Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Net-Worm.Win32.Kido.ih не хочет удаляться (заявка № 43828)

  1. #1
    Junior Member Репутация
    Регистрация
    26.12.2008
    Сообщений
    22
    Вес репутации
    33

    Exclamation Net-Worm.Win32.Kido.ih не хочет удаляться

    Я думаю, что принёс этот вирус на флешке со школы, потому что там у нас одни autorun.inf. Может быть где-то еще подхватил. Этот червь не хочет удаляться или лечиться. После удаления и перезагрузки восстанавливается. Прошу помочь.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\lxsass.exe','');
     QuarantineFile('C:\WINDOWS\system32\03.tmp','');
     DeleteService('klwvk');
     DeleteFile('C:\WINDOWS\system32\03.tmp');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин, как написано в правилах.
    Сделайте то, что написано тут http://support.kaspersky.ru/faq/?qid=208636215.
    Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    26.12.2008
    Сообщений
    22
    Вес репутации
    33
    Скрипт выполнил. Карантин выслал. Правда боюсь там не тот файл, в карантине вроде файл от программы cheat engine для подмены пакетов. Хотя вроде по скрипту должен был закарантинить вирусные файлы червя.
    Сделал так как написано в той теме на форуме касперского, кроме полной проверки компьютера на вирусы, так как очень долго с моими 200 ГБ занятого места, но уже включил проверку. И пока что не отключал автозапуск. И программа KK.exe ничего больше не нашла. Все по нулям.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Отключите восстановление системы!
    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
    O4 - HKLM\..\Policies\Explorer\Run: [lxsass] "C:\WINDOWS\system32\lxsass.exe" -at
    Перезагрузите компьютер и повторите лог HijackThis.
    Восстановление можно включить обратно.
    I am not young enough to know everything...

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Сделайте лог Gmer http://virusinfo.info/showthread.php?t=40118
    Сердце решает кого любить... Судьба решает с кем быть...

  7. #6
    Junior Member Репутация
    Регистрация
    26.12.2008
    Сообщений
    22
    Вес репутации
    33
    Пофиксил. Делая этот пункт "Сделайте то, что написано тут http://support.kaspersky.ru/faq/?qid=208636215." пришлось включить восстановление системы, так как там сказано установить пачти на винду. Когда я последний раз ставил какой-то патч, у меня все стало лагать и половина ничего не работало, я делал восстановление. Но теперь установив эти, вижу, что всё работает нормально, перед логом отключил восстановление. После включил.
    Сканированеи с помощью GMER делается довольно долго, так что пока в процессе.
    Вложения Вложения

  8. #7
    Junior Member Репутация
    Регистрация
    26.12.2008
    Сообщений
    22
    Вес репутации
    33
    Наконец то Gmer закончил проверку. Вот лог.
    Вложения Вложения
    • Тип файла: log gmer.log (27.0 Кб, 10 просмотров)

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Почистите систему от мусора http://virusinfo.info/showthread.php?t=10025.
    Обновите базы антивируса и сделайте полную проверку.

  10. #9
    Junior Member Репутация
    Регистрация
    26.12.2008
    Сообщений
    22
    Вес репутации
    33
    А как же лог Gmer? Или этим занимается Aleksandra?
    Просто вот эти штуки кажется надо исправлять
    Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] coripogd <-- ROOTKIT !!!
    Reg HKLM\SYSTEM\CurrentControlSet\Services\coripogd\Pa rameters@ServiceDll C:\WINDOWS\system32\ucgkglr.dll
    Reg HKLM\SYSTEM\ControlSet002\Services\coripogd\Parame ters@ServiceDll C:\WINDOWS\system32\ucgkglr.dll

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    опа... мой промах

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteService('coripogd');
     QuarantineFile('C:\WINDOWS\system32\ucgkglr.dll','');
     DeleteFile('C:\WINDOWS\system32\ucgkglr.dll');
     RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\coripogd','Description');
     RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\coripogd');
     DeleteFileMask('%tmp% ','*.* ',true );
     BC_ImportAll;
     ExecuteSysClean;
     BC_DeleteSvc('coripogd');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!
    Пришлите карантин согласно приложению 3 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=43828

    3. Повторите лог Gmer.
    Сердце решает кого любить... Судьба решает с кем быть...

  13. #12
    Junior Member Репутация
    Регистрация
    26.12.2008
    Сообщений
    22
    Вес репутации
    33
    Карантин выслал, а лог Gmer этак часов через 5 наверно пришлю, а если увижу, что по времени сегодня уже успевать не буду то завтра.

    Добавлено через 5 минут

    Так...Думаю работка вируса...Когда ставлю галочку на показывать скрытые файлы и папки и жму ОК, окошко закрывается, но папки не отображаются! Захожу в свойтва и как-будто я ничего не изменял.
    Последний раз редактировалось mo3rnuts; 15.04.2009 в 19:44. Причина: Добавлено

  14. #13
    Junior Member Репутация
    Регистрация
    26.12.2008
    Сообщений
    22
    Вес репутации
    33
    Хмм, полный лог я не делал. Когда заходишь в Gmer, он делает пятисекундное быстрое сканирование. Смотрите сами, он это выделил красным цветом.
    SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xB5E5C0A8] <-- ROOTKIT !!!
    SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xB5E5C110] <-- ROOTKIT !!!
    Service (*** hidden *** ) coripogd <-- ROOTKIT !!!
    Лог Gmer пока в процессе.
    Вложения Вложения
    • Тип файла: log gmer.log (1.6 Кб, 2 просмотров)

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Делайте полный лог Gmer.
    Сердце решает кого любить... Судьба решает с кем быть...

  16. #15
    Junior Member Репутация
    Регистрация
    26.12.2008
    Сообщений
    22
    Вес репутации
    33
    Аааааа, я сглупил, сейчас скан закончился, я хотел нажать save,а нажал scan, и вообще gmer с ошибкой вылетел . Может все таки я небуду сканировать диск D? все таки там просто фалйы с моего прошлого жёсткого диска. Ну так или иначе теперь только завтра. Главное я увидел, что опять он видит скрытый процесс
    Service (*** hidden *** ) coripogd <-- ROOTKIT !!!
    И вот тут только две, но он после скана штук 10-15 таких написал, выделил красным, как руткит.
    SDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xB5E5C0A8] <-- ROOTKIT !!!
    SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xB5E5C110] <-- ROOTKIT !!!

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    На Клифа внимания не обращайте, это KAV, он всегда так.

  18. #17
    Junior Member Репутация
    Регистрация
    26.12.2008
    Сообщений
    22
    Вес репутации
    33
    Ура! Вот полный лог Gmer.
    Вложения Вложения
    • Тип файла: log gmer.log (29.0 Кб, 5 просмотров)

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    1. Скачайте IceSword. Запустите, слева внизу нажмите Registry, затем найдите ветки:

    HKLM\SYSTEM\CurrentControlSet\Services\coripogd
    и удалите все ключи с coripogd...

    Тоже самое на

    HKLM\SYSTEM\ControlSet002\Services\coripogd
    2. Сделайте контрольный лог Gmer.

    Как искать и удалять ключи реестра с помощью IceSword http://virusinfo.info/showthread.php?t=39413
    Сердце решает кого любить... Судьба решает с кем быть...

  20. #19
    Junior Member Репутация
    Регистрация
    26.12.2008
    Сообщений
    22
    Вес репутации
    33
    А удалять целую папку coripogd из services, или то что в самой папке coripogd удалить, а саму папку оставить?

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Удалять все ключи с coripogd. Если Вы не понимаете как это делать, то пройдите по ссылке которую я дала вверху.
    Сердце решает кого любить... Судьба решает с кем быть...

  • Уважаемый(ая) mo3rnuts, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Net-Worm.Win32.Kido.ih
      От HEDUARDO в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 15.09.2010, 07:10
    2. Net-Worm.Win32.Kido.ih и Worm.Win32.AutoRun.ezt
      От zagraba в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 06.12.2009, 11:53
    3. Ответов: 24
      Последнее сообщение: 11.04.2009, 23:10
    4. Net-Worm.Win32.Kido.dv
      От Oldmans в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.02.2009, 16:31
    5. Net-Worm.Win32.Kido.fw
      От Mannokia в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 14.01.2009, 18:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00934 seconds with 17 queries