Windows 2000 + Net-Worm.Win32.Kido [ОК]

[SergKLC]

Добрый день

на ПК с XP SP2 вирус Kido побежден согласно письма оф.сайта ID:1956

 

а вот с ОС Window 2000 SP4 данная инструкция не помогает

- установлены сервиспаки

- автозапус отключен

- чистим все логи темпы

- убиваем КК.ехе v.3.4.7 вирус

 

ПК отключен от сетки - через несколько минут или при включении флэшки - вирус объявляется

 

P.S. на ПК ОЗУ-256Mb если ставлю КIS2009 - то кроме антивируса на ПК ни чего не работает.

Понимаю что легче выкинуть Kido с процессором в окно - нищета бюджетников останавливает.

[akoK]

SergKLC, автозапуск отключен? И почистите флешку.

 

Попробуем так

Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

[Alex56]

Извините akok, но в принципе достаточно только системный диск поставить галочку. Иначе процесс сканирования может сильно затянуться.

SergKLC отметьте только системный диск галочкой и выложите лог после сканирования.

Если gmer.exe не запустится или будет не активна кнопка Scan, то переименуйте gmer.exe в virus.exe

[akoK]

Иначе процесс сканирования может сильно затянуться.

Это да, но покажет скрытые/защищенные файлы (которые могут быть вредоносными).

 

SergKLC, снимите галки с несистемных дисков.

[SergKLC]

Не уточнил - установлен Avast (определяет, удаляет но вирус опять появляется)

автозапуск отключен и флэшка чистая (форматирую - только передернул на ней вирус)

 

вдогонку - в логах криминала не видел

а вот в C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\WLE3OHIF\ лежит вирусный файлик gkynkg[1].gif

- ничего умного не придумал - прописал батник при загрузке удаляет эти директории и делает тестирование

 

kk.exe -a -x -y

RMDIR "C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5" /Q /S

gmer_w2k.log

[SergKLC]

скачал утилиту windows-kb890830-v2.11.exe с оф.сайта Microsoft

Средство удаления вредоносных программ для Microsoft Windows удаляет некоторые из наиболее распространенных видов вредоносных программ с компьютеров под управлением Windows Vista, Windows Server 2003, Windows Server 2008, Windows XP и Windows

 

прогнал на ПК в режиме быстрая проверка - утилита ничего не нашла

в режиме полная проверка - нашла одну копию вируса Kido (Worm:Win32/Conficker.Blinf)

папку C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5

даже и не смотрела, хотя там вирус наплодился в 3 экземплярах.

[akoK]

Сейчас перезаражение происходит?

[SergKLC]

на ночь поставил делать полное сканировать Dr.Web_ом

на утро та же песня.

[akoK]

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

 

 

 

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1.Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[SergKLC]

так и сделал

 

После ComboFix.exe

перестал работать обзор сети (показывает сетевую группу, а при попытке подключения - "не найдено сетевое имя")

перестал работать SQL server - "Not Connected -\\" (вот и бюджетники -> для трех таблиц. SQL server ставят)

... а вирус так же процветает.

ComboFix.zip

[akoK]

комбофикс может временно сеть отключать. Посмотрите в секции Other Deletions и Drivers/Services, что убрала утилита и восстановите нужное из папки C:\Qoobox\Quarantine\ (там - же и файлик для востановления реестра).

 

Проверьте файлы:

c:\winnt\system32\internat.exe

c:\program files\Internet Explorer\Connection Wizard\icwconn1.exe

C:\launch.exe

 

Что за картинки?

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\[u]0[/u]]
Source= c:\documents and settings\All Users\Рисунок\[u]0[/u]4c65d95.jpg
FriendlyName=

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::

NetSvc::
tiszcaijv
txqol
grccm
yypsmlifm
Driver::
tiszcaijv
txqol
grccm
yypsmlifm
Folder::

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[SergKLC]

новый отчет

 

Проверьте файлы:

c:\winnt\system32\internat.exe

c:\program files\Internet Explorer\Connection Wizard\icwconn1.exe

C:\launch.exe

файлы проверил, криминала не увидел

 

Картинки как картинки цветочки.

 

появилось смутное желание переустановить ОС.

ComboFix.zip

[SergKLC]

Думаю, тема закрыта

лекарство не найдено

Решение - вместо W2K установил XP - вирусное заражение прекратилось

 

Всем большое спасибо за внимание.

[Apollon]

По просьбе топик стартёра

Сообщение от модератора User

Тема закрыта