shilo15243 Опубликовано 14 октября, 2009 Share Опубликовано 14 октября, 2009 Здравствуйте! Поймал я видимо недавно, а может и уже давно вирус в сеть.... Kido Провозился выходные каждую тачку отключал от сети и чистил.... и был уверен, что вычистил сеть от этой гадости.... не тут то было.... На компе(1) стоит касперский 6 с новейшими базами. Проверка показала, что комп полностью чист. Вставляю в него флешку, форматирую, пихаю её в другой комп(2)(на нём такойже касперский) - хлоп! найдён вирус КИДО(вторун+recycler с инфицированым файлом)... вывод- всётаки кидо на компе(1) есть... но каспер, КК и доктор веб не видят его тело(или как там оно называется) которое якобы должно быть в папке System32(ну или гдето ещё), которое как раз и создаёт эти авторуны на сменные носители и сетевые диски. Сделал всё как написано в инструкции http://support.kaspersky.ru/kis2009/error?qid=208636215 ни к чему не привело... каспер говорит что у меня вируса как небыло так и нету стоит ли теперь пробовать вот это- http://www.securrity.ru/articles/392-kak-u...dup-i-kido.html http://www.securrity.ru/articles/409-kak-o...a-kido-aka.html встают такие вопросы: 1) каким образом отследить наличие КИДО в системе, кроме как по знакомым симптомам??? 2)существует ли модификации вируса, которые не искореняются способом, данным в ссылке(может он записывается в другие ветки реестра или ещё чтонить ещё.... и эта методика уже не проканает?) 3) появляются ли "новые версии" КИДО, удаление руками которых по данной методике УЖЕ не помогает? (просто не хочется проделывать данные операции на всех машинах сети, при этом не зная на сколько они эффективны в моём случае и что за модификация КИДО сидит именно у меня. И опять же если нет способа проверить сработало ли это удаление руками или нет) ВОБЩЕМ ЧТО ДЕЛАТЬ И КТО ВИНОВАТ?? -))))) Ссылка на комментарий Поделиться на другие сайты More sharing options...
Добрый Заазыч Опубликовано 14 октября, 2009 Share Опубликовано 14 октября, 2009 (изменено) кидо, обычно не пускает на сайты kaspersky и советую поставить 2010 версию антивируса! а программки для кидо которые ты отписал, попробуй! я удалил кидо со своего пк с помощью лечилки какой то брал с сайта касперский..... мне писали где то ссылку Изменено 14 октября, 2009 пользователем Zaaza Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 14 октября, 2009 Share Опубликовано 14 октября, 2009 Выполните правила http://forum.kasperskyclub.ru/index.php?showtopic=1698 и предоставьте логи с компьютера, на котором, по Вашему мнению, есть вирус Ссылка на комментарий Поделиться на другие сайты More sharing options...
shilo15243 Опубликовано 15 октября, 2009 Автор Share Опубликовано 15 октября, 2009 Вот логи.... А Вы не можете научить по этим логам самому определять наличие вируса(ну или подсказать какой-нибудь другой способ выявления Kido)? а то у меня ещё около 20 машин... я ведь Вас замучаю... Антивирусники с новейшими базами его не видят.... но авторуны КИДОвские на флешки создаются.... сеть тормозит СТРАШНО. сетевой диск каждый день по пару раз отваливается, кроме перезагрузки сервера ничто не спасает... чтото началось твориться уже мне кажется с правами доступа на папки. Админю совсем недолго, поэтому пока толком не соображаю. Когда устроился на работу, на сервере у Администратора не стояло пароля вообще... в один прекрасный день случается глюк... перегружаю сервер - а он у меня пароль спрашивает! снёс прогой с диска ЗВЕРЬ, установил надёжный теперь. Вирусняк мог пароль установить? может это и смешной вопрос, но мне тогда было не до смеха. логи version.txt virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты More sharing options...
snifer67 Опубликовано 15 октября, 2009 Share Опубликовано 15 октября, 2009 (изменено) А kido killer не устраивает ? Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\servises.exe',''); DeleteFile('C:\WINDOWS\system32\servises.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','servises'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','servises'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Сделайте новые логи. Изменено 15 октября, 2009 пользователем snifer67 Ссылка на комментарий Поделиться на другие сайты More sharing options...
shilo15243 Опубликовано 16 октября, 2009 Автор Share Опубликовано 16 октября, 2009 А kido killer не устраивает ? Он вирус не находит(если вы об этом) Сделайте новые логи. Я так понимаю теже, что и в прошлый раз.... Вот новые логи.... Какой диагноз, профессор? hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 16 октября, 2009 Share Опубликовано 16 октября, 2009 Ничего плохого не увидел. Проблема решена? Ссылка на комментарий Поделиться на другие сайты More sharing options...
shilo15243 Опубликовано 16 октября, 2009 Автор Share Опубликовано 16 октября, 2009 Ничего плохого не увидел. Проблема решена? Несовсем. 1 главный вопрос который задаю уже милион раз. Как найти заразу(Кидо) если антивирус её не видит(КК, которым рекомендуется лечить это в большенстве статей, его в упор не видит, каспер видит но не может удалить!, а доктор веб может удалить, но видит только когда его носом ткнёшь в конкретную папку, в которой его уже нашёл каспер.... бред какойто). Это или у меня уже паранойя или чёто залезло ко мне в сеть совсем экзотическое. 2 может ли сетевой экран касперского 6 препятствовать распространению гадости этой по сети. 3.Немогли бы вы посмотреть логи с сервера, т.к. симптомы там очень схожи с описанными в статьях И вот ещё... нашёл такую страничку http://www.altnet.com.ua/index.php?option=...-01-14-09-06-35 обратите внимание на пункты 6 и 7. Возможно там написана и полная бредятина, но вторая ссылка у меня не открылась... а на сервере открылась... это можно считать за симптом? quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Товарищи вирусные аналитики говорят, что у меня всё чисто.... надо также сервер проверить... Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 16 октября, 2009 Share Опубликовано 16 октября, 2009 Кидо блокирует доступ к сайтам антивирусных компаний и сайту Майкрософт У Вас же вторая ссылка ведет непонятно куда Какую версию Кидо детектит антивирус? Логи с сервера в отдельную тему Ссылка на комментарий Поделиться на другие сайты More sharing options...
shilo15243 Опубликовано 19 октября, 2009 Автор Share Опубликовано 19 октября, 2009 Какую версию Кидо детектит антивирус? обнаружено: вирус Net-Worm.Win32.Kido.ir (детектирует Касперский) Логи с сервера в новой теме - http://forum.kasperskyclub.ru/index.php?showtopic=12499 Ссылка на комментарий Поделиться на другие сайты More sharing options...
От Anix
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти