Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Атака вируса Net-Worm.Win32.Kido.ed

BigDeF

Автор BigDeF
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Alexey_I

Alexey_I

Опубликовано
Опубликовано
хотя гмер ничего не показывает ;(
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] xfdrii <-- ROOTKIT !

Очень даже нашел, хотя combofix отработал и удалил всё (c:\windows\system32\tyegajdg.dll был на месте, удален CF) и ещё H:\autorun.inf, т.е. вы видимо вставляли флешку и снова заразились (или патч не установили)

Отключите автозапуск со съемных дисков см. Борьба с автозапуском новыми методами , включите встроенный брандмауэр и закройте в нем 445 и 139 порт. Прочтите Эпидемия Net-Worm.Win32.Kido и поставьте патч.

SuperCopier2 деинсталлируйте временно.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

временно выключите антивирус, firewall (встроенный оставить!) и другое защитное программное обеспечение

 

File::
C:\WINDOWS\system32\tyegajdg.dll

Driver::
xfdrii  
mchInjDrv

Registry::
[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\mchInjDrv]
[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\xfdrii]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xfdrii]

 

Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Лог gmer выложили не полный, сделайте полное сканирование системы с помощью gmer и выложите новый лог.

Скачайте DDS и сохраните на рабочий сто, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 35
  • Создана
  • Последний ответ

Топ авторов темы

  • BigDeF

    17

  • Alexey_I

    7

  • akoK

    6

  • C. Tantin

    2

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Falcon
Falcon

Выполните в AVZ:   begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\hporclnr.exe'); QuarantineFile('C:\WINDOWS\Temp\mc21.tmp',''); QuarantineFile('C:\WI

akoK
akoK

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ и C:\SDFix\backups\backups.zip с паролем virus и пришлите на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма   Деи

Изображения в теме

BigDeF

BigDeF

Опубликовано
  • Автор
Опубликовано

ниже логи ДДС.

Как заблочить в стандартном фаерволе виндовса(я имею в виду брендмауэр), я не знаю, просветите пожалуйста.

сейчас кину остальные логи.

 

забыл сказать, при полной проверке гмером - зависает сам гмер (

Attach.txt

DDS.txt

Ссылка на комментарий
Поделиться на другие сайты
akoK

akoK

Опубликовано
Опубликовано (изменено)

Установите заплатку MS08-067

Если нет доступа к сайту microsoft, то ее(заплатку) можно скачать тут WindowsXP-KB958644-x86-RUS.exe

Изменено пользователем akoK
Ссылка на комментарий
Поделиться на другие сайты
BigDeF

BigDeF

Опубликовано
  • Автор
Опубликовано

установило только что. страаано!

раньше пробовал поставить-гвоорило что то типа у вас установлена версия выше чем вы пытаетесь установить.

Ссылка на комментарий
Поделиться на другие сайты
Alexey_I

Alexey_I

Опубликовано
Опубликовано
как заблочить в стандартном фаерволе виндовса(я имею в виду брендмауэр), я не знаю, просветите пожалуйста.

Что такое брандмауэр Windows

В Исключениях уберите галочку обший доступ к файлам и принтерам и уберите оттуда то, что незнакомо. Где новый лог cobofix и после выполнения CFScript логи gmer и dds?

Ссылка на комментарий
Поделиться на другие сайты
akoK

akoK

Опубликовано
Опубликовано
да, дальше атаки на порт 445 продолжаются.

 

Это атаки от зараженных компьютеров в сети.

 

Как самочувствие этой машины?

Ссылка на комментарий
Поделиться на другие сайты
BigDeF

BigDeF

Опубликовано
  • Автор
Опубликовано
Цитата

да, дальше атаки на порт 445 продолжаются.

 

 

Это атаки от зараженных компьютеров в сети.

 

Как самочувствие этой машины?

 

самочувствие вроде норм, но есть одно но. машина подключена к каналу инета на 2 мегабита. инет стал раз в 10 медленнее. ужасные задержки. закачка файлов - скорость не больше 10 кб/сек. онлайн видео нормально посмотреть не могу теперь. с провайдером проблем нет, они говорят-канал не загружен, давно с ними работаю, траблов не было никогда, надежные люди. в чем может быть проблема?

Ссылка на комментарий
Поделиться на другие сайты
akoK

akoK

Опубликовано
Опубликовано

Давайте посмотрим:

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Ссылка на комментарий
Поделиться на другие сайты
BigDeF

BigDeF

Опубликовано
  • Автор
Опубликовано

Ну что ж, тогда порекомендуйте как мне вылечить все остальные машины в сети? Есть много заражений, судя по атакам. Как сделать это быстро и безболезненно?

Ссылка на комментарий
Поделиться на другие сайты
Alexey_I

Alexey_I

Опубликовано
Опубликовано

По проблеме скорости сети - попробуйте воспользоваться утилитой WinsockFix, по использованию см http://virusinfo.info/showthread.php?t=1531

Остальные вылечить таким же способом или отправить файл, который вы должны были скопировать с помощью gmer, в вирлаб и дождаться когда утилита ЛК сможет лечить ваш зловред.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...