Показано с 1 по 10 из 10.

Есть подозрение на Kido, не обновляются базы антивируса, закрыт доступ к некоторым сайтам, тормозит комп. (заявка № 77884)

  1. #1
    Junior Member Репутация
    Регистрация
    06.05.2010
    Сообщений
    5
    Вес репутации
    29

    Exclamation Есть подозрение на Kido, не обновляются базы антивируса, закрыт доступ к некоторым сайтам, тормозит комп.

    Здравствуйте! Бьюсь неделю над очисткой машины, перепробовал разные утилиты - ни одна не видит вирус... 2 недели назад начал тормозить компьютер и интернет. Сначала подумал на память - поставил недавно 2Гб, затем на IE - поставил FireFox, проблема осталась. ОС - Windows XP SP2 с дополнениями по безопасности. Дома стоял Стрим-Антивирус от F-Secure без проверки входящего трафика :-( вот и подцепил кучу всего, сам виноват. Комп тормозит, нет доступа к антивирусным и некоторым другим сайтам, периодически мелькает (обновляется) рабочий стол, иногда самопроизвольно перезагружается Винда, идёт левый трафик (не успел пока проверить куда именно).

    Сначала запустил AVZ, который ничего особенного не нашёл, но зато в это время мой антивир нашёл и почистил W32/Bagle.SR. Не помогло. Начал разбираться что к чему, проверил машину Dr. Web CureIt и AVP Tool. CureIt нашёл и вылечил Trojan.Packed.20032. Больше ничего на компьютере "интересного" ни один антивир не обнаружил.

    Проверил комп на сайте группы по борьбе с Кидо - показало наличие вируса типа А/В. Начал бороться. Установил обновления для винды KB921883, KB885250, KB923414, KB957097, KB958644, KB958687. Закрыл 445 порт. В реестре нашёл ветку netsvc, как верный признак Кидо - удалил. К сожалению, я поторопился, т.к. только после прочитал, что нужно было открыть полный доступ к этой ветке, посмотреть скрытый путь к dll вируса и удалить файл. В итоге этого я не сделал. Странно то, что в службе Svchosts в разделе netsvc никаких левых процессов не было указано, дважды проверял. Потом прочитал, что такое возможно, если комп заражён Kido.Х (или D). Сейчас он набирает обороты, т.к. стал более хитро прятаться и в реестре и в системе. Проверил утилитой от MS - kb890830. Прогонял и проверял машину разными прогами: Gmer, kk, klwk, OSAM, antikido, RootkitRevealer, mbam, ComboFix, Anti-kido, anti-Downadup, dcleaner - ничего не нашёл... Но проблема осталась... Да, все проги в основном скачивал через анонимайзеры.

    Прошу помочь мне, т.к. единственная надежда осталась на AVZ и вашу помощь. Заранее благодарен.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ARMA9000
    Регистрация
    16.09.2009
    Сообщений
    1,987
    Вес репутации
    93
    Здравствуйте.
    С ComboFix надо быть осторожнее. Логи остались от работы этой проги?
    Выполните скрипт:
    Код:
    begin
     ExecuteRepair(20);
    ExecuteWizard('TSW', 2, 2, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Поставьте SP3+ все обновы (может потребоваться активация). Логи повторите. О проблемах отпишитесь.

  4. #3
    Junior Member Репутация
    Регистрация
    06.05.2010
    Сообщений
    5
    Вес репутации
    29
    Спасибо!

    Скрипт выполнил, сайты открываются нормально. Хотел уточнить, что скрипт перегрузил в системе? Что касается поведения машины - передёргивание рабочего стола осталось, левый трафик идёт, более того, прежде чем загружается нужная страница - периодически идёт сначала обращение к разным левым адресам в фоновом режиме, причём зайти на них я не могу - пробовал.

    Кроме того, как быть с netsvc? Раздел в реестре был создан. AVZ определяло и определяет неизвестных перехватчиков, то spni.sys, то другую какую-то, а в последнем сканировании spkp.sys. Причём имена меняются... Кстати, я не нахожу на винте эти файлы, хотя открыл через реестр скрытые системные файлы Винды. Никаких dll, exe, sys файлов, непонятных мне, на винте я тоже не нашёл.

    И ещё, насколько я уже понял, запись типа:
    \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89F0E1F8 -> перехватчик не определен
    в AVZ может ещё означать, что комп заражён файловым вирусом?

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    401
    Цитата Сообщение от Rhett Посмотреть сообщение
    Раздел в реестре был создан. AVZ определяло и определяет неизвестных перехватчиков, то spni.sys, то другую какую-то, а в последнем сканировании spkp.sys.
    Это от DAEMON Tools
    Сделайте лог MBAM

    Добавлено через 32 минуты

    Надо проверить некоторые файлы, выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\WINDOWS\system32\wscntfy.exe',' ');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Последний раз редактировалось Шапельский Александр; 07.05.2010 в 22:53. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    06.05.2010
    Сообщений
    5
    Вес репутации
    29
    Делал сканирование 4-го. MBAM Нашёл один и удалил файл:

    Зараженные файлы:
    C:\Documents and Settings\NetworkService\Application Data\fvgqad.dat (Malware.Trace) -> Quarantined and deleted successfully.

    Лог ComboFix прилагаю. Свежий лог быстрого сканирования MBAM тоже - чисто. Полное сканирование нужно?

    DAEMON Tools я удалил, но видимо не на 100%. А окончательно можно убрать? На будущее, чтобы уметь...

    Файл закачал, из наблюдений за машиной - мышь уводит время от времени в разные стороны.
    Последний раз редактировалось Rhett; 07.05.2010 в 23:04.

  7. #6
    Junior Member Репутация
    Регистрация
    06.05.2010
    Сообщений
    5
    Вес репутации
    29
    Как добавление. Один из первых сканов HiJacka нашёл какой-то файл в реестре userini.exe (без T на конце). Сам файл я не увидел, но ветка в реестре была - её я удалил и попробовал зафиксить на всякий случай этот файл через HiJack. Старый лог от 29.04 прилагаю.

    Кстати, gmer под своим именем не запускался - приходилось переименовывать, так же как и HiJack и ещё пару программ.
    Последний раз редактировалось Rhett; 08.05.2010 в 08:03.

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    http://virusinfo.info/showpost.php?p=633784&postcount=2 - после этого сообщения логи AVZ надо было повторить. Да, и лог Хиджака тоже.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    06.05.2010
    Сообщений
    5
    Вес репутации
    29
    Я понял, спасибо, повторю логи после SP3.
    Последний раз редактировалось Rhett; 08.05.2010 в 14:20.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Сразу после SP3 выполните в AVZ скрипт из файла ScanVuln.txt.
    Пройдитесь по ссылкам из файла avz_log.txt из под-папки log и установите обновления.
    Перезагрузите компьютер.
    Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Rhett, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 24.06.2011, 22:32
    2. Ответов: 14
      Последнее сообщение: 20.11.2010, 00:11
    3. Не обновляются базы антивируса ESS
      От gjk2903 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 02.05.2010, 22:37
    4. Блокируется доступ к некоторым сайтам
      От tsvoff в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 11.03.2010, 20:47
    5. Закрыт доступ к сайтам
      От andreybarboz в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.07.2009, 12:38

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01592 seconds with 16 queries