BC_DeleteSvc('nduxwz');
BC_DeleteSvc('nnzmrymvw');
BC_DeleteSvc('Nov60');
BC_DeleteSvc('nowzcshg');
BC_DeleteSvc('ntacrafc');
BC_DeleteSvc('oljlm');
BC_DeleteSvc('olqxxxsf');
BC_DeleteSvc('Omp87');
BC_DeleteSvc('oqrnjph');
BC_DeleteSvc('pcpguf');
BC_DeleteSvc('pfgmwkb');
BC_DeleteSvc('plixfmq');
BC_DeleteSvc('pmkfwwwx');
BC_DeleteSvc('pnbevwgqg');
BC_DeleteSvc('Ppg36');
BC_DeleteSvc('Pxd50');
BC_DeleteSvc('pzmwtnic');
BC_DeleteSvc('qonnugcez');
BC_DeleteSvc('qpwgxdfz');
BC_DeleteSvc('ravpbaet');
BC_DeleteSvc('rcffuwv');
BC_DeleteSvc('Rdl64');
BC_DeleteSvc('rohezqs');
BC_DeleteSvc('ssaoblapd');
BC_DeleteSvc('tgrxtqe');
BC_DeleteSvc('tknagechk');
BC_DeleteSvc('ughvkkc');
BC_DeleteSvc('ulcsqtj');
BC_DeleteSvc('utull');
BC_DeleteSvc('Uxn71');
BC_DeleteSvc('vdwhxbxp');
BC_DeleteSvc('veyfxklg');
BC_DeleteSvc('vgzqdb');
BC_DeleteSvc('vhvoo');
BC_DeleteSvc('vjrwt');
BC_DeleteSvc('vvfuvqf');
BC_DeleteSvc('wdbdxhdo');
BC_DeleteSvc('whvbziq');
BC_DeleteSvc('wojaaaygj');
BC_DeleteSvc('xadbtw');
BC_DeleteSvc('xooimxjr');
BC_DeleteSvc('xvyqr');
BC_DeleteSvc('yictpif');
BC_DeleteSvc('yohctivpj');
BC_DeleteSvc('ypiqoyxju');
BC_DeleteSvc('ywhikau');
BC_DeleteSvc('zchhqaz');
BC_DeleteSvc('zhoawq');
BC_DeleteSvc('zkkxn');
BC_DeleteSvc('zphxndyjf');
BC_DeleteSvc('zrnpafmme');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи (по возможности - все три по правилам).

avz зависает при выполнении скрипта, блокируется вся машина.

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

карантин с использованием прямого чтения - ошибка

логи повторите

выполнил скрипт в безопасном режиме, после перезагрузки у меня слетела сеть и интернет, и дрова на тв тюнер. Можно -ли вернуть действия скрипта, чтоб все восстановить?
Карантин сейчас прикреплю

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

выполнил скрипт в безопасном режиме, после перезагрузки у меня слетела сеть и интернет, и дрова на тв тюнер. Можно -ли вернуть действия скрипта, чтоб все восстановить?
Карантин сейчас прикреплю.

повторный лог avz

virusinfo_syscheck.zip - cтарый прикрепили
Quarantine.zip - удалите из темы

- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

файл карантина я загрузил вместе с сообщением о нем (в сообщение и вверху темы)

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

virusinfo_syscheck.zip обновленный смогу только завтра (приходится работать за другим компом)

[QUOTE]Можно -ли вернуть действия скрипта, чтоб все восстановить?[/QUOTE]
Чтобы восстановить троянов? ;)
Нет, надо теперь устранить последствия их злодейства.

Кроме virusinfo_syscheck.zip, сделайте еще такой лог в AVZ:

Сервис - Диспетчер служб и драйверов,
выбрать Тип: Драйверы, Статус: Все,
Сохранить протокол.

Полученный файл упакуйте в zip-архив и прикрепите сюда.

новый лог avz

лог дрйверов

Хм... насколько я вижу, все необходимые драйверы в наличии и работают.
Как выглядит проблема с сетью, можно подробнее?

пришлось полностью переустановить драйвера на сеть, но теперь у меня висит WAN miniport (IP), не цепляет драйвера и еще два неопознаных устройства

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

и отправка пакетов все еще превышает полученные, но не так как было раньше...

В приложенном архиве 4 reg-файла для сетевых драйверов.
Загрузитесь в безопасном режиме и импортируйте их в реестр (двойным щелчком по каждому). Затем в нормальном режиме проверьте, что изменится.

обновленные логи

[QUOTE=Bratez;756587]В приложенном архиве 4 reg-файла для сетевых драйверов.
Загрузитесь в безопасном режиме и импортируйте их в реестр (двойным щелчком по каждому). Затем в нормальном режиме проверьте, что изменится.[/QUOTE]

я вижу только один не "подписанный файл":(

Минипорт WAN заработал?

нет это отчеты сделанные перед тем как Вы мне отправили файл, но я с ним ничего сделать не смог...

[QUOTE='Gennadiy;756597']я вижу только один не "подписанный файл"[/QUOTE]
Не понятно, где и что за файл?

прикрепить не могу говорит - (Некорректный файл)

обычный zip, просто распакуйте его :>

я распаковал, там файл ndis. без расширения и только один а не 4

Что-то у вас неправильно получилось, архив нормальный. В нем 4 файла с расширением .reg.

а можно еще раз и по отдельности?

Ловите

Спасибо помогло!
Тему можно закрывать.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]53[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\btukuoqz.sys - [B]Rootkit.Win32.Valenok.aw[/B] ( DrWEB: Trojan.NtRootKit.9868, BitDefender: Trojan.Tdss.4788, AVAST4: Win32:Crypt-ICN [Rtk] )[*] c:\\windows\\system32\\drivers\\ndisvvan.sys - [B]Rootkit.Win32.Agent.blhm[/B] ( DrWEB: BackDoor.Tofsee.41, BitDefender: Backdoor.Tofsee.Gen, AVAST4: Win32:Tofsee [Rtk] )[/LIST][/LIST]