Показано с 1 по 14 из 14.

Net-Worm.Win32.Kido.ih (заявка № 49286)

  1. #1
    Junior Member Репутация
    Регистрация
    06.12.2007
    Сообщений
    134
    Вес репутации
    37

    Thumbs down Net-Worm.Win32.Kido.ih

    Доброго времени суток. Посмотрите пожалуйста логи, касперским проверяли, но он не удалил почему то вирус... симптомы - интернет соединение рвётся каждые 15 минут примерно...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Отключите восстановление системы!
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\01.tmp','');
     DeleteFile('C:\WINDOWS\system32\01.tmp');
    BC_ImportDeletedList;
    ExecuteSysClean;
     BC_DeleteSvc('pqjyt');
     BC_DeleteSvc('efxvlcd');
     BC_DeleteSvc('dwclxytah');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=49286).

    Сделайте новый лог syscheck (только п.2 раздела Диагностика).
    Сделайте лог gmer .
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    06.12.2007
    Сообщений
    134
    Вес репутации
    37
    Карантин выслал, лог прирепил...
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\ynbrd.dll','');
    DeleteFile('C:\WINDOWS\system32\ynbrd.dll');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=49286).

    Добавлено через 2 минуты

    Сохраните следующий код в виде файла runme.bat и поместите в папку с gmer:
    Код:
    gmer.exe -del file "C:\WINDOWS\system32\ynbrd.dll"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kqrdmrkv"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\txcuhdwwx"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kqrdmrkv"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\txcuhdwwx"
    gmer.exe -reboot
    Запустите этот файл.
    Компьютер перезагрузится.
    Сделайте новый лог gmer.
    Последний раз редактировалось Bratez; 04.07.2009 в 16:06. Причина: Добавлено
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    06.12.2007
    Сообщений
    134
    Вес репутации
    37
    Карантин выслал, лог делается...

    Добавил лог gmer...
    Вложения Вложения
    • Тип файла: log 123.log (47.4 Кб, 3 просмотров)
    Последний раз редактировалось LoMo; 04.07.2009 в 16:58.

  7. #6
    Junior Member Репутация
    Регистрация
    06.12.2007
    Сообщений
    134
    Вес репутации
    37
    Добавил лог.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    в логе чисто ...

  9. #8
    Junior Member Репутация
    Регистрация
    06.12.2007
    Сообщений
    134
    Вес репутации
    37
    V_Bond, вот только что опять отвалился интернет... соединения интернета (в виде значка в трее) остаётся а его юзать уже не получается... и пере подключиться не возможно, только после ребута компа....

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Давайте новые логи. Может, опять кто залез.

  11. #10
    Junior Member Репутация
    Регистрация
    06.12.2007
    Сообщений
    134
    Вес репутации
    37
    Вооть....
    Вложения Вложения

  12. #11
    Junior Member Репутация
    Регистрация
    06.12.2007
    Сообщений
    134
    Вес репутации
    37
    Вот лог касперского....(1111)
    После перезагрузки (2222)
    Вложения Вложения
    • Тип файла: txt 1111.txt (13.8 Кб, 3 просмотров)
    • Тип файла: txt 2222.txt (15.6 Кб, 2 просмотров)
    Последний раз редактировалось LoMo; 04.07.2009 в 19:51.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Похоже это как раз для Вас:
    Краткое описание семейства Net-Worm.Win32.Kido. (По ESETу Win32/Conficker)
    ......
    Внимание! С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:
    * Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001 (на данных страницах вам необходимо выбрать операционную систему, которая установлена на зараженном компьютере, скачать нужный патч и установить его).
    * Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр. Либо сменить ранее установленный пароль локального администратора.
    * Отключить автозапуск исполняемых файлов со съемных носителей, запустив утилиту KK.exe с ключом -a.
    * Заблокировать доступ к TCP-портам: 445 и 139 с помощью сетевого экрана.
    Так же не помешает и лечение провести (профилактическое):
    Способы удаления
    Удаление сетевого червя производится с помощью специальной утилиты KK.exe.

    Локальное удаление:

    1. Скачайте архив KK_v3.4.7.zip и распакуйте его в отдельную папку на зараженной машине.
    2. Запустите файл KK.exe .

    Замечание
    По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KK.exe с ключом -y.
    3. Дождитесь окончания сканирования.
    ВниманиеЕсли на компьютере, на котором запускается утилита KK.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.
    4. Выполните сканирование всего компьютера с помощью вашего Антивируса.
    А собственно корень проблемы тут:
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Пока не обновите - он будет постоянно пытаться к вам забраться
    The worst foe lies within the self...

  14. #13
    Junior Member Репутация
    Регистрация
    06.12.2007
    Сообщений
    134
    Вес репутации
    37
    Всё, проблемам решилась переустановкой ОС... Всем спасибо, кто помогал

    P.S.
    Kuzz
    И утилита KK.exe не помогла...
    Последний раз редактировалось LoMo; 06.07.2009 в 02:44.

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\system volume information\_restore{98fa1193-dd64-4192-91ef-171f2858fea3}\rp95\a0018000.exe - not-a-virus:AdWare.Win32.SaveNow.by ( DrWEB: Adware.SaveNow, BitDefender: Adware.Savenow.CA )
      2. c:\windows\system32\ynbrd.dll - Net-Worm.Win32.Kido.ih ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen )


  • Уважаемый(ая) LoMo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Net-Worm.Win32.Kido.ih и Worm.Win32.AutoRun.ezt
      От zagraba в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 06.12.2009, 11:53
    2. Net-Worm.Win32.Kido.ih
      От Овсянников в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 30.09.2009, 17:44
    3. Net-Worm.Win32.kido.ih
      От Gorich в разделе Помогите!
      Ответов: 24
      Последнее сообщение: 30.06.2009, 19:12
    4. Ответов: 24
      Последнее сообщение: 11.04.2009, 23:10
    5. Net-Worm.Win32.Kido.ih
      От Kateryna в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.02.2009, 10:37

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00871 seconds with 17 queries