Net-Worm.Win32.Kido

[Coracao]

Добрый день. Ребята у меня такая же проблема с этим непонятным вирусом, который создается в папке c:\windows\system32\x. Антивирус убивает этот файл а через некоторое время опять находит его в той же директории. Не понятно где то тело...? где тот файл, который постоянно забрасывает в ту директорию файл х. ? Очень бы хотелось найти и знать, что это за файл ... Я высылаю вам все логи, от АВЗ, ГМЕР и КОМБО-ФИКС. Сделал все, как было описанно в статье. Помогите пожалуйста дальше. Что делать ?

 

Windows XP SP3 EN version.

 

Большое спасибо заранее.

 

ЛогиLOG.rar

[Roman_Five]

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe

gmer.exe -del service fnmcmibj
gmer.exe -del service ktuiqik
gmer.exe -del service omxrbnjs
gmer.exe -del file "C:\WINDOWS\system32\dmpicna.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\omxrbnjs"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ktuiqik"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\fnmcmibj"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\omxrbnjs"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ktuiqik"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\fnmcmibj"
gmer.exe -reboot

Запустите сохранённый пакетный файл cleanup.bat.

Компьютер перезагрузится!

 

Проверьте компьютер утилитой из этой статьи.

http://support.kaspersky.ru/faq/?qid=208639606

Лог из корня диска С приложите.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('neokdss', 4);
StopService('neokdss');
StopService('shieldm');
StopService('Shieldf');
StopService('Shield');
StopService('shdbus');
StopService('cloverm');
QuarantineFile('C:\Program Files\Shield\idle.dll','');
QuarantineFile('C:\Program Files\NCH Swift Sound\Talk\talk.exe','');
QuarantineFile('C:\WINDOWS\Pbysoa.exe','');
QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Pj1.exe','');
QuarantineFile('C:\WINDOWS\System32\netevent.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\neokdss.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\CH341SER.SYS','');
QuarantineFile('C:\WINDOWS\system32\Drivers\shieldm.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Shieldf.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Shield.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\shdbus.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\cloverm.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\neokdss.sys');
DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Pj1.exe');
DeleteFile('C:\WINDOWS\Pbysoa.exe');
DeleteFile('C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job ');
DeleteFile('C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job');
DeleteService('neokdss');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\system32\Drivers\neokdss.sys');
BC_DeleteSvc('neokdss');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Рекомендуется удалить ПО, которое может конфликтовать

с установленным MSE:

- TrustPort Antivirus.

Если данные программы были ранее удалены некорректно,

можно воспользоваться специализированными утилитами

по очистке их следов с сайтов производителей данного ПО.

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt туда, откуда Вы запускали CF c:\documents and settings\Administrator\My Documents\Загрузки\.

KillAll::

File::
c:\windows\system32\dmpicna.dll

Driver::

NetSvc::
wqgpwvjlh

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3787:TCP"=-

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

Сделайте новый лог gmer.

 

Обновите базы AVZ!

Сделайте новые логи по правилам. Не забудьте про HijackThis.