Этот ужасный Kido и компания [LOG+]

[san'OK]

Ребят! Я уже не знаю что делать. Я уже и Касперским сто раз проверял и НОДом вот сейчас Вэб поставил - все равно живет этот Kido и никуда не девается. И Kido Killer использовал - безрезультатно. Последняя надежда на вас! Помогите!

 

hijackthis.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

[thyrex]

Пофиксить в HiJack

 R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - (no file)
O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)

 

Загрузите GMER по одной из указанных ссылок

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[san'OK]

Вот лог:

 

gmer_log.zip

[akoK]

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

 

 

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению

Описание SDFix есть здесь

 

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[san'OK]

Вот логи, которые просили:

 

Report_SDFix.zip

 

LOG_ComboFix.zip

[thyrex]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe

gmer.exe -del service cthzjdvfj
gmer.exe -del service fywcvu
gmer.exe -del service qxjkvzjza
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\cthzjdvfj"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\fywcvu"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qxjkvzjza"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\cthzjdvfj"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\fywcvu"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\cthzjdvfj"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\fywcvu"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\qxjkvzjza"
gmer -reboot

И запустите cleanup.bat

 

Сделать новый лог gmer

 

Выполнить все инструкции http://forum.kaspersky.com/index.php?showtopic=101154

[akoK]

И проверьте на www.virustotal.com

c:\windows\system32\63A777530C.sys

c:\windows\system32\KGyGaAvL.sys

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::

Driver::
lxgtg
Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5778:TCP"=-
FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

И лог Gmer не забываем.

[san'OK]

Файлы, который просил проверить akoK - не заражены.

 

Все скрипты выполнил, вот новые логи:

 

gmer_log1.rar

 

LOG1_ComboFix.zip

Изменено 7 июня, 2009 пользователем san'OK

[akoK]

Включите встроенный фаерволл, зайдите в настройки (фаерволла) и убейте все исключения

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::

NetSvc::
WmdmPmSNcthzjdvfj
fywcvu
qxjkvzjza
kdbtrylbd
Driver::

Folder::

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

 

И повторите лог Gmer

[san'OK]

Выполнил скрипт. GMER делает отчёт, но руткиты все равно найдены. Вот лог с КомбоФикс :

 

LOG3_ComboFix.zip

[akoK]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

включить бы.

 

моя вина не сверстал скрипт как необходимо скрипт

 

Включите встроенный фаерволл, зайдите в настройки (фаерволла) и убейте все исключения

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::

Driver::
cthzjdvfj
hlqzcn
fywcvu
qxjkvzjza

Folder::

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

 

И повторите лог Gmer

[san'OK]

О! Спасибо огромное! Вроде бы все зловреды благополучно здохли )) Я проверился GMER - полет нормальный (деятельности руткитов нет)- отчеты нужны?

[thyrex]

Лог gmer сделайте, пожалуйста. Глянем на реестр

[akoK]

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"

 

Скачайте OTCleanIt, запустите, нажмите Clean up

[san'OK]

У меня проблема была со службами там. В общем, я убил Windows. Спасибо за помощь, жаль только что зря все это.