Показано с 1 по 19 из 19.

Kido.ih (заявка № 41273)

  1. #1
    Junior Member Репутация
    Регистрация
    04.01.2008
    Адрес
    Санкт-Петербург
    Сообщений
    76
    Вес репутации
    37

    Thumbs up Kido.ih

    Здрасти! Помогите, пожалуйста с удалением вируса kido.ih, который залазит на все флэшки и после этого флэшки перестают открываться! Только после форматирования все становится окей! KAV6 на компе ничего не находит, cureit от Вэба и средство уданения вредоносов от MS тоже! Скрытые файлы и папки не отображаются!
    KIS8 на флэшке удаляет Net-Worm.Win32.Kido.ih в файле "флэшка":\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
    Заранее благодарен!
    Вложения Вложения
    [LEFT]Да будут уничтожены все зловреды на нашей планете! Если я туплю - не напрягайтесь, я только учусь =)[/LEFT]

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\051.tmp');
     DeleteFile('C:\WINDOWS\system32\01C.tmp');
     DeleteFile('C:\WINDOWS\system32\05A.tmp');
     QuarantineFile('C:\WINDOWS\system32\mhkddd.dll','');
     DeleteFile('C:\WINDOWS\system32\mhkddd.dll');
    BC_ImportAll;
     BC_DeleteSvc('uiebvaogv');
     BC_DeleteSvc('lyntqqplz');
     BC_DeleteSvc('akqzhwvk');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=41273.

    желательно всё, что написано ниже делать при отключенной сети.

    1.Отключаем автозапуск с флешек (В разделе "Чаво" написано как).
    2.Ставим надёжный пароль на учётку Администратора.
    3.Лечимся, как написано тут http://support.kaspersky.ru/faq/?qid=208636215.
    4.Устанавливаем SP3 (может потребоваться активация) + последующие обновления (это обязательно).
    5.Повторяем логи со вставленной флешкой.

    p.s. Установите AdobeReader 9.0 или деинсталлируйте старый.

  4. #3
    Junior Member Репутация
    Регистрация
    04.01.2008
    Адрес
    Санкт-Петербург
    Сообщений
    76
    Вес репутации
    37
    Скажите, автозапуск с флэшек можно удалить так, как написано тут: http://virusinfo.info/showthread.php?t=20291 ?

    В теме есть REG файл (AutorunDisabled.zip) и скрипт (AutorunDell_FINAL.rar)... Чем лучше отключить авторан?
    [LEFT]Да будут уничтожены все зловреды на нашей планете! Если я туплю - не напрягайтесь, я только учусь =)[/LEFT]

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589

  6. #5
    Junior Member Репутация
    Регистрация
    04.01.2008
    Адрес
    Санкт-Петербург
    Сообщений
    76
    Вес репутации
    37
    А, точно, я же этот скрипт нашел... А запуск с CD стоит отключить или нет??? Потом при переустановке винды не будет проблем?
    [LEFT]Да будут уничтожены все зловреды на нашей планете! Если я туплю - не напрягайтесь, я только учусь =)[/LEFT]

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    автозапуск к переустановке совершенно не имеет отношения...

  8. #7
    Junior Member Репутация
    Регистрация
    04.01.2008
    Адрес
    Санкт-Петербург
    Сообщений
    76
    Вес репутации
    37
    Да, забыл про обновления спросить... На компе нет как сети, так и выхода в инет... Обновления могу только скачать на другой машине и потом установить на "больной"! Не подскажите, какие из них нужно поставить? Т.е. как определить, какие еще нужны кроме тех, что уже стоят???
    [LEFT]Да будут уничтожены все зловреды на нашей планете! Если я туплю - не напрягайтесь, я только учусь =)[/LEFT]

  9. #8
    Junior Member Репутация
    Регистрация
    04.01.2008
    Адрес
    Санкт-Петербург
    Сообщений
    76
    Вес репутации
    37
    Сделал все, что написано выше, кроме обновления. Кидокиллер ничего не нашел... Зато на флешке KAV6 теперь вирус нашел, а то раньше не видел... Акробат снес + чое-что еще ненужное... Логи сделал!
    Вложения Вложения
    [LEFT]Да будут уничтожены все зловреды на нашей планете! Если я туплю - не напрягайтесь, я только учусь =)[/LEFT]

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    O4 - HKLM\..\Run: [KillCopy] C:\Program Files\KillCopy\kcresume.exe /startup
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('J:\autorun.inf','');
     DeleteFile('J:\autorun.inf');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    Код:
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  11. #10
    Junior Member Репутация
    Регистрация
    04.01.2008
    Адрес
    Санкт-Петербург
    Сообщений
    76
    Вес репутации
    37
    Есть вопрос: все вышеуказанное делать со вставленной флэшкой или нет???
    В скрипте написано QuarantineFile('J:\autorun.inf','');
    DeleteFile('J:\autorun.inf');

    J-так обозначалась моя флэшка... А если она теперь будет не J, а к примеру H???
    Подскажите, плиз... И по поводу "пофиксить" C:\Program Files\KillCopy\kcresume.exe... Я этот копировальщик (который килкопи зовется) удалил вчера после того, как сделал логи и сохранил карантин!?
    [LEFT]Да будут уничтожены все зловреды на нашей планете! Если я туплю - не напрягайтесь, я только учусь =)[/LEFT]

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Флешку перед запуском скрипта надо подключить.
    Если KillCopy деинсталировали, то и фиксить уже нечего.

  13. #12
    Junior Member Репутация
    Регистрация
    04.01.2008
    Адрес
    Санкт-Петербург
    Сообщений
    76
    Вес репутации
    37
    Вот что я сделал:
    1) Выполнил скрипт со вставленной флэшкой;
    2) Почистил корзину и с помощью cleanmgr все, что было нужно;
    3) Сделал новые логи с вынутой флэшкой;
    4) Запихнул карантин в архив и отослал по ссылке.

    После всего этого вот какое безобразие: при вставлении любой флэшки (даже той, которая была при выполнении скрипта = той, на которой этот скрипт удалил вирус) KAV 6 определяет на них вирус NetWorm.Win32.kido.ih в "флэшка"\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
    Т.е. ничего не изменилось.
    И еще... Моя флэшка почему-то ВСЕГДА определяется под буквой J. Хэлп! =)
    Вложения Вложения
    [LEFT]Да будут уничтожены все зловреды на нашей планете! Если я туплю - не напрягайтесь, я только учусь =)[/LEFT]

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('vunpikha');
     DeleteService('rcqtij');
     DeleteFile('C:\WINDOWS\system32\05.tmp');
     DeleteFile('C:\WINDOWS\system32\01E.tmp');
     DeleteFile('C:\WINDOWS\system32\mhkddd.dll');     
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('vunpikha');
    BC_DeleteSvc('rcqtij');
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи...

    KAV 6 определяет на них вирус
    Это версия неактуальна...

  15. #14
    Junior Member Репутация
    Регистрация
    04.01.2008
    Адрес
    Санкт-Петербург
    Сообщений
    76
    Вес репутации
    37
    Цитата Сообщение от Гриша Посмотреть сообщение

    Это версия неактуальна...
    К сожалению другой ЛИЦЕНЗИОННОЙ версии пока не предвидется =( Лицензия на 1000 компов, пока не закончится, будем юзать...

    Логи сделаю...
    [LEFT]Да будут уничтожены все зловреды на нашей планете! Если я туплю - не напрягайтесь, я только учусь =)[/LEFT]

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Лицензия к версии не привязывается. Другое дело, что сама корпоративная версия до сих пор шестая.

  17. #16
    Junior Member Репутация
    Регистрация
    04.01.2008
    Адрес
    Санкт-Петербург
    Сообщений
    76
    Вес репутации
    37
    Все сделал, вир вроде бы убит... Только бы еще скрытые файлы и папки отобразить!
    Логи вот:
    Вложения Вложения
    [LEFT]Да будут уничтожены все зловреды на нашей планете! Если я туплю - не напрягайтесь, я только учусь =)[/LEFT]

  18. #17
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ExecuteRepair(6);
    ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Скрытые файлы должны появиться...

    Проверьтесь так http://www.kaspersky.ru/support/wks6...?qid=208636215

    В логах чисто...

  19. #18
    Junior Member Репутация
    Регистрация
    04.01.2008
    Адрес
    Санкт-Петербург
    Сообщений
    76
    Вес репутации
    37
    В очередной раз спасибо всем за помощь! Все заработало, все супер! =)
    [LEFT]Да будут уничтожены все зловреды на нашей планете! Если я туплю - не напрягайтесь, я только учусь =)[/LEFT]

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 6
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) martynmartan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. kido.ih@1 и kido.ih@15795187
      От freefx в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 01.10.2010, 15:28
    2. Kido
      От Actesi в разделе Malware Removal Service
      Ответов: 0
      Последнее сообщение: 25.06.2010, 17:38
    3. Win-32.Kido.ih
      От JamBi в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 14.12.2009, 15:09
    4. ВИРУС - Kido.ir ;Kido.ih
      От dim180378 в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 15.11.2009, 22:33
    5. Ответов: 6
      Последнее сообщение: 14.08.2009, 09:45

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00398 seconds with 17 queries