Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Висну по-страшному или неистребимые Net-Worm.Win32.kido.ih и Worm.Win32.AutoRun.fla (заявка № 43393)

  1. #1
    Junior Member Репутация
    Регистрация
    09.02.2009
    Сообщений
    13
    Вес репутации
    33

    Exclamation Висну по-страшному или неистребимые Net-Worm.Win32.kido.ih и Worm.Win32.AutoRun.fla

    Утро понедельника. Загружаю основной рабочий компьютер - Каспер ругается на Net-Worm.Win32.kido.ih, типа нашел, удалил. Работаю дальше, точнее пытаюсь работать - комп страшно тормозил, неоткрывал подолгу файлы. Ругался на все подряд. То одно, то другое. Плюнула и пошла пить кофе, оставив Каспера выполнять полную проверку. Когда вернулась, комп перезагрузился с сообщением типа "Система восстановлена после серьозной ошибки".
    Ладно думаю, пофиг. Пытаюсь работать дальше. Каспер опять руганулся на Net-Worm.Win32.kido.ih , а через какое-то время и на Worm.Win32.AutoRun.fla . После чего сообщил о специальной процедуре лечения, перезагрузился и опять двадцать пять и так раз пятнадцать, пока с него пытались достать данные другие сотрудники. Выпив еще поллитра чая попробовали полечить хотя бы kido с помощью KidoKiller 3.4.
    Пошуршал, полечил... при перезагрузке та же фигня в том же количестве.

    Помогите, пожалуйста.

    Утро вторника.
    В процессе быстрой проверки Dr.Web'ом нашелся и удалился BackDoor.IRC.Sdbot.4752
    А при полной такие звери как BackDoor.IRC.Sdbot.4752 (в 12-ти файлах), Adware.Hotbar (в 2-х файлах), Win32.HLLW.Autoruner.5555 (в 5-ти файлах), Win32.HLLW.Shadow (в 1-ом файле).

    После выполнения "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" и перезагрузки, компьютер выдал сообщение:
    "Оборудование этого компьютера было значительно изменено с момента первой активации Windows. Из-за этих изменений необходимо повторно активировать Windows в течение 3 дней.
    Выполнить повторную активацию сейчас?"
    И два варианта ответа: да, нет.
    Нажала соответственно "Да", ибо товарищ из айти предупреждал когда-то, что если выбрать "Нет" - комп заблокирует и уже уж точно никак не активируешь.
    Активации через интернет не произошло. Ладно, пофиг, есть еще 3 дня.
    Запускаю "Скрипт сбора информации для раздела "Помогите!" virusinfo.info", тут AVZ зависает напрочь. Вис, вис, вис... (Диспетчер задач кстати не отзывался). Невыдержала - перезагрузила, заодно активировав Windows.
    Вновь запустила "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Проверялось, проверялось, выскочила ошибка "Generic Host Process for Win32 Services", а по завершении проверки еще и Ошибка приложения svchost.exe (типа Инструкция по адресу *** обратилась по адресу ***. Память не может быть "read").
    Пока копировала важные файлы с флешки Каспер ругнулся на kido уже на другом компьютере.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    И с такой системой Вы работаете в сети? Так у Вас там уже змеи завелись, не только вирусы!!!

    И пожалуйста, не надо растекаться мыслью по древу и описывать историю города Москвы от Юрия Долгорукого. Логи и короткое - в 2-х строчках описание проблемы, nothing more.

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Если не Ваши IP пофиксите
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{00529F63-1EE9-4A5B-B360-4A36B8EB6B66}: NameServer = 10.242.100.5,10.242.100.4
    O17 - HKLM\System\CS1\Services\Tcpip\..\{00529F63-1EE9-4A5B-B360-4A36B8EB6B66}: NameServer = 10.242.100.5,10.242.100.4
    O17 - HKLM\System\CS2\Services\Tcpip\..\{00529F63-1EE9-4A5B-B360-4A36B8EB6B66}: NameServer = 10.242.100.5,10.242.100.4
    O17 - HKLM\System\CS3\Services\Tcpip\..\{00529F63-1EE9-4A5B-B360-4A36B8EB6B66}: NameServer = 10.242.100.5,10.242.100.4
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\blastclnnn.exe','');
     QuarantineFile('C:\WINDOWS\System32\twext.dll','');
     QuarantineFile('c:\windows\system32\sys32time.dll','');
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\ip6fw.sys','');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\winlogon.exe');
     DeleteFile('c:\windows\system32\sys32time.dll');
     DeleteFile('C:\WINDOWS\System32\twext.dll');
     DeleteFile('C:\WINDOWS\System32\blastclnnn.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Удалите Bonjour
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    09.02.2009
    Сообщений
    13
    Вес репутации
    33
    Все проделала. Карантин отправила.
    Логи ниже.

    PS 1) Каспер по 5-10-15 раз на дню блокирует атаки с разных IP-адресов, принадлежащих той же компании, что и указанные Вами выше.
    2) Зверя Bonjour у меня вроде не было, или был?
    3) Систему обновить лучше сейчас или когда закончим?
    4) Worm.Win32.AutoRun.fla еще жив...
    Вложения Вложения
    Последний раз редактировалось Irene; 08.04.2009 в 17:24.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от Irene Посмотреть сообщение
    Карантин отправила.
    Туда ничего не попало.
    Цитата Сообщение от Irene Посмотреть сообщение
    PS 1) Каспер по 5-10-15 раз на дню блокирует атаки с разных IP-адресов, принадлежащих той же компании, что и указанные Вами выше.
    Т.е. это не Вы прописывали? Ну они ИМО больше в логе не появились.
    Цитата Сообщение от Irene Посмотреть сообщение
    3) Систему обновить лучше сейчас или когда закончим?
    Обновите, если удастся ее спасти.
    Цитата Сообщение от Irene Посмотреть сообщение
    4) Worm.Win32.AutoRun.fla еще жив...
    АВЗ/Сервис/Диспетчер планировщика задач/- удалите все задачи.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\blastclnnn.exe','');
     QuarantineFile('0','');
     QuarantineFile('C:\WINDOWS\System32\drivers\ip6fw.sys','');
     DeleteFile('0');
     DeleteFile('C:\WINDOWS\System32\blastclnnn.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Карантин загрузите, если там будут *.dta - файлы
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

  6. #5
    Junior Member Репутация
    Регистрация
    09.02.2009
    Сообщений
    13
    Вес репутации
    33
    dta-файлов вроде не было.
    Логи ниже.

    Т.е. это не Вы прописывали? Ну они ИМО больше в логе не появились.
    Что не прописывала? Куда не прописывала?

    PS А отчего при проверке вылезают ошибки "Generic Host Process for Win32 Services" и "Инструкция по адресу *** обратилась по адресу ***. Память не может быть "read""?
    Вложения Вложения
    Последний раз редактировалось Irene; 08.04.2009 в 19:12.

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

    А отчего при проверке вылезают ошибки "Generic Host Process for Win32 Services" и "Инструкция по адресу *** обратилась по адресу ***. Память не может быть "read""?
    От того, что у вас не Windows, а корыто

    В логах чисто, установите SP3+all updates...

  8. #7
    Junior Member Репутация
    Регистрация
    09.02.2009
    Сообщений
    13
    Вес репутации
    33
    Устанавливалось обновление Windows, потом курс вырубился, перезагрузился, рукгулся, что обновление не до конца установилось и попросил удалить его. Удалили, перезагрузился и вот теперь ни в каком режиме (ни в безопасном, ни в прочих) грузится не желает.
    Что делать?

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Устанавливали SP3?

  10. #9
    Junior Member Репутация
    Регистрация
    09.02.2009
    Сообщений
    13
    Вес репутации
    33
    Устанавливали то, что качнул Windows Update. SP2

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Диск с SP1 есть?

  12. #11
    Junior Member Репутация
    Регистрация
    09.02.2009
    Сообщений
    13
    Вес репутации
    33
    Нет

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от Irene Посмотреть сообщение
    Нет
    А какой-нибудь легальный Виндовс есть?

  14. #13
    Junior Member Репутация
    Регистрация
    09.02.2009
    Сообщений
    13
    Вес репутации
    33
    На дисках нет ни легального, ни нелегального.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от Irene Посмотреть сообщение
    На дисках нет
    А на чем есть?

  16. #15
    Junior Member Репутация
    Регистрация
    09.02.2009
    Сообщений
    13
    Вес репутации
    33
    Смешно. В данный момент ни на чем.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от Irene Посмотреть сообщение
    В данный момент ни на чем.
    Тогда я предлагаю закрыть тему из-за невозможности Вам помочь. Согласны?

  18. #17
    Junior Member Репутация
    Регистрация
    09.02.2009
    Сообщений
    13
    Вес репутации
    33
    Отлично, пойду вешаться.


    А имея не легальный диск с winxp sp3, можно восстановить систему winxp sp1, не потеряв сохраненные данные?

    О, тут какой-то Windows Zver еще валяется!
    Последний раз редактировалось Irene; 09.04.2009 в 18:10.

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от Irene Посмотреть сообщение
    Отлично, пойду вешаться.
    Хорошая веревка с мылом стоят дороже, чем лицензия Виндовс
    А имея не легальный диск с winxp sp3, можно восстановить систему winxp sp1, не потеряв сохраненные данные?
    http://virusinfo.info/misc.php?do=showrules Пункт 10
    Цитата Сообщение от Irene Посмотреть сообщение
    О, тут какой-то Winows Zver еще валяется!
    Я не знаю такого, Вам нужен консультант из России

  20. #19
    Junior Member Репутация
    Регистрация
    09.02.2009
    Сообщений
    13
    Вес репутации
    33
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    10. Запрещены ссылки на "варез" (нелицензионные или взломанные программы, серийные номера, кряки, кейгены), а также вопросы по поиску вышеперечисленного.
    Что пукт 10?) Я не оставляла ссылок на перечисленное и точно не спрашивала где это найти)

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Ну, вы спрашиваете, как этим пользоваться.

  • Уважаемый(ая) Irene, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Удалены Trojan-Dropper.Win32.Agent.dpui и Net-Worm.Win32.Kido.ih
      От BooZ в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 17.02.2011, 21:37
    2. После вирусов Net-Worm.Win32.Kido.ir и Virus.Win32.Sality.aa.
      От StepIn в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 19.02.2010, 16:36
    3. Net-Worm.Win32.Kido.ih и Worm.Win32.AutoRun.ezt
      От zagraba в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 06.12.2009, 11:53
    4. Backdoor.Win32.Agent.ajcb, Net-Worm.Win32.Kido.jq и чтото еще
      От C0NSUL в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 24.08.2009, 09:43
    5. Ответов: 2
      Последнее сообщение: 09.03.2009, 04:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01483 seconds with 17 queries