Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Многими любимый Kido.ih

Ответить
Настройки темы
Многими любимый Kido.ih

Пользователь


Сообщения: 140
Благодарности: 4

Профиль | Отправить PM | Цитировать

Сразу прошу прощения за то, что создаю отдельную тему. Если что, готов к перемещению, но все же начну.

Уже достаточно долгое время борюсь с этим вирусом. Чуть более полугода назад справился с ним с помощью алгоритма, который нашел на форуме лаборатории касперского.
читать дальше »
1. Отключить от сети.
2. Отключить восстановление систмы.
3. Установить обновления (MS08-067, MS08-068, MS09-001)
4. Через TotalCmdr удалить содержимое всех Temp-ов для всех профилей, а так же содержимое C:\Documents and Settings\Profile_name\Local Settings\Temporary Internet Files\Content.IE5 (в последних находятся зараженные *.gif)
5. Удалить во всех разделах корзину. Если не удаляется, то в TotalCmdr, снять галочку "F8/Del - уудаление в Корзину (с Shift - окончательно)"
6. Запустить утилиту CureIt. В папке C:\WINDOWS\system32 должно найти файл с расширением *.dll, с произвольным именем и объемом. Утилита сбрасывает атрибуты файла.
7. Перезагрузка. После нее Касперский должен сам пофиксить запуск найденного *.dll и удалить. До запуска CureIt не удалялось.
8. Запускаем Касперсикй на проверку C:\WINDOWS\system32 и C:\Documents and Settings. Все, что найдет, удалить.
9. Теперь в C:\WINDOWS\system32 не должно быть файла *.dll. Если не находило файл, то указать принудительно CureIt на него.
10. В реестре "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" первый параметр "По умолчанию" сделать (значение не присвоено).
11. Перезагрузка. Проверка Касперским. Проверка C:\WINDOWS\system32 на наличие файла *.dll

Более месяца ничего и никого. Потом вздумалось маме вспомнить о существовании флэшки. Только она ее в компьютер, как каспер сразу выдал "... Net-Worm.Win32.Kido.ih ...". Я был очень счастлив. На радостях увидел, что внутри у флэшки. Вскрытие показало, что пациент умер от вскрытия. Решил пойти по пути наименьшего сопротивления - переустановил винду. Увы, не спасло. С тех пор уже забодался бороться с этим червем.

На выходных повторил операцию по алгоритму, который указан выше. Не удалось удалить RECYCLER на внешнем жестком диске, папка сделалась видимой. CureIt ничего не нашел. Вспомнилась великая фраза про суслика. Касперский выдает ошибки, что находит заражение с ледующем файле C:\WINDOWS\system32\x. В более подробных отчетах указывает файл C:\WINDOWS\system32\aoasaq.dll. Наеврняка все вы прекрасно понимаете, что никакого x или aoasaq.dll визуально не видно.
Даный алгоритм проделывал и в обычном режиме и в безопасном. Но в безопасном не получилось довести до конца. CureIt отказывался запускаться.

Попробовал запустить KK.exe (в обычном и безопасном режимах). Выдало по нулям. Я обиделся.

После этого залез в сотый раз в инет. На сайте лаборатории касперского давно уже видел ссылку. Попробовал еще раз запустить KK.exe, но уже сделал это через командную строку и с ключами -a -l report.txt -v. При этом навесил на комп все внешние носители (подумал, что пусть и их посканит). НО!!! в обычном режиме. И о Боги всемогущие. Моментально мне выдало C:\WINDOWS\system32\aoasaq.dll cured. После чего продолжило сканирование. Все гуд.
Итоги:
Infected jobs:............0
Infected files:............1
Infected threads:......1
Spliced functions:......2
Cured files:................1
Fixed registry keys:...8

Запуск CureIt и проверки Касперским папок C:\WINDOWS\system32, а так же C:\Documents and Settings, ничего не дал. Я возрадовался... Минут на 5, так как каспер опять выдал заветное сообщение о зараженном файле .gif в C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5. И, как годится, наша песня хороша - начинай сначала.

Опять проделал все, начиная с фразы "После этого залез в сотый раз в инет". KK.exe выдал все по 0, а Касперский продолжает ругаться. Увы надо было уезжать. Я так и не решил проблему. Сетую на то, что первую результативную проверку запускал не в безопасном режиме.

У кого будут какие соображения по этому поводу? Возможно есть вопросы уточняющие? Какие точно логи нужны, если нужны? Попробую их организовать сегодня вечером через удаленный рабочий стол, ибо до компа 200км .

report.txt - лог KK.exe

Отправлено: 16:17, 27-12-2010

 

Аватара для SolarSpark

Блондинка


Сообщения: 1585
Благодарности: 382

Профиль | Отправить PM | Цитировать

Добрый день!
Отключите антивирус/фаервол, интернет;
Очистите и создайте новую контрольную точку восстановления, чтобы если во время лечения произошла непредвиденная ситуация, вы могли вернуть систему к предыдущему состоянию:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.[list]
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
  1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
  2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
  3. нажмите No, если вы хотите оставить ваши сохраненные пароли
  4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
  5. нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe на temp.exe
Подробнее в "ComboFix. Руководство по применению."

заплатки от кидо ставили?
автозапуск с внешних носителе нужно было отключить сразу после первого заражения.

Необходимо закрыть уязвимости, установив обновления:

* MS08-067
* MS08-068
* MS09-001
http://www.microsoft.com/technet/sec.../MS08-067.mspx
http://www.microsoft.com/technet/sec.../ms08-068.mspx
http://www.microsoft.com/technet/sec.../ms09-001.mspx

+ приготовьте лог Gmer
Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

Последний раз редактировалось SolarSpark, 27-12-2010 в 16:54.

Это сообщение посчитали полезным следующие участники:

Отправлено: 16:25, 27-12-2010 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Пользователь


Сообщения: 140
Благодарности: 4

Профиль | Отправить PM | Цитировать

С логами выйду в эфир чуть позже.

сделал

Цитата:
заплатки от кидо ставили?
эээ... это ж те же заплатки MS08-067, MS08-068 и MS09-001 ??

Цитата:
автозапуск с внешних носителе нужно было отключить сразу после первого заражения.
Пуск - Выполнить - gpedit.msc - Конфигурация компьютера - Административные шаблоны - Система - а вот тут я завис. Нашел штуку "Отключить автозапуск". Захожу и вижу это:



По-умолчанию стоит "Не задан". Если выбрать "Отключен", то ничего не меняется, только активируется кнопка Принять. Если выбрать "Включен", то активизируется строка выбора под фразой "Отключить автозапуск на:". Выбрать можно либо CD-дисковод, либо все дисководы. Какое действие предпринять?

Отправлено: 17:24, 27-12-2010 | #3


Аватара для SolarSpark

Блондинка


Сообщения: 1585
Благодарности: 382

Профиль | Отправить PM | Цитировать

Вложения
Тип файла: 7z CorrectAutorun.7z
(11.9 Kb, 2 просмотров)

Выбираете все устройства кроме CD\DVD, применяете.
Цитата Muslitel:
это ж те же заплатки MS08-067, MS08-068 и MS09-001 ?? »
те же
можно применить твик реестра
Для этого скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр.
Код: Выделить весь код
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000dd
утилитка для отключения автозапуска. применять на машине, на которой нужно отключить устройства.

Последний раз редактировалось SolarSpark, 27-12-2010 в 18:29.

Это сообщение посчитали полезным следующие участники:

Отправлено: 17:52, 27-12-2010 | #4



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Многими любимый Kido.ih

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Драйвер - И опять всеми любимый BSOD LeSTaT Microsoft Windows 2000/XP 1 16-11-2010 10:25
Microsoft предложит европейцам возможность выбрать любимый веб-браузер OSZone News Новости и события Microsoft 11 12-03-2010 17:13
Любимый видео проигрыватель Guest Программное обеспечение Linux и FreeBSD 7 24-09-2002 14:50


« Предыдущая тема | Следующая тема »


 
Переход