Похоже опять Kido [LOG+]

[kilo]

Нет доступа к сайту Касперского, и других антивирусов.

Логи AVZ не делаются происходит бсод при сканировании

Прилогаю лог gmer

1.log

[ika-ilya]

Нет доступа к сайту Касперского, и других антивирусов.

Логи AVZ не делаются происходит бсод при сканировании

Прилогаю лог gmer

Держи утилиту KKiller для удаления Net-Worm.Win32.Kido.

KK_v3.4.7.zip

Narod.ru

Rapidshare.com

[kilo]

Я запусткал эту утилиту.

После ее запуска- сайткасперски успешно открылся, а обновления начали скачиваться, Но секунд через 20, инет переставал работать, обновления скачиваться, после нескольких перезагрузки сайт касперски не открывается, так же немогу установить заплатки

[ika-ilya]

kilo

KIS или KAV установлен? какая версия?

 

Рекомендации по удалению

 

1. Удалить ключ системного реестра:

[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]

2. Удалить строку "%System%\<rnd>.dll" из значения следующего параметра ключа реестра:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs"

3. Перезагрузить компьютер

4. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).

5. Удалить файл:

 

%System%\<rnd>.dll, где <rnd> - случайная последовательность символов.

6. Удалить следующие файлы со всех съемных носителей:

 

<X>:\autorun.inf

<X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\.vmx, где rnd – случайная последовательность строчных букв, X – буква съемного диска.

7. Скачать и установить обновление операционной системы по следующей ссылке: www.microsoft.com

8. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами.

[kilo]

Стоит KIS 2009 но неможит обновится

[FCK]

что пишет в логе?

поробуй пингануть, если не видит - посмотри файл hosts, если и чистка его не поможет - с 90% вероятностью kido или похожий вирь/руткит

[ТроПа]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt

 

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

Выложите логи ComboFix и Gmer.

[Falcon]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe:

gmer.exe -del service gjqdu
gmer.exe -del service rgvqt  
gmer.exe -del file "C:\WINDOWS\system32\pxeqog.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gjqdu"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rgvqt"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rgvqt"
gmer -reboot

И запустите cleanup.bat

[kilo]

Инет по прежнему отрубается. Правда после скрипта на сайт касперского стало нормально заходить и антивирусс наконец обновился. После обновления антивирусс нашол несколько вируссов, но проблеммы это не решило.

Так же знормально отработала AVZ прилогаю ее логи

Припопытки установить заплатки выдает сперва это "Встречено неверное значения тега ASN1" а потом "Установка"" не завершена"

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 29 июня, 2009 пользователем kilo

[thyrex]

Новый лог gmer сделайте.

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DkO122b0.exe','');
DeleteFile('C:\WINDOWS\system32\DkO122b0.exe');
DeleteFile('C:\Windows\Tasks\At1.job');
DeleteFile('C:\Windows\Tasks\At2.job');
DeleteFile('C:\Windows\Tasks\At3.job');
DeleteFile('C:\Windows\Tasks\At4.job');
DeleteFile('C:\Windows\Tasks\At5.job');
DeleteFile('C:\Windows\Tasks\At6.job');
DeleteFile('C:\Windows\Tasks\At7.job');
DeleteFile('C:\Windows\Tasks\At8.job');
DeleteFile('C:\Windows\Tasks\At9.job');
DeleteFile('C:\Windows\Tasks\At10.job');
DeleteFile('C:\Windows\Tasks\At11.job');
DeleteFile('C:\Windows\Tasks\At12.job');
DeleteFile('C:\Windows\Tasks\At13.job');
DeleteFile('C:\Windows\Tasks\At14.job');
DeleteFile('C:\Windows\Tasks\At15.job');
DeleteFile('C:\Windows\Tasks\At16.job');
DeleteFile('C:\Windows\Tasks\At17.job');
DeleteFile('C:\Windows\Tasks\At18.job');
DeleteFile('C:\Windows\Tasks\At19.job');
DeleteFile('C:\Windows\Tasks\At20.job');
DeleteFile('C:\Windows\Tasks\At21.job');
DeleteFile('C:\Windows\Tasks\At22.job');
DeleteFile('C:\Windows\Tasks\At23.job');
DeleteFile('C:\Windows\Tasks\At24.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделать новые логи

Изменено 29 июня, 2009 пользователем thyrex

[kilo]

Скрипт выполнил.

В карантин пустой поэтомц отправлять нестал.

Выкладываю новые логи

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

gmer.log

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DkO122b0.exe','');
DeleteService('vyolkpwhb');
StopService('vyolkpwhb');
QuarantineFile('C:\WINDOWS\system32\01.tmp','');
DeleteFile('C:\WINDOWS\system32\01.tmp');
DeleteFile('C:\WINDOWS\system32\DkO122b0.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

 

 

Пуск--панель управления--Назначенные задания удалите там всё.

 

Повторите логи.

[kilo]

Все выполнил, в карантин опять нечего не попало.

Выкладываю новые логи

 

Сообщение от модератора Falcon

quarantine.zip нам тут не нужно.

virusinfo_syscheck.zip

virusinfo_syscure.zip

ComboFix.rar

[RymMe]

Рекомендации по удалению

 

1. Удалить ключ системного реестра:

[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]

 

тот кто писал эту рекомендацию погорячился. kido.ih действительно прописывает себя в сервисах, только не с названием netsvcs, а как обычно, с произвольными символами. Описание службы также составляется из нескольких шаблонных слов.

[kilo]

Проблема по прежнему осталась. Значит вируссов у меня больше нет?