Атака вируса Net-Worm.Win32.Kido.ed

[Alexey_I]

хотя гмер ничего не показывает ;(

Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] xfdrii <-- ROOTKIT !

Очень даже нашел, хотя combofix отработал и удалил всё (c:\windows\system32\tyegajdg.dll был на месте, удален CF) и ещё H:\autorun.inf, т.е. вы видимо вставляли флешку и снова заразились (или патч не установили)

Отключите автозапуск со съемных дисков см. Борьба с автозапуском новыми методами , включите встроенный брандмауэр и закройте в нем 445 и 139 порт. Прочтите Эпидемия Net-Worm.Win32.Kido и поставьте патч.

SuperCopier2 деинсталлируйте временно.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

временно выключите антивирус, firewall (встроенный оставить!) и другое защитное программное обеспечение

 

File::
C:\WINDOWS\system32\tyegajdg.dll

Driver::
xfdrii  
mchInjDrv

Registry::
[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\mchInjDrv]
[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\xfdrii]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xfdrii]

 

Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Лог gmer выложили не полный, сделайте полное сканирование системы с помощью gmer и выложите новый лог.

Скачайте DDS и сохраните на рабочий сто, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение

[BigDeF]

ниже логи ДДС.

Как заблочить в стандартном фаерволе виндовса(я имею в виду брендмауэр), я не знаю, просветите пожалуйста.

сейчас кину остальные логи.

 

забыл сказать, при полной проверке гмером - зависает сам гмер (

Attach.txt

DDS.txt

[akoK]

Установите заплатку MS08-067

Если нет доступа к сайту microsoft, то ее(заплатку) можно скачать тут WindowsXP-KB958644-x86-RUS.exe

Изменено 16 января, 2009 пользователем akoK

[BigDeF]

установило только что. страаано!

раньше пробовал поставить-гвоорило что то типа у вас установлена версия выше чем вы пытаетесь установить.

[Alexey_I]

как заблочить в стандартном фаерволе виндовса(я имею в виду брендмауэр), я не знаю, просветите пожалуйста.

Что такое брандмауэр Windows

В Исключениях уберите галочку обший доступ к файлам и принтерам и уберите оттуда то, что незнакомо. Где новый лог cobofix и после выполнения CFScript логи gmer и dds?

[BigDeF]

вот все логи.

DDS_Attach.txt

DDS_DDS.txt

ComboFix.txt

gmer_fast.log

gmer_full.log

[Alexey_I]

В логах ничего плохого, проблемы ещё наблюдаются?

[BigDeF]

да, дальше атаки на порт 445 продолжаются.

[akoK]

да, дальше атаки на порт 445 продолжаются.

 

Это атаки от зараженных компьютеров в сети.

 

Как самочувствие этой машины?

[BigDeF]

Цитата

да, дальше атаки на порт 445 продолжаются.

 

 

Это атаки от зараженных компьютеров в сети.

 

Как самочувствие этой машины?

 

самочувствие вроде норм, но есть одно но. машина подключена к каналу инета на 2 мегабита. инет стал раз в 10 медленнее. ужасные задержки. закачка файлов - скорость не больше 10 кб/сек. онлайн видео нормально посмотреть не могу теперь. с провайдером проблем нет, они говорят-канал не загружен, давно с ними работаю, траблов не было никогда, надежные люди. в чем может быть проблема?

[akoK]

Давайте посмотрим:

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[BigDeF]

вот логи

info.txt

log.txt

[akoK]

Ничего явно активного не вижу.

[BigDeF]

Ну что ж, тогда порекомендуйте как мне вылечить все остальные машины в сети? Есть много заражений, судя по атакам. Как сделать это быстро и безболезненно?

[Alexey_I]

По проблеме скорости сети - попробуйте воспользоваться утилитой WinsockFix, по использованию см http://virusinfo.info/showthread.php?t=1531

Остальные вылечить таким же способом или отправить файл, который вы должны были скопировать с помощью gmer, в вирлаб и дождаться когда утилита ЛК сможет лечить ваш зловред.