shilo15243 0 Опубликовано 14 октября, 2009 Share Опубликовано 14 октября, 2009 Здравствуйте! Поймал я видимо недавно, а может и уже давно вирус в сеть.... Kido Провозился выходные каждую тачку отключал от сети и чистил.... и был уверен, что вычистил сеть от этой гадости.... не тут то было.... На компе(1) стоит касперский 6 с новейшими базами. Проверка показала, что комп полностью чист. Вставляю в него флешку, форматирую, пихаю её в другой комп(2)(на нём такойже касперский) - хлоп! найдён вирус КИДО(вторун+recycler с инфицированым файлом)... вывод- всётаки кидо на компе(1) есть... но каспер, КК и доктор веб не видят его тело(или как там оно называется) которое якобы должно быть в папке System32(ну или гдето ещё), которое как раз и создаёт эти авторуны на сменные носители и сетевые диски. Сделал всё как написано в инструкции http://support.kaspersky.ru/kis2009/error?qid=208636215 ни к чему не привело... каспер говорит что у меня вируса как небыло так и нету стоит ли теперь пробовать вот это- http://www.securrity.ru/articles/392-kak-u...dup-i-kido.html http://www.securrity.ru/articles/409-kak-o...a-kido-aka.html встают такие вопросы: 1) каким образом отследить наличие КИДО в системе, кроме как по знакомым симптомам??? 2)существует ли модификации вируса, которые не искореняются способом, данным в ссылке(может он записывается в другие ветки реестра или ещё чтонить ещё.... и эта методика уже не проканает?) 3) появляются ли "новые версии" КИДО, удаление руками которых по данной методике УЖЕ не помогает? (просто не хочется проделывать данные операции на всех машинах сети, при этом не зная на сколько они эффективны в моём случае и что за модификация КИДО сидит именно у меня. И опять же если нет способа проверить сработало ли это удаление руками или нет) ВОБЩЕМ ЧТО ДЕЛАТЬ И КТО ВИНОВАТ?? -))))) Цитата Ссылка на сообщение Поделиться на другие сайты
Добрый Заазыч 630 Опубликовано 14 октября, 2009 Share Опубликовано 14 октября, 2009 (изменено) кидо, обычно не пускает на сайты kaspersky и советую поставить 2010 версию антивируса! а программки для кидо которые ты отписал, попробуй! я удалил кидо со своего пк с помощью лечилки какой то брал с сайта касперский..... мне писали где то ссылку Изменено 14 октября, 2009 пользователем Zaaza Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 14 октября, 2009 Share Опубликовано 14 октября, 2009 Выполните правила http://forum.kasperskyclub.ru/index.php?showtopic=1698 и предоставьте логи с компьютера, на котором, по Вашему мнению, есть вирус Цитата Ссылка на сообщение Поделиться на другие сайты
shilo15243 0 Опубликовано 15 октября, 2009 Автор Share Опубликовано 15 октября, 2009 Вот логи.... А Вы не можете научить по этим логам самому определять наличие вируса(ну или подсказать какой-нибудь другой способ выявления Kido)? а то у меня ещё около 20 машин... я ведь Вас замучаю... Антивирусники с новейшими базами его не видят.... но авторуны КИДОвские на флешки создаются.... сеть тормозит СТРАШНО. сетевой диск каждый день по пару раз отваливается, кроме перезагрузки сервера ничто не спасает... чтото началось твориться уже мне кажется с правами доступа на папки. Админю совсем недолго, поэтому пока толком не соображаю. Когда устроился на работу, на сервере у Администратора не стояло пароля вообще... в один прекрасный день случается глюк... перегружаю сервер - а он у меня пароль спрашивает! снёс прогой с диска ЗВЕРЬ, установил надёжный теперь. Вирусняк мог пароль установить? может это и смешной вопрос, но мне тогда было не до смеха. логи version.txt virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 15 октября, 2009 Share Опубликовано 15 октября, 2009 (изменено) А kido killer не устраивает ? Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\servises.exe',''); DeleteFile('C:\WINDOWS\system32\servises.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','servises'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','servises'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Сделайте новые логи. Изменено 15 октября, 2009 пользователем snifer67 Цитата Ссылка на сообщение Поделиться на другие сайты
shilo15243 0 Опубликовано 16 октября, 2009 Автор Share Опубликовано 16 октября, 2009 А kido killer не устраивает ? Он вирус не находит(если вы об этом) Сделайте новые логи. Я так понимаю теже, что и в прошлый раз.... Вот новые логи.... Какой диагноз, профессор? hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 16 октября, 2009 Share Опубликовано 16 октября, 2009 Ничего плохого не увидел. Проблема решена? Цитата Ссылка на сообщение Поделиться на другие сайты
shilo15243 0 Опубликовано 16 октября, 2009 Автор Share Опубликовано 16 октября, 2009 Ничего плохого не увидел. Проблема решена? Несовсем. 1 главный вопрос который задаю уже милион раз. Как найти заразу(Кидо) если антивирус её не видит(КК, которым рекомендуется лечить это в большенстве статей, его в упор не видит, каспер видит но не может удалить!, а доктор веб может удалить, но видит только когда его носом ткнёшь в конкретную папку, в которой его уже нашёл каспер.... бред какойто). Это или у меня уже паранойя или чёто залезло ко мне в сеть совсем экзотическое. 2 может ли сетевой экран касперского 6 препятствовать распространению гадости этой по сети. 3.Немогли бы вы посмотреть логи с сервера, т.к. симптомы там очень схожи с описанными в статьях И вот ещё... нашёл такую страничку http://www.altnet.com.ua/index.php?option=...-01-14-09-06-35 обратите внимание на пункты 6 и 7. Возможно там написана и полная бредятина, но вторая ссылка у меня не открылась... а на сервере открылась... это можно считать за симптом? quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Товарищи вирусные аналитики говорят, что у меня всё чисто.... надо также сервер проверить... Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 16 октября, 2009 Share Опубликовано 16 октября, 2009 Кидо блокирует доступ к сайтам антивирусных компаний и сайту Майкрософт У Вас же вторая ссылка ведет непонятно куда Какую версию Кидо детектит антивирус? Логи с сервера в отдельную тему Цитата Ссылка на сообщение Поделиться на другие сайты
shilo15243 0 Опубликовано 19 октября, 2009 Автор Share Опубликовано 19 октября, 2009 Какую версию Кидо детектит антивирус? обнаружено: вирус Net-Worm.Win32.Kido.ir (детектирует Касперский) Логи с сервера в новой теме - http://forum.kasperskyclub.ru/index.php?showtopic=12499 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.