Net-Worm.Win32.Kido.ih [OK]

[Bob Rowsky 0]

Здравствуйте!

Похоже заловил Net-Worm.Win32.Kido.ih

Его описание здесь ---> http://securityresponse.symantec.com/secur...-123015-3826-99

 

Борол его, как написано на указанном сайте. Три левые службы уничтожил. Сейчас появилась еще одна Driver Security , уничтожить ее немогу.

Антивирус обнаруживал файл fpextyu.dll в папке С:\Виндовс\Систем32. Я его снес в операционке Барт ПЕ.

У меня такое впечатление, что вирус где-то остался. Где? Я больше сообразить немогу.

Сейчас основной баг, который мешает жить и который я думаю связан с этим вирусом - это ошибка процесса Generic Host Process for Win32 Services, которая приводит к закрытию приложения.

Подпись ошибки

szAppName: svchost.exe szAppVer: 5.1.2600.2180

szModName: Acgenral.dll szModVer: 5.1.2600.2558 offset: 00011622

Появляется этот баг через некоторое время после загрузки, после чего программы перестают запускаться, приходится делать компьютеру больно (Press any key на системном блоке, я имею в виду рестарт). Спасите, помогите, пожалуйста.

Отчоты прилагаю

С уважением

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[akoK 138]

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

 

 

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению

Описание SDFix есть здесь

 

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Необходимо установить Recovery Console по инструкции - how-to-use-combofix:

• Скачайте установочный файл для своей ОС и сохраните на рабочий стол.
  Windows XP Professional с пакетом обновления 2 (SP2)
  Windows XP Home Edition с пакетом обновления 2 (SP2)
   
  Установочный файл Recovery Console для Windows XP SP3 идентичен Windows XP SP2
   
  Если Вы используете Windows XP с пакетом обновления 1 (SP1) или Исходный выпуск Windows XP, то необходимо обязательно ознакомится со статьей Как получить установочные диски Windows XP и скачать установочный файл Recovery Console, который соответствует виду Вашей системы.
   
   
  
• Закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
  

 

 

2. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

3. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его

[Bob Rowsky 0]

Я бы скрипт какой выполнил бы, да пофиксил чего-нибудь

[sergio342 108]

Попробуйте эти рекомендации: http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215

KidoKiller скачайте этот (она от разработчика):

KidoKiller_3.2.rar

[ТроПа 92]

Я бы скрипт какой выполнил бы, да пофиксил чего-нибудь

А мы чё экстрасенсы. Дело в том, что АВЗ видит не все разновидности Кидо, поэтому akoK и дал рекомендации по использованию других утилит, после анализа логов вам и будет предложен скрипт.

[Bob Rowsky 0]

Временные файлы удалил с помощью программы Tune up.

SDFix-ом поработал, рапорт прилагаю, сейчас буду делать дальше, что сказали.

 

Запускал ComboFix, вот его отчет.

 

Запускал Gmer. Он все отсканировал, была надпись, что какой-то процесс перехвачен. Но вот отчет сохранить не удалось, по причине описанной в самом первом моем посте. В безопасном режиме его нельзя-ли запустить?

Какие мои дальнейшие действия?

Report.txt

ComboFix.txt

[akoK 138]

Установите обновления

MS08-067 (http://www.microsoft.com/technet/security/...n/ms08-067.mspx)

MS08-068 (http://www.microsoft.com/technet/security/...n/ms08-068.mspx)

MS09-001 (http://www.microsoft.com/technet/security/...n/ms09-001.mspx)

А лучше всё, что предложит windowsupdate.microsoft.com

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::
c:\windows\system32\x
c:\windows\system32\2052h.sys
c:\windows\system32\admdlln.sys
c:\windows\system32\F5871F8935.sys
c:\windows\system32\fpextyu.dll
C:\WINDOWS\system32\fpextyu.dll
Driver::
jmfqldn
Qpl42
dbbctaezi
wwaeq
huqkaic
yrnyzkzoc
tocdx
Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6093:TCP"=-
FileLook::
c:\windows\system32\fmctrl.exe

DirLook::

Collect::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

 

Проверить на http://www.virustotal.com

c:\windows\system32\drivers\tcpip.sys

 

Включите перед выполнением, то что отключили через msconfig

[Bob Rowsky 0]

Ночью удалось выполнить Gmer. Вот его лог.

 

А лучше всё, что предложит windowsupdate.microsoft.com

Как узнать, что она предложит и с какого пакета мне начинать?

gmer.log

Изменено 23 февраля, 2009 пользователем Bob Rowsky

[ТроПа 92]

Включите встроенный брандмауэр windows, запретите 445 и 139 порт (уберите в исключения общий доступ к файлам и принтерам), дополнительно воспользоваться утилитой wwdc, см. также здесь

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

ременно выключите антивирус, firewall и другое защитное программное обеспечение

File::
C:\WINDOWS\system32\fpextyu.dll
Driver::
dbbctaezi  
ovnzokafm
tocdx
Folder::

Registry::

FileLook::

DirLook::

 

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

 

Новый отчет ComboFixсохраниться в файл C:\ComboFix.txt

Прикрепите новый лог Combofix и Gmer.

 

Попробуйте:

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Провести полную проверку (Perform Full Scan)", нажмите "Проверить"(Scan), после сканирования - Ok - Показать результаты(Show Results) - нажмите "Удалить выделенные"(Remove Selected). Откройте лог и скопируйте в сообщение.

Изменено 23 февраля, 2009 пользователем wise-wistful

[Bob Rowsky 0]

Рекомендованные обновления MS установил.

Также, запускал присланный Вами вчера скрипт Комбофикса, рапорт прилагаю.

ComboFix_23022009.txt

Изменено 23 февраля, 2009 пользователем Bob Rowsky

[akoK 138]

Вы закрыли порты?

[Bob Rowsky 0]

Как было указано вчера проверил файл tcpip.sys на вирустотал, отчет прилагаю

 

Вы закрыли порты?

Еще нет. Сейчас буду закрывать. Это порты TCP или UDP? Не пойму... У меня ни одного порта на брандмауэре не числится в исключениях. Если можно, подробные инструкции по закрытию портов, пожалуйста. Блокирование общего доступа к файлам и принтерам исключить или включить, я не понял?

Похоже на то, что порты таки что-бы нет, таки да, закрыты. Фото WWDC прилагаю.

 

Включите перед выполнением, то что отключили через msconfig

Я не помню, чтобы я там что-то отключал. Поподробнее пожалуйста, что включить?

 

Выполнил сегодняшний скрипт Комбофикса. Рапорт прилагаю

ComboFix_23022009_1922.txt

Изменено 23 февраля, 2009 пользователем Bob Rowsky

[akoK 138]

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Изменено 23 февраля, 2009 пользователем akoK

[Bob Rowsky 0]

Похоже опять заловил этот вирус. Сижу в локалке, интернет за NAT-ом. Случилось так, что пришлось переустановить операционку (из-за выхода из строя винта). Поставил антивирусник (Семантек антивирус), обновил базы. Запустил торрент-клиент на ночь. Просыпаюсь, опять ошибка процесса Generic Host Process for Win32 Services, которая приводит к закрытию приложения, после чего ни одна программа не запускается. Антивирусник постоянно ловит какие-то файлы с расширениями bmp, png, jpg и т. д. по адресу C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files

но ошибки процесса Generic Host Process for Win32 Services не прекращаются. Помогите.

 

Логи прилагаю. Также запускал ATF Cleaner и SDFix (лог последнего тоже прилагаю).

С уважением...

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Report.txt

[thyrex 1 468]

Патчи ставили? Порты блокировали: Или опять на это нет времени...

 

Сделайте логи полиморфным AVZ (ссылка в моей подписи)с включенным AVZPM (выбрать первую строчку в соответствующем меню программы).

 

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe