|
Многими любимый Kido.ih
Сразу прошу прощения за то, что создаю отдельную тему. Если что, готов к перемещению, но все же начну.
Уже достаточно долгое время борюсь с этим вирусом. Чуть более полугода назад справился с ним с помощью алгоритма, который нашел на форуме лаборатории касперского. Более месяца ничего и никого. Потом вздумалось маме вспомнить о существовании флэшки. Только она ее в компьютер, как каспер сразу выдал "... Net-Worm.Win32.Kido.ih ...". Я был очень счастлив. На радостях увидел, что внутри у флэшки. Вскрытие показало, что пациент умер от вскрытия. Решил пойти по пути наименьшего сопротивления - переустановил винду. Увы, не спасло. С тех пор уже забодался бороться с этим червем. На выходных повторил операцию по алгоритму, который указан выше. Не удалось удалить RECYCLER на внешнем жестком диске, папка сделалась видимой. CureIt ничего не нашел. Вспомнилась великая фраза про суслика. Касперский выдает ошибки, что находит заражение с ледующем файле C:\WINDOWS\system32\x. В более подробных отчетах указывает файл C:\WINDOWS\system32\aoasaq.dll. Наеврняка все вы прекрасно понимаете, что никакого x или aoasaq.dll визуально не видно. Даный алгоритм проделывал и в обычном режиме и в безопасном. Но в безопасном не получилось довести до конца. CureIt отказывался запускаться. Попробовал запустить KK.exe (в обычном и безопасном режимах). Выдало по нулям. Я обиделся. После этого залез в сотый раз в инет. На сайте лаборатории касперского давно уже видел ссылку. Попробовал еще раз запустить KK.exe, но уже сделал это через командную строку и с ключами -a -l report.txt -v. При этом навесил на комп все внешние носители (подумал, что пусть и их посканит). НО!!! в обычном режиме. И о Боги всемогущие. Моментально мне выдало C:\WINDOWS\system32\aoasaq.dll cured. После чего продолжило сканирование. Все гуд. Итоги: Infected jobs:............0 Infected files:............1 Infected threads:......1 Spliced functions:......2 Cured files:................1 Fixed registry keys:...8 Запуск CureIt и проверки Касперским папок C:\WINDOWS\system32, а так же C:\Documents and Settings, ничего не дал. Я возрадовался... Минут на 5, так как каспер опять выдал заветное сообщение о зараженном файле .gif в C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5. И, как годится, наша песня хороша - начинай сначала. Опять проделал все, начиная с фразы "После этого залез в сотый раз в инет". KK.exe выдал все по 0, а Касперский продолжает ругаться. Увы надо было уезжать. Я так и не решил проблему. Сетую на то, что первую результативную проверку запускал не в безопасном режиме. У кого будут какие соображения по этому поводу? Возможно есть вопросы уточняющие? Какие точно логи нужны, если нужны? Попробую их организовать сегодня вечером через удаленный рабочий стол, ибо до компа 200км :). report.txt - лог KK.exe |
Добрый день!
Отключите антивирус/фаервол, интернет; Очистите и создайте новую контрольную точку восстановления, чтобы если во время лечения произошла непредвиденная ситуация, вы могли вернуть систему к предыдущему состоянию: 1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить 2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.[list] Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe на temp.exe Подробнее в "ComboFix. Руководство по применению." заплатки от кидо ставили? автозапуск с внешних носителе нужно было отключить сразу после первого заражения. Необходимо закрыть уязвимости, установив обновления: * MS08-067 * MS08-068 * MS09-001 http://www.microsoft.com/technet/sec.../MS08-067.mspx http://www.microsoft.com/technet/sec.../ms08-068.mspx http://www.microsoft.com/technet/sec.../ms09-001.mspx + приготовьте лог Gmer Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда. |
С логами выйду в эфир чуть позже.
Цитата:
Цитата:
Цитата:
 По-умолчанию стоит "Не задан". Если выбрать "Отключен", то ничего не меняется, только активируется кнопка Принять. Если выбрать "Включен", то активизируется строка выбора под фразой "Отключить автозапуск на:". Выбрать можно либо CD-дисковод, либо все дисководы. Какое действие предпринять? |
Вложений: 1
Выбираете все устройства кроме CD\DVD, применяете.
Цитата:
можно применить твик реестра Для этого скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр. Код:
Windows Registry Editor Version 5.00 |
| Время: 17:26. |
Время: 17:26.
© OSzone.net 2001-