Kido.ih никак не лечиться

[Steel Rain]

Приветствую, господа.

 

Следующая проблемка: В понедельник лечил зверинец на клиентском ноуте, много было всякой живности, среди прочего Kido.ih. Прошелся AVZ, сделал им же восстановление системы. Пролечил утилиткой KK.exe 3.4.13 кажется, утилитка честно нашла несколько зараженных файлов и покоцала их. Потом опаса ради удалил System Volume Information все Temp и иже с ними у всех пользователей. Да, все это в безопасном режиме. Далее перезагрузился. Обновил KAV 2010 и сделал полную проверку. Ничего не нашлось. Ещё раз прогнал КК, тоже пусто. С чистой совестью отдал клиенту.

Через день звонит, с жалобой, что после включения ноута KAV через несколько минут сообщае что нашел вирус и завершает работу системы. Посмотрел, да действительно, обнаруживает Kido.ih в System32 и в темпах NetUser. Повторил все предыдущие операции. Отдал ноут.

Сегодня проблема повторилась. Клиент, бия себя пяткой в грудь, клянется что в инет не ходил, флешек не вставлял и ничего противоестественного не делал... Я теряюсь... Выкладываю логи, может быть чего пропустил...

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[snifer67]

- Закройте/выгрузите все программы кроме Internet Explorer.

Отключите

- ПК от интернета/локальной сети.

 

- Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\CzvrF.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\CzvrF.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

- ПК перезагрузится.

 

- Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

- Карантин отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html . В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

- Сделайте новые логи.

[Falcon]

+ к совету snifer67

 

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.

- нажмите No, если вы хотите оставить ваши сохраненные пароли.

- если вы используете Opera, нажмите Opera - Select All - Empty Selected.

- нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

 

Дополнительно:

- Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

 

Также ждем новые логи AVZ.

[Steel Rain]

Что то мне тоже этот файлик не понравился... Но на ноуте столько всяких г-нопрограмм наставлено... как то побоялся я его удалять. А зря, видимо...

Карантин отправил. Жду ответа.

 

Добавляю новые логи.

virusinfo_syscheck.zip

virusinfo_syscure.zip

GMER.log

hijackthis.log

Изменено 19 февраля, 2010 пользователем Steel Rain

[snifer67]

Чисто

 

Установите IE8

[Steel Rain]

Благодарю всех за помощь.