Кто пишет в реестр "C:\Windows\System32\kdikc.exe"

**Максимыч** · 03.07.2008, 08:58

Доброго времени суток!Комп был сильно заражен. Наверно все вирусы удалось удалить с помощью Касперского, NOD32, DrWeb. Но один остался - заметил что какой-то процесс постоянно пишет в реестр в разделы HKLM\....\CurrentVersion\Run HKLM\....\WindowsNT\CurrentVersion\WinLogon и др. разделы строку "C:\Windows\System32\kdikc.exe". С помощью Regmon определить кто пишет, не удается. Кроме того, поиском найти этот файл kdikc.exe не удается, но AVZ(спасибо ему за это!!!) каким-то образом при проверке его находит и помещает в карантин. Этот файл я посылал на VirusTotal там выдали что это Trojan.Win32.Monder.gen. И при перезагрузке почему-то перезагружается по два раза после выполнения AVZ. Может быть вирус работает на уровне драйвера.Как определить процесс который его пишет в реестр? Пожалуйста помогите избавиться.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Максимыч** · 03.07.2008, 09:58

вот необходимые логи

**Макcим** · 03.07.2008, 10:01

Не хватает virusinfo_syscure.zip

**Максимыч** · 03.07.2008, 10:32

прилагаю

**Максимыч** · 04.07.2008, 04:39

Помогите, сил уже моих нет, переустановить сложно - стоит платный софт

**Bratez** · 04.07.2008, 04:51

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\kdikc.exe','');
 DeleteFile('C:\WINDOWS\system32\kdikc.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=25771).

Обновите базы AVZ. Сделайте новые логи.

**Максимыч** · 04.07.2008, 06:05

Спасибо огромное

!
Карантин отправил, а скажите как этот вирус работал, почему его так сложно найти, даже с помощью утилит. И где все-таки сидел этот файл kdikc.exe

**Bratez** · 04.07.2008, 07:49

kdikc.exe - Trojan.Win32.Monder.gen

Сообщение от Максимыч

почему его так сложно найти

Ничуть не сложно

.

Сообщение от Максимыч

И где все-таки сидел этот файл kdikc.exe

Ответ в заголовке вашей темы

.
Сидел он в папке C:\WINDOWS\system32.

Ждем новые логи. Не забудьте предварительно обновить базы!

**CyberHelper** · 22.02.2009, 06:19

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\kdikc.exe - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based.22)

Кто пишет в реестр "C:\Windows\System32\kdikc.exe" (заявка № 25771)

Опции темы

Кто пишет в реестр "C:\Windows\System32\kdikc.exe"

необходимые логи

Итог лечения

Похожие темы

Не заходит вконтакт,пишет следующее:"Подтвердите принадлежность аккаунта" и "В системе обнаружен вирус.Использование интернета нежелательно"

AVZ пишет "Подозрение на маскировку ключа реестра службы\драйвера "zkgtvln" "

Помогите избавится от "UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,,C :\WI NDOWS\system32\sdra64.exe"

В автозапуске непонятная программа "c:\windows\system32:vcrt80.exe"

Windows пишет предупреждение "Файл или каталог C:\$Extend\$Objid поврежден и не может быть прочитан"

Ваши права в разделе