Вирус Kido

[V_Bond]

сколько дисков у вас ? пользуетесь ли вы флеш накопителями ?

[Anna_7]

Скорее всего это остаток (я не долечила в прошлый раз через LiveCD).
Скорее всего, тему можно закрывать.

Еще раз всех благодарю!

[Anna_7]

после проверки с лайв диска касперски, всей системы, БЫЛ ОБНАРУЖЕН ФАЙЛ который невозможно ни лечить ни удалить. была возможность только поместить его на карантин. прикрепила его по красной ссылке выше. видимо вирус ещё в системе.

[Anna_7]

Ну что... теперь вирус удалили. Оказалось все же заплатки не стояли, и при каждой перезагрузке шла атака.

Теперь заплатки установили, но интернет так и остался очень очень медленным.
В технической поддержке провайдера сказали, что задержка доступа на сайт связана с тем, что при переходе, какой-то модуль или что-то еще делает запрос (кому, куда) не поняла.
Они не знают как нам помочь. Вирус Kaspersky не обнаружил.

Что делать?

Высылаю логи.

[Anna_7]

Вот показатели скорости

[polword]

- Отключите Системное восстановление!!! как- посмотреть можно тут
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\temp\kls638B.tmp','');
 DeleteFile('C:\WINDOWS\temp\kls638B.tmp');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
- Удалите ComboFix

Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут

После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[Anna_7]

Карантин: Файл сохранён как 101103_134318_quarantine_4cd13cc636013.zip

[polword]

Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут

После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

после этого, отпишитесь о проблеме

[Anna_7]

Ура. Теперь окончательно - излечено!
Спасибо Вашему сервису и помошникам!

P.S.: Когда делаю логи, в трее выходит вот такое сообщение (скрин в теме).

Напишите по логам все ли чисто?

[polword]

- Выполните скрипт в AVZ

Код:

begin
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteFileMask('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RebootWindows(true);
end.

После перезагрузки:

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::

Driver::

NetSvc::

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4112:TCP"=-

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 10
• В ходе лечения обнаружены вредоносные программы:
  
  1. \\autorun.inf - Trojan-GameThief.Win32.OnLineGames.ski ( DrWEB: Win32.HLLW.Autoruner.1469, BitDefender: Trojan.AutorunINF.Gen, NOD32: INF/Autorun worm )