W!nd 0 Опубликовано 5 февраля, 2009 Share Опубликовано 5 февраля, 2009 Вобщем суть такая. Поймал вирус, Net-Worm.Win32.Kido работающий по принципу троянца\червя, а именно: - меняет конфигурацию отображения файлов автоматически (скрытые файлы просматривать через Виндовс Ехплорер не получится) - создаёт на каждом лог. диске каталог RECYCLER, в нём каталог S-1-5-21-1708537768-261903793-1801674531-1004 - в эту папку качает с инета пустые файлы, которые не отображаются никаким броузером и файловым менеджером - посылает в инет уйму трафика, получает в 2 раза больше, при этом сжирается ~60-70% скорости подключения - имеет 2 активных файла, если их уничтожить, работа вредоносной программы временно отключается, восстанавливается очень быстро (ребут, два) Что пробовал: - Пробовал делать формат, но он снова откуда то появился. Есть подозрение что вписался на кпк, после чего форматнул и его. - ощутимый результат в лечении дал только скриптовой путь лечения при помощи утилиты AVZ, но временно - предполагаю что он имеет исходник, либо вписывает в реестр ссылку на себя и Виндавоз включает его при загрузке, но это предположительно. - NOD32, DrWeb, Symantec - тупо его не видят - Avast! постоянно орёт об атаке с какого то IP но заразу не видит тоже - AVZ ничё не видит но им можно временно накернуть рабочие файлы вируса при помощи нехитрого скрипта, правда скрипт сам я не помню, так как он на другом ПК. Тем не менее вирус реабилитируется и продолжает функционировать. - В автозапуске смотрел (правда с обычного режима, не с безопасного) ничё не нашёл Касперский нашёл следущее: - создаёт резерв в файле .png файле баз IE - в C:\WINDOWS\system32\x (создаёт файл под названием х, скока его не убивай касперским, всёравно оживает) - C:\WINDOWS\system32\hfbikvkr.dll (тоже зраза тоже ожывает) Если кто нибудь знаком с этим вирусом, подскажите пожалуйстта как его уничтожить (если возможно- без формата), я уже весь мозг сломал (сам я в компьютерах не силён просто) http://www.viruslist.com/ru/find?search_mo...amp;x=0&y=0 прочитал про структуру, ничё мне это не дало ( Ссылка на сообщение Поделиться на другие сайты
INC® 165 Опубликовано 5 февраля, 2009 Share Опубликовано 5 февраля, 2009 (изменено) Посмотрите это: http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215 Попробуйте установить патч на ОС и грохните Кидо спец. утилитой. И сделайте логи Изменено 5 февраля, 2009 пользователем INC® Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 5 февраля, 2009 Share Опубликовано 5 февраля, 2009 Подготовьте логи АВЗ с включенным AVZPM, как описано тут и ещё подготовьте: Cкачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Логи ComboFix и Gmer прикрепите то же. Ссылка на сообщение Поделиться на другие сайты
W!nd 0 Опубликовано 5 февраля, 2009 Автор Share Опубликовано 5 февраля, 2009 http://www.microsoft.com/technet/security/...n/MS08-067.mspx ммм... чёт непойму где тут ссылка на скачивание обновления, закрывающего именно MS08-067 киньте плиз прямую ссылку на скачивание если можно Ссылка на сообщение Поделиться на другие сайты
Elly 3 262 Опубликовано 5 февраля, 2009 Share Опубликовано 5 февраля, 2009 W!nd ось какая с сервис паком? Ссылка на сообщение Поделиться на другие сайты
W!nd 0 Опубликовано 5 февраля, 2009 Автор Share Опубликовано 5 февраля, 2009 ХР Home вер.2002 сервис пак 2 Ссылка на сообщение Поделиться на другие сайты
INC® 165 Опубликовано 5 февраля, 2009 Share Опубликовано 5 февраля, 2009 http://www.microsoft.com/downloads/details...76-2067b73d6a03 Кнопка "Загрузить" Ссылка на сообщение Поделиться на другие сайты
Apollon 185 Опубликовано 5 февраля, 2009 Share Опубликовано 5 февраля, 2009 (изменено) Добро пожаловать на форум, выполните пожалуйста правила поста номер 3, как вам советует хелпер wise-wistful так как телепаты в отпуске Изменено 5 февраля, 2009 пользователем User 2.0C Ссылка на сообщение Поделиться на другие сайты
W!nd 0 Опубликовано 5 февраля, 2009 Автор Share Опубликовано 5 февраля, 2009 Логи высылаю Logz.rar обновление скачал, сделал логи Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 5 февраля, 2009 Share Опубликовано 5 февраля, 2009 Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. File:: C:\WINDOWS\system32\hfbikvkr.dll Driver:: nvcsynrcl qoosnwoh Folder:: Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service "6016:TCP"=- FileLook:: c:\windows\system32\wscntfy.exe DirLook:: Collect:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
W!nd 0 Опубликовано 5 февраля, 2009 Автор Share Опубликовано 5 февраля, 2009 (изменено) скрипт который отключает рабочие сервисы вируса: begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\avpo.exe',''); QuarantineFile('C:\WINDOWS\system32\amvo.exe',''); DeleteService('kkdc'); QuarantineFile('C:\WINDOWS\lsass.exe',''); DeleteFile('C:\WINDOWS\lsass.exe'); DeleteFile('C:\WINDOWS\system32\amvo.exe'); DeleteFile('C:\WINDOWS\system32\avpo.exe'); DeleteFile('C:\AUTOEXEC.BAT'); DeleteFile('C:\BcBtRmv.log'); DeleteFile('C:\pagefile.sys'); DeleteFile('C:\RECYCLER'); DeleteFile('D:\RECYCLER'); DeleteFile('D:\autorun.bin'); DeleteFile('D:\Autorun.exe'); DeleteFile('D:\AUTORUN.FCB'); DeleteFile('D:\Autorun.ico'); DeleteFile('D:\autorun.inf_??'); DeleteFile('D:\Autorun.ini'); DeleteFile('D:\autorun.srm'); DeleteFile('D:\autorun.txt'); DeleteFile('D:\autorun.wsh'); DeleteFile('D:\Autorun.~ex'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); BC_Activate; RebootWindows(true); end. Изменено 5 февраля, 2009 пользователем W!nd Ссылка на сообщение Поделиться на другие сайты
Apollon 185 Опубликовано 5 февраля, 2009 Share Опубликовано 5 февраля, 2009 проблема решена или нет? если нет просьба логи на стол к хелперам Ссылка на сообщение Поделиться на другие сайты
W!nd 0 Опубликовано 5 февраля, 2009 Автор Share Опубликовано 5 февраля, 2009 В данный момент сижу с другой машины, как буду дома - всё сделаю Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 5 февраля, 2009 Share Опубликовано 5 февраля, 2009 (изменено) W!nd, откуда скрипт срисовали? И почему вы думаете, что он подействует? *интересно у кого такая помойка была?* Изменено 5 февраля, 2009 пользователем akoK Ссылка на сообщение Поделиться на другие сайты
Nikitoseccc 0 Опубликовано 6 февраля, 2009 Share Опубликовано 6 февраля, 2009 готово! Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения