Net-Worm.Win32.Kido.ih [OK]

[Bob Rowsky]

Патчи ставили? Порты блокировали: Или опять на это нет времени...

Патчи поставил, порты блокировал (сразу после отправки логов в 6 часов утра). Сейчас все сделаю.

 

Вот логи полиморфного AVZ. Gmer проверку до конца не производит, на середине второго (несистемного) диска происходит перезапуск операц. системы (пробовал четыре раза), его (Gmer-а) лога поэтому нет. Что делать дальше?

virusinfo_syscure.zip

virusinfo_syscheck.zip

Изменено 17 мая, 2009 пользователем Bob Rowsky

[thyrex]

При создании лога gmer нужно отмечать только системный диск

Попробуйте сделать лог заново.

 

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\GIGAZOID\LOCALS~1\Temp\catchme.sys','');
DeleteService('catchme');
DeleteFile('C:\DOCUME~1\GIGAZOID\LOCALS~1\Temp\catchme.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Сделать новые логи

[Bob Rowsky]

Выполните скрипт в AVZ

У меня вопрос. В каком AVZ скрипт выполнять, в обычном или полиморфном?

[thyrex]

Если уж занялись полиморфным, в нем все и делайте

 

Да, утилита KidoKiller уже обновленная. Ее не запускали еще раз? Стоит попробовать

Изменено 17 мая, 2009 пользователем thyrex

[akoK]

thyrex, catchme.sys от комбофикса.

 

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"

 

Скачайте OTCleanIt, запустите, нажмите Clean up

Изменено 17 мая, 2009 пользователем akoK

[Bob Rowsky]

Вот лог от работы Gmer-a.

Я не понял, в связи с сообщением от akoK-a, мне указанные скрипты AVZ таки выполнять или нет?

my_log_15052009.log

Изменено 18 мая, 2009 пользователем Bob Rowsky

[Falcon]

Я не понял, в связи с сообщением от akoK-a, мне указанные скрипты AVZ таки выполнять или нет?

Нет, не стоит.

[Bob Rowsky]

Выполнил Kido_killer. Что делать дальше?

[thyrex]

Он что-нибудь нашел? Проблема осталась?

Если да, тогда сделайте лог gmer правильно (из всех дисков выбирать только системный)

[Alexey_I]

Bob Rowsky, Здравствуйте.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

У вас брандмауэр windows выключен, включите его и уберите в исключениях netbios порты, отключите также автозапуск со съемных носителей.

Для отключения автозапуска скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

Скачайте Flash Drive Disinfector и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf

 

jre1.5.0_08 - Обновите Java Runtime Environment (JRE)

Скачайте JavaRA здесь или здесь

Распакуйте, запустите, выберите "Remove Older Versions",

Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"

Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) с сайта производителя.

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

временно выключите антивирус, firewall и другое защитное программное обеспечение

File::
C:\WINDOWS\system32\fpextyu.dll

Driver::
ovnzokafm

NetSvc::
ovnzokafm

 

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe

 

 

Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

 

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Базы МВАМ можно обновить отдельно - downloading the update MBAM

 

Скачайте и запустите Online Solutions Autorun Manager, дождитесь пока закончится сканирование и затем нажмите на вторую кнопку в верхнем меню программы (кнопка "Save Log"):

Сохраните отчет, запакуйте и вложите в сообщение.

Изменено 19 мая, 2009 пользователем Alexey_I

[Bob Rowsky]

Он что-нибудь нашел? Проблема осталась?

Если да, тогда сделайте лог gmer правильно (из всех дисков выбирать только системный)

Я его запустил с ключем "-у" и отошел. Он выполнился и закрылся. Поэтому я не в курсах, нашел он что-нибудь или нет. Объективно, проблема не осталась, таки все нормально. Компьютер не виснет. Уже Вам огромное спасибо. А что касается инструментальных проверок - я не разбираюсь в этом. Таки мне кидо-киллер надо еще запускать или таки - нет?

 

Bob Rowsky, Здравствуйте.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

Здравствуйте! Я проверил, у меня там единичка стоит. Мне что, нолик поставить, как у Вас написано?

У меня брандмауэр Windiws на рабочем столе лежит. Открываю, он - включен, это неправда, что-ли?

 

Автозапуск отключил.

Изменено 22 мая, 2009 пользователем Bob Rowsky

[Alexey_I]

Скрипт писался по логам combofix поста 12, в логах

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

Означает, что брандмауэр был выключен.. Лог на 2009-02-23 18:54, вы в это время проверяли состояние брандмауэра и помните, что он у вас в это время был включен?

[Bob Rowsky]

Скрипт писался по логам combofix поста 12, в логах

 

Означает, что брандмауэр был выключен.. Лог на 2009-02-23 18:54, вы в это время проверяли состояние брандмауэра и помните, что он у вас в это время был включен?

Спасибо, я понял.

[alexey_t]

Здравствуйте ! Поставил заплатки на серверах, но job-ы всеравно создаются...Кто нибудь с этим сталкивался ?

[Falcon]

alexey_t

Вы же вроде уже это спрашивали на оффоруме