В поисках спрятовшейся заразы (Kido) [LOG+]

[shilo15243]

Здравствуйте!

Наболевшая тема(по крайней мере для меня)

Вот логи с сервера(Речь о которых была в теме http://forum.kasperskyclub.ru/index.php?showtopic=12369).

Нынешние симптомы - постоянно пропадает сетевой дик(когда пытаешься на него зайти, комп виснет намертво и чаще всего даже никакой ошибки не выдаёт, хотя сеть работает, интернет есть, терминальные подключения фунциклируют), тормозит сеть. Спасаюсь перезагрузкой сервера.... мерзко даже самому...

 

Логи созданны по образцу http://forum.kasperskyclub.ru/index.php?showtopic=1698

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[akoK]

KK не сработал?

[shilo15243]

KK не сработал

 

КК был твёрдо убеждён(и по сей день так думает), что сервер полностью чист, в то время как на нём водился тот самый Net-Worm.Win32.Kido.ir, так что доверия больше нет.

[миднайт]

Заплатки на сервер установите. КК должен был сработать (видимо кидо прилетел на машину из сети после работы КК). Не пойму что у вас с системой. Драйвера в одном месте, система в другом.

 

В АВЗ выполните скрипт (скрипт отключает автозапуск):

begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\Documents and Settings\Admin\WINDOWS\system32\smss.exe','');
RebootWindows(true);
end.

 

После перезагрузки

 

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

Ответ из вирлаба напишите тут.

[shilo15243]

Заплатки на сервер установите.

Установлены уже давно заплатки, рекомендованные в статье о борьбе с Кидо, более того... установил Эксплорер8 и обновил на сайте майкросовта всю систему(как я понял произвёлся мониторинг моих недостоющих патчей, после чего они были установлены(а ж 46штук))

 

(видимо кидо прилетел на машину из сети после работы КК)

На момент работы КК, Кидо уже был в системе, т.к. после КК я проверил ещё и касперским, который нашёл в общей папке(она же сетевой дик) авторун Net-Worm.Win32.Kido.ir и соответствующий файл в папке RECYKLER, но странно почемуто ничего не обнаружил в system32!

 

Драйвера в одном месте, система в другом

Пожалуйста, объясните что это значит, я не совсем понял.....

 

В АВЗ выполните скрипт (скрипт отключает автозапуск):

Автозагрузку уже давно выключил с помощью спец. скрипта(гдето в инете нашёл) и лишний раз это сделал запустив КК -а

 

с указанием пароля

password"virus в теле письма"? указать просто в тексте письма?

 

Скрипты выполню в конце раб. дня, результат выложу

[akoK]

миднайт, для сервера это нормально.

shilo15243, на сервере важен автозапуск со съемных носителей? (у вас его отключили)

 

Ознакомьтесь и выполните рекомендации

 

Если не поможет будем в полный рост лечить.

 

Включите востановление системы ... (подробнее)

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Необходимо установить Recovery Console по инструкции - Руководство по применению:

• Скачайте установочный файл для своей ОС и сохраните на рабочий стол.
  Windows XP Professional с пакетом обновления 2 (SP2)
  Windows XP Home Edition с пакетом обновления 2 (SP2)
   
  Установочный файл Recovery Console для Windows XP SP3 идентичен Windows XP SP2
   
  Если Вы используете Windows XP с пакетом обновления 1 (SP1) или Исходный выпуск Windows XP, то необходимо обязательно ознакомится со статьей Как получить установочные диски Windows XP и скачать установочный файл Recovery Console, который соответствует виду Вашей системы.
   
   
  
• Закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
  

2. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

3. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Как использовать ComboFix - Руководство по применению

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

Изменено 20 октября, 2009 пользователем akoK

[shilo15243]

Если не поможет будем в полный рост лечить

 

В поисках решения своей проблемы перелопатил весь гугл и прочитал милион рекомендаций по лечению с помощью КК(установи заплатки, выключи автозапуск, отключи восстановление системы и так далее ещё пунктов 20... вобщем кто на что горазд... ). Но так как КК мой вирус не видит(а симптомы присутствуют)... надо видимо искать/сносить руками...

По этой ссылке:

Ознакомьтесь и выполните рекомендации

Нашёл вот эту

*Инструкция от volk1234

http://virusnet.info/forum/showpost.php?p=...amp;postcount=3

где на редкость понятным языком(а человек я совершенно неопытный) даны рекомендации по удалению руками...

тем не менее возникли следующие вопросы:

 

 

1.

Цитата:

____________________________________________________

Определение заражения:

Лезем в реестр и проверяем параметр netsvcs в ветке

Code:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

 

если в списке служб в самом конце есть бессмысленный набор букв(типа xpprdjj) и вы не можете ассоциировать это название с легальными службами (у каждой службы кроме длинного есть короткое имя например - Автоматическое обновление: Wuauserv) - ( Можно посмотреть в остнастке службы либо с помощью любой другой утилиты, например, autoruns)

____________________________________________________

 

что значит "Можно посмотреть в остнастке службы"?

каким образом можно вычислить ВРАЖЕСКУЮ службу с помощью autoruns?

 

Цитата

__________________________________________________________

Удаляем сначала вирусную службу определенную ранее из списка служб в параметре netsvcs (в конце должна быть пустая строка) и убив саму службу в

Code:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

+ удалив указанную в соответстующей вирусу ветке dll-ку.

___________________________________________________________

 

"и убив саму службу в..." каким образом? просто снести папку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ <имя службы, которая найдена в параметре netsvcs в ветке ...\CurrentVersion\SvcHost и якобы является злокачественной > ?

"удалив указанную в соответстующей вирусу ветке dll-ку" её(соответствующую dll-ку) как найти?

//извините конечно за тупые вопросы))))