-
Junior Member
- Вес репутации
- 53
Win32.Kido.ih периодически всплывает
Добрый день!
На моем компьютере установлена XP лицензионная со всеми обновлениями. Но тем не менее, по сети, компьютер в локальной сети провайдера, периодически откуда-то приходит Win32.Kido.ih и записывается в файл c:\WINDOWS\system32\zypnbsjp.rhq
Установлен Антивирус Касперского 2010 и он вирусу не позволяет запускаться, блокируя на этапе WinExec (или что там для запуска в API).
Причем Касперский начинает "ругаться" в абсолютно случайный момент. Например, сегодня, только-только началась загрузка операционки и вот - см. приложенный файл с картинкой.
Я компьютер уже проверял 100 раз, в том числе с помощью загрузки антивируса с компакт-диска (который скачан у Касперского на сайте) - вирусов не найдено!
c:\windows\system32\wbem\wmiprvse.exe отправлял на Virustotal - вирусов нет!
А теперь вопросы -
1) Почему вирус Kido пролезает, ведь все дыры в ip-протоколе якобы должны быть закрыты патчами он Билла Гейтса? Он точно по сети лезет?
2) Если он пролезает на жесткий диск - чья это вина, Билла Гейтса или Касперского? Кто записывает файл на диск? Я файл c:\WINDOWS\system32\zypnbsjp.rhq стираю - а он появляется через время?
Может, c:\windows\system32\wbem\wmiprvse.exe тоже нужно стереть?
3) Как закрыть дыру, чтобы вирус не пролезал?
Заранее спасибо за помощь и советы.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 53
Спасибо за ответ!
Проверил по приведенной ссылке, критичные обновления у меня стоят с 2009 года!
12.11.2008 10:00 8*346 KB957097.log
24.10.2008 09:00 7*314 KB958644.log
02.02.2009 12:08 7*524 KB958687.log
Но на всякий случай я их скачал и еще раз установил
kk.exe который по ссылке предлагается как панацея - тоже ничего не нашел.
Но вирус все-равно просачивается. Прямо загадка какая-то!
Как же kido проходит через все барьеры? Мистика.
Еще нашел в корне какую-то папку непонятную, там залоченные файлы. Похожи на патчи от Билла Гейтса. Но почему же так неаккуратно патчат винду?
Содержимое папки C:\da2bb486c9a3ea51852a18\amd64
14.08.2009 12:04 <DIR> .
14.08.2009 12:04 <DIR> ..
06.07.2008 15:06 147*456 filterpipelineprintproc.dll
06.07.2008 15:06 10*929 msxpsdrv.cat
19.06.2008 08:33 2*204 msxpsdrv.inf
19.06.2008 11:03 73 msxpsinc.gpd
19.06.2008 08:33 72 msxpsinc.ppd
06.07.2008 15:06 748*032 mxdwdrv.dll
06.07.2008 17:36 2*936*832 xpssvcs.dll
7 файлов 3*845*598 байт
Содержимое папки C:\da2bb486c9a3ea51852a18\i386
14.08.2009 12:04 <DIR> .
14.08.2009 12:04 <DIR> ..
06.07.2008 15:06 89*088 filterpipelineprintproc.dll
06.07.2008 15:06 10*929 msxpsdrv.cat
19.06.2008 08:33 2*204 msxpsdrv.inf
19.06.2008 11:03 73 msxpsinc.gpd
19.06.2008 08:33 72 msxpsinc.ppd
06.07.2008 15:06 765*440 mxdwdrv.dll
06.07.2008 15:06 1*676*288 xpssvcs.dll
7 файлов 2*544*094 байт
Всего файлов:
15 файлов 6*389*692 байт
-
Пароли установлены надежные?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
thyrex
Пароли на что? На вход в Windows? Да, стоят, 8 символов.
Сегодня опять Касперский проснулся и ругнулся как на картинке из первого моего сообщения.
Патчи безопасности XP стоят. Откуда же он лезет? Что такое файл -
c:\windows\system32\wbem\wmiprvse.exe
За что он отвечает? Это не rpc (remote procedure call) случайно?
-
Сообщение от
jogodo
Пароли на что? На вход в Windows? Да, стоят, 8 символов.
Насколько сложен пароль?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Слово из словаря + две цифры год рождения
Перебрать в принципе можно, но разве Kido перебирает пароли?
Добавлено через 1 минуту
Кстати, уже 2 дня Kido перестал всплывать. Пароль не менял. Продолжаю наблюдение!
Последний раз редактировалось jogodo; 18.09.2010 в 15:51.
Причина: Добавлено