Перейти к содержанию
Правила раздела
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Подозрение на Kido (логи)

Костян Пират

Автор Костян Пират
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Костян Пират Новичок

Костян Пират

Опубликовано
Опубликовано (изменено)

в последнее время появляются сообщения от Касперского об отраженных атаках, типа:

 

21.02.2009 17:16:00 Intrusion.Win.NETAPI.buffer-overflow.exploit! IP-адрес атакующего: 192.168.1.32. Протокол/сервис: TCP на локальный порт 445. Время: 21.02.2009 17:16:00

 

К слову, скачал KidoKiller3.2, он ничего не обнаружил...

 

а еще мне сказали на одном форуме что на downadup похоже...

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено пользователем Костян Пират
Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

Ну кидо не у Вас а у кого-то другого и он пытается вас заразить. У Вас локальная сеть или нет?

'C:\WINDOWS\system32\drivers\hhmesn.sys' - проверьте на virustotal.com и дайте ссылку на результат проверки.

Ссылка на комментарий
Поделиться на другие сайты
Костян Пират Новичок

Костян Пират

Опубликовано
  • Автор
Опубликовано
Ну кидо не у Вас а у кого-то другого

это обнадёживает...

 

и он пытается вас заразить

вот засранец! ;)

 

У Вас локальная сеть или нет?

нет...

причем сообщения появляются и когда комп отключен от инета... хотя у меня ADSL, через сетевую карту подклчается, если это важно...

 

'C:\WINDOWS\system32\drivers\hhmesn.sys' - проверьте на virustotal.com

такого файа я у себя не обнаружил ;)

 

а downadup и kido насколько я понял одно и то же...

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

Разные разработчики по разному называют.

Давайте попробуем для очистки совести сделать ещё это

Cкачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt

 

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

ВЫложите логи ComboFix и Gmer.

Ссылка на комментарий
Поделиться на другие сайты
Костян Пират Новичок

Костян Пират

Опубликовано
  • Автор
Опубликовано
не хотите-не выкладывайте

 

так выложил же! я имел ввиду мож как-то поосторожней, скинуть в личку модерам, например...

Ссылка на комментарий
Поделиться на другие сайты
Elly Мудрец

Elly

Опубликовано
Опубликовано

Костян Пират

модераторы не занимаются лечением. В личке никто анализировать не будет(ну если только у кого-то творческий порыв будет). Выложенные данные вам никак не повредят. Здесь их выкладывают сотнями.

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано (изменено)

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

ременно выключите антивирус, firewall и другое защитное программное обеспечение

File::

Driver::

Folder::

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{80c0680c-7856-11dd-ace8-9172f8da6bda}]
FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

 

Для деинсталяции ComboFix с компьютера необходимо выполнить:

Нажать Пуск затем Выполнить в окне наберите команду Combofix /u (обязательно нужен пробел между х и /), нажмите кнопку "ОК"

 

перед удалением гмера в папке Windows найдите файл gmer_uninstall.cmd запустите его, после удалите gmer_uninstall.cmd и gmer.ini, теперь можно удалять папку с Гмером.

Можете удалить свои логи. если переживаете.

Изменено пользователем wise-wistful
Ссылка на комментарий
Поделиться на другие сайты
Костян Пират Новичок

Костян Пират

Опубликовано
  • Автор
Опубликовано

wise-wistful

Спасибо!

Будем надеяться проблема исчезнет... а что собственно это было и откуда оно взялось (если можно на этот вопрос ответить)?

А AVZ и HJT просто так удаляются?

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

HJT - в начале удалите через Пуск--Панель управления -- Установка и удаление п рограмм, а потом просто папку.

Перед удалением АВЗ меню файл--стандартные скрипты, ставите галочку возле пункта 6 Удалние всех драйверов и ключей реестра AVZ. Выполнить отмеченный скрипты. после этого удаляйте папку с АВЗ.

 

а что собственно это было и откуда оно взялось (если можно на этот вопрос ответить)?

Я просто удалил запись в реестре на запуск какого-то файла. Она там никчему. Когда надо будет - то всё само запишется где и как нужно.

Ссылка на комментарий
Поделиться на другие сайты
Костян Пират Новичок

Костян Пират

Опубликовано
  • Автор
Опубликовано
Я просто удалил запись в реестре на запуск какого-то файла. Она там никчему. Когда надо будет - то всё само запишется где и как нужно.

 

к сожалению, проблема осталась...

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

Так оно и будет. Ведь Файерволл блокирует доступ из-вне к вашему компьютеру. Ведь заражена не ваша система. Что тут поделаешь. Нужно радоваться, что доступ блокируется.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Nesquik
      Подозрение на майнер
      Автор Nesquik
      Заметил что появились частые зависания, когда несколько дней назад все было идеально При перезагрузке компьютера появляются командные строки на 1 секунду Антивирус kaspersky ничего не нашел
    • SuPeR_1
      Подозрение на майнер
      Автор SuPeR_1
      Когда играл заметил что ФПС низкий почему то, решил быстро клавишами Ctrl+Shift+Esc диспетчер задач и ЦП со 100% резко падал до дна, и не надо как в прошлый раз писать что диспетчер задач не означает что есть вирус-майнер-троян, у меня ведь и ФПС низкий, раньше в Minecraft были 100-200 ФПС, сейчас 60 и даже меньше. Провёл сканером Dr web и логи собрал. Пол года назад тоже тут обращался, помогли, надеюсь и в этот раз помогут и буду теперь все файлы проверять онлайн-сканером
      CollectionLog-2025.02.23-15.08.zip
    • Snak3EyeS92
      [РЕШЕНО] Подозрение на Malware/Bot
      Автор Snak3EyeS92
      Некоторое время назад заметил в мониторе сетевой активности Kaspersky Internet Security исходящее сетевое соединение (иногда несколько) от Windows Explorer. Раньше подобного не было. В интернете мало информации, но все сходится к тому, что это ненормальное поведение Проводника. При попытке задать через Касперский правило на запрет любых исходящих соединений от проводника, начисто отваливается интернет. Проводил проверку Касперским, KVRT, Malwarebytes, Dr. Web CureIt. Последние два что-то нашли, но это были в основном файлы и библиотеки от давно удаленных программ. Удалил найденное, но проблема осталась. Проверял внешние IP, на которые идет соединение. Virus Total выдавал что-то такое: AS 8075 MICROSOFT-CORP-MSN-AS-BLOCK. В комментариях к одному из этих IP были комментарии "Malware" и "Bot". Отсюда и возникли опасения, что мне подсадили малварь, бот или что-то еще. Нет никаких видимых признаков заражения или взлома. Ноутбук не тормозит и не греется, никаких рекламных баннеров, браузер не открывается сам собой, объем трафика через это соединение мизерный, в основном ноль. Из странного подметил, что если я не пользуюсь ноутбуком несколько дней, то при включении это соединение не появляется, но появляется после перезагрузки. Незнакомые ссылки я проверяю через Virus Total, скачанные файлы - Касперским. Подозреваю, что что-то могло произойти из-за пользования торрент-клиентом, но Касперский при это всегда включен.
      Общался с поддержкой Касперского, отсылал им логи. Ничего не нашли.
      Если это все же какой-то вирус, можно ли его как-то вычислить и удалить? Нужно ли звонить провайдеру с просьбой о смене моего IP? Если все же придется сбрасывать ноутбук до заводских с последующим рекавери чистой системы, то безопасно ли будет перед этим сбросить данные на внешние носители или хотя бы облако без опасности повторения заражения?


      CollectionLog-2025.03.15-19.18.zip
    • EpaX
      Подозрение на майнер в процессе dwm.exe
      Автор EpaX
      Пару дней назад, при открытии диспетчера задач, обратила внимание, что загруженность процессора с 99% резко падает на стандартные 3-4%. Плюс замечено откровенное торможение в ресурсоемких процессах. Так же в процессах висит три dwm.exe.
      Утилиты cureIt и касперский не помогли.
      Логи прилагаю. Очень надеюсь на помощь.

      CollectionLog-2025.03.26-21.31.zip
    • ванькаветер
      [РЕШЕНО] Подозрение на майнер.
      Автор ванькаветер
      Подозрение на майнер. Вентилятор включается на видекарте в ноутбуке на несколько минут. Температура видеокарты 51 градус, хотя я включал в msi ценре турбообдув температура падает до38 градусов ротом опять поднимается. Загрузка gpu прыгает до 20%. В основном до 5%. Подозрительно. Возможно планировщик или драйвера nvidia шалят. Все драйвера обновлены в данный момент с помощью SDI программы.
      CollectionLog-2024.11.25-13.39.zip
×
×
  • Создать...