Перейти к содержанию

Поймал Net-Worm.Win32.Kido


Рекомендуемые сообщения

Вобщем суть такая.

Поймал вирус, Net-Worm.Win32.Kido работающий по принципу троянца\червя, а именно:

 

- меняет конфигурацию отображения файлов автоматически (скрытые файлы просматривать через Виндовс Ехплорер не получится)

- создаёт на каждом лог. диске каталог RECYCLER, в нём каталог S-1-5-21-1708537768-261903793-1801674531-1004

- в эту папку качает с инета пустые файлы, которые не отображаются никаким броузером и файловым менеджером

- посылает в инет уйму трафика, получает в 2 раза больше, при этом сжирается ~60-70% скорости подключения

- имеет 2 активных файла, если их уничтожить, работа вредоносной программы временно отключается, восстанавливается очень быстро (ребут, два)

 

Что пробовал:

- Пробовал делать формат, но он снова откуда то появился. Есть подозрение что вписался на кпк, после чего форматнул и его.

- ощутимый результат в лечении дал только скриптовой путь лечения при помощи утилиты AVZ, но временно

- предполагаю что он имеет исходник, либо вписывает в реестр ссылку на себя и Виндавоз включает его при загрузке, но это предположительно.

- NOD32, DrWeb, Symantec - тупо его не видят

- Avast! постоянно орёт об атаке с какого то IP но заразу не видит тоже

- AVZ ничё не видит но им можно временно накернуть рабочие файлы вируса при помощи нехитрого скрипта, правда скрипт сам я не помню, так как он на другом ПК. Тем не менее вирус реабилитируется и продолжает функционировать.

- В автозапуске смотрел (правда с обычного режима, не с безопасного) ничё не нашёл

 

Касперский нашёл следущее:

- создаёт резерв в файле .png файле баз IE

- в C:\WINDOWS\system32\x (создаёт файл под названием х, скока его не убивай касперским, всёравно оживает)

- C:\WINDOWS\system32\hfbikvkr.dll (тоже зраза тоже ожывает)

 

Если кто нибудь знаком с этим вирусом, подскажите пожалуйстта как его уничтожить (если возможно- без формата),

я уже весь мозг сломал (сам я в компьютерах не силён просто)

 

 

http://www.viruslist.com/ru/find?search_mo...amp;x=0&y=0

 

прочитал про структуру, ничё мне это не дало (

Ссылка на комментарий
Поделиться на другие сайты

Посмотрите это: http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215

Попробуйте установить патч на ОС и грохните Кидо спец. утилитой.

 

И сделайте логи

Изменено пользователем INC®
Ссылка на комментарий
Поделиться на другие сайты

Подготовьте логи АВЗ с включенным AVZPM, как описано тут и ещё подготовьте:

Cкачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt

 

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

Логи ComboFix и Gmer прикрепите то же.

Ссылка на комментарий
Поделиться на другие сайты

http://www.microsoft.com/technet/security/...n/MS08-067.mspx

 

ммм... чёт непойму где тут ссылка на скачивание обновления, закрывающего именно MS08-067

 

киньте плиз прямую ссылку на скачивание если можно

Ссылка на комментарий
Поделиться на другие сайты

Добро пожаловать на форум, выполните пожалуйста правила поста номер 3, как вам советует хелпер wise-wistful так как телепаты в отпуске :search:

Изменено пользователем User 2.0C
Ссылка на комментарий
Поделиться на другие сайты

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::
C:\WINDOWS\system32\hfbikvkr.dll

Driver::
nvcsynrcl
qoosnwoh
Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"6016:TCP"=-
FileLook::
c:\windows\system32\wscntfy.exe
DirLook::

Collect::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

CFScript.gif

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

скрипт который отключает рабочие сервисы вируса:

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\avpo.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
DeleteService('kkdc');
QuarantineFile('C:\WINDOWS\lsass.exe','');
DeleteFile('C:\WINDOWS\lsass.exe');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\avpo.exe');
DeleteFile('C:\AUTOEXEC.BAT');
DeleteFile('C:\BcBtRmv.log');
DeleteFile('C:\pagefile.sys');
DeleteFile('C:\RECYCLER');
DeleteFile('D:\RECYCLER');
DeleteFile('D:\autorun.bin');
DeleteFile('D:\Autorun.exe');
DeleteFile('D:\AUTORUN.FCB');
DeleteFile('D:\Autorun.ico');
DeleteFile('D:\autorun.inf_??');
DeleteFile('D:\Autorun.ini');
DeleteFile('D:\autorun.srm');
DeleteFile('D:\autorun.txt');
DeleteFile('D:\autorun.wsh');
DeleteFile('D:\Autorun.~ex');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.

Изменено пользователем W!nd
Ссылка на комментарий
Поделиться на другие сайты

W!nd, откуда скрипт срисовали? И почему вы думаете, что он подействует? :search: *интересно у кого такая помойка была?*

Изменено пользователем akoK
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • alexlaev
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • user344
      Автор user344
      Здравствуйте! Недавно компьютер в простое начинает переодически нагружаться до 100%, вентиляторы начинают крутить на полную в течении 5-10 минут, только начинаешь водить мышкой по рабочему столу, то сразу же нагрузка падает до дефолтных значений. Проверял лечащай утилитой др.веб и kvrt они вирусов не нашли.
      CollectionLog-2025.06.25-21.11.zip
    • Vklass
      Автор Vklass
      Зашифровали сервер, пропала недельная работа, прощу помощи  логи FRST в архиве 
      Вирус 2.zip
    • Snedikk
      Автор Snedikk
      Добрый день! 
      Поймал вирус-майнер tool.btcmine.2812. Недавно был похожий троян, но по рекомендациям с данного форума удалось его удалить посредством утилиты AVZ. Затем какое-то время все было хорошо. Сегодня решил проверить комп на наличие вирусов утилитой DrWeb CureIt и сия програмка показала наличие вредоносного червячка. Пробовал удалять его самой утилитой от DrWeb, но после перезагрузки он восстанавливается и все приходится делать снова. По инструкции просканировал комп и логи прикладываю к теме. Будьте добры помочь, люди. Заранее огромная благодарность
      CollectionLog-2025.06.20-19.07.zip

    • DanilDanil
      Автор DanilDanil
      Словил на VM шифровальщик. GPT в deepsearch предположил, что это mimic ( N3ww4v3) - на основе проанализированных зашифрованных файлов и оставленной злоумышленниками записке. Зашифрованны базы данных. Бэкапов не было...
      Есть ли возможность дешифровать? Вот это оставили злоумышленники. Зашифрованный файл прикрепить не могу, форум ограничивает.
      Important_Notice.txt
×
×
  • Создать...