Поймал Net-Worm.Win32.Kido

[W!nd]

Вобщем суть такая.

Поймал вирус, Net-Worm.Win32.Kido работающий по принципу троянца\червя, а именно:

 

- меняет конфигурацию отображения файлов автоматически (скрытые файлы просматривать через Виндовс Ехплорер не получится)

- создаёт на каждом лог. диске каталог RECYCLER, в нём каталог S-1-5-21-1708537768-261903793-1801674531-1004

- в эту папку качает с инета пустые файлы, которые не отображаются никаким броузером и файловым менеджером

- посылает в инет уйму трафика, получает в 2 раза больше, при этом сжирается ~60-70% скорости подключения

- имеет 2 активных файла, если их уничтожить, работа вредоносной программы временно отключается, восстанавливается очень быстро (ребут, два)

 

Что пробовал:

- Пробовал делать формат, но он снова откуда то появился. Есть подозрение что вписался на кпк, после чего форматнул и его.

- ощутимый результат в лечении дал только скриптовой путь лечения при помощи утилиты AVZ, но временно

- предполагаю что он имеет исходник, либо вписывает в реестр ссылку на себя и Виндавоз включает его при загрузке, но это предположительно.

- NOD32, DrWeb, Symantec - тупо его не видят

- Avast! постоянно орёт об атаке с какого то IP но заразу не видит тоже

- AVZ ничё не видит но им можно временно накернуть рабочие файлы вируса при помощи нехитрого скрипта, правда скрипт сам я не помню, так как он на другом ПК. Тем не менее вирус реабилитируется и продолжает функционировать.

- В автозапуске смотрел (правда с обычного режима, не с безопасного) ничё не нашёл

 

Касперский нашёл следущее:

- создаёт резерв в файле .png файле баз IE

- в C:\WINDOWS\system32\x (создаёт файл под названием х, скока его не убивай касперским, всёравно оживает)

- C:\WINDOWS\system32\hfbikvkr.dll (тоже зраза тоже ожывает)

 

Если кто нибудь знаком с этим вирусом, подскажите пожалуйстта как его уничтожить (если возможно- без формата),

я уже весь мозг сломал (сам я в компьютерах не силён просто)

 

 

http://www.viruslist.com/ru/find?search_mo...amp;x=0&y=0

 

прочитал про структуру, ничё мне это не дало (

[INC®]

Посмотрите это: http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215

Попробуйте установить патч на ОС и грохните Кидо спец. утилитой.

 

И сделайте логи

Изменено 5 февраля, 2009 пользователем INC®

[ТроПа]

Подготовьте логи АВЗ с включенным AVZPM, как описано тут и ещё подготовьте:

Cкачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt

 

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

Логи ComboFix и Gmer прикрепите то же.

[W!nd]

http://www.microsoft.com/technet/security/...n/MS08-067.mspx

 

ммм... чёт непойму где тут ссылка на скачивание обновления, закрывающего именно MS08-067

 

киньте плиз прямую ссылку на скачивание если можно

[Elly]

W!nd

ось какая с сервис паком?

[W!nd]

ХР Home вер.2002 сервис пак 2

[INC®]

http://www.microsoft.com/downloads/details...76-2067b73d6a03

 

Кнопка "Загрузить"

[Apollon]

Добро пожаловать на форум, выполните пожалуйста правила поста номер 3, как вам советует хелпер wise-wistful так как телепаты в отпуске

Изменено 5 февраля, 2009 пользователем User 2.0C

[W!nd]

Логи высылаю

 

Logz.rar

 

обновление скачал, сделал логи

[akoK]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::
C:\WINDOWS\system32\hfbikvkr.dll

Driver::
nvcsynrcl
qoosnwoh
Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"6016:TCP"=-
FileLook::
c:\windows\system32\wscntfy.exe
DirLook::

Collect::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[W!nd]

скрипт который отключает рабочие сервисы вируса:

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\avpo.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
DeleteService('kkdc');
QuarantineFile('C:\WINDOWS\lsass.exe','');
DeleteFile('C:\WINDOWS\lsass.exe');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\avpo.exe');
DeleteFile('C:\AUTOEXEC.BAT');
DeleteFile('C:\BcBtRmv.log');
DeleteFile('C:\pagefile.sys');
DeleteFile('C:\RECYCLER');
DeleteFile('D:\RECYCLER');
DeleteFile('D:\autorun.bin');
DeleteFile('D:\Autorun.exe');
DeleteFile('D:\AUTORUN.FCB');
DeleteFile('D:\Autorun.ico');
DeleteFile('D:\autorun.inf_??');
DeleteFile('D:\Autorun.ini');
DeleteFile('D:\autorun.srm');
DeleteFile('D:\autorun.txt');
DeleteFile('D:\autorun.wsh');
DeleteFile('D:\Autorun.~ex');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.

Изменено 5 февраля, 2009 пользователем W!nd

[Apollon]

проблема решена или нет? если нет просьба логи на стол к хелперам

[W!nd]

В данный момент сижу с другой машины, как буду дома - всё сделаю

[akoK]

W!nd, откуда скрипт срисовали? И почему вы думаете, что он подействует? *интересно у кого такая помойка была?*

Изменено 5 февраля, 2009 пользователем akoK

[Nikitoseccc]

готово!