[Лог!] Вирус Kido

[Kvazar79]

Помогите избавиться от вируса. Исчезли сетевые устройства из "Сетевые подключения", логи прикрепил.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[ТроПа]

Собственно причина, по которой решили, что Кидо? На microsoft.com заходите? На наш форум без проблем заходите?

 

2.Пофиксить в HijackThis следующие строчки

O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User '?')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User '?')
O4 - HKUS\S-1-5-20\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe (User '?')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User '?')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')

[Kvazar79]

у нас на работе вирь Кидо зверствует и симптомы те же: отключает сетевые ресурсы,снимает шары с дисков и папок, прописал свой авторан,удалить не можем,ругается что нету доступа,даже анлокером не удаляет. Вопрос: а кидо может на серваке узнать и своровать все учетные записи пользователей сетевых ресурсов?

[akoK]

Пока неизвестно. Этот ботнет не вошел во вторую фазу развития.

[ТроПа]

Его некоторые разновидности прибиваются

 

Cкачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt.

 

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

Логи ComboFix и Gmer запакуйте в один архив и прикрепите к теме.