|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » net-worm.kido.ep |
|
net-worm.kido.ep
|
Новый участник Сообщения: 7 |
Профиль | Отправить PM | Цитировать Та же проблема, winXPSP3 без KB958644 сканировал Kaspersky Virus RemTool нашел .dll зараженный net-worm.kido.ep Удалить не смог. Запустил windows-KB 890830-v2.6.exe сканировал фулл сканом 2 часа но в итоге удалил Conficker.B. В реестре руками удалил в параметрах запуска svchost параметр с именем dll-ки, удалил драйверы с таким же именем. Вирус больше не находит. Система не работоспособна т.к. не запускается ничего кроме Avira Antivir Premium Guard, Dame Ware mini Remote Control, Plug and Play, Журнал событий, запуск серверных процессов DCOM, Поставщик поддержки безопасности NT LM. Закидывал в реестр ветку SYSTEM с другого аналогичного рабочего компа. Службы не запускаются. RPC Ошибка 5:отказано в доступе Все остальные 1608:Не удалось запустить дочернюю службу. Помогите пожалуйста.
|
|
Отправлено: 21:30, 19-01-2009 |
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать mishanya85, Здравствуйте.
Цитата mishanya85:
Скачайте DDS и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. |
|
------- Отправлено: 22:06, 19-01-2009 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Новый участник Сообщения: 7
|
Профиль | Отправить PM | Цитировать просканировал... Теперь не знаю что и делать. Вирус похоже остался
|
Отправлено: 22:58, 19-01-2009 | #3 |
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать В логах ничего из семейства kido не видно.
Цитата Pili:
Этот патч установлен? Судя по логу KB958644 не установлен. Если патч не установие, обязательно установите его. Включите встроенный брандмауэр windows, запретите 445 и 139 порт (уберите в исключения общий доступ к файлам и принтерам), дополнительно воспользоваться утилитой wwdc, см. также здесь Сделайте остальные логи по правилам Скачайте SDFix здесь или здесь, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению Описание SDFix есть здесь, здесь или здесь Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (Удалить выделенные). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть). Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска. После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes. Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском) Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe |
|
------- Отправлено: 23:15, 19-01-2009 | #4 |
Новый участник Сообщения: 7
|
Профиль | Отправить PM | Цитировать KB958644 не устанавливается "диспетчеру установки не удалось проверить целосность файла update.inf. Убедитесь, что службы криптографии запущены на данном компьютере." Брандмауэр не запускается, служба остановлена, выключена, нет возможности запустить. SDfix просканировал перезагрузился, досканировал выдал отчет, что все нормально. Malwarebytes не запустился, ошибка."run-time error '372' Failed to load control 'vbalGrid' from vbalsgrid6.ocx. Your vesion of vbalsgrid6.ocx may be outdated. Make sure you are using the version of the control that was provided with your application. ComboFix запустил без консоли востановления, просканировал в логе ничего не увидел. Спасибо.
|
|
Отправлено: 00:27, 20-01-2009 | #5 |
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать mishanya85, в секции ------- Sigcheck ------- лога combofix не сошлись сигнатуры многих системных файлов, это или сборка windows или кривой SP3 (не официальный) или зловред- патчер или файловый вирус, проверьте на virustotal.com выборочно файлы из секции Sigcheck лога combofix, например
Цитата:
С помощью cureit и APPTool систему проверяли? Цитата mishanya85:
пуск - выполнить - sfc /scannow, потребуется установочный диск. см. также Как выполнить обновление (переустановку) Microsoft Windows XP Способ 2. Восстановление Windows XP при загрузке компьютера с компакт-диска Windows XP Установите официальный WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com После этого можете сделать логи по правилам ещё вариант, можете попробовать выполнить откат на точку восстановления до самостоятельного лечения и попробуем удалить зловред правильно |
||
------- Отправлено: 08:15, 20-01-2009 | #6 |
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать Цитата mishanya85:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CryptSvc] "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "Description"="Provides three management services: Catalog Database Service, which confirms the signatures of Windows files; Protected Root Service, which adds and removes Trusted Root Certification Authority certificates from this computer; and Key Service, which helps enroll this computer for certificates. If this service is stopped, these management services will not function properly. If this service is disabled, any services that explicitly depend on it will fail to start." "DisplayName"="Cryptographic Services" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "ObjectName"="LocalSystem" "Start"=dword:00000002 "Type"=dword:00000020 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CryptSvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 63,00,72,00,79,00,70,00,74,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,\ 00 "ServiceMain"="CryptServiceMain" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CryptSvc\Security] "Security"=hex:00,00,0e,00,01 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CryptSvc\Enum] "0"="Root\\LEGACY_CRYPTSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Попробуйте выполнить восстановление всех служб windows по умолчанию, посмотрите здесь |
|
------- Отправлено: 10:31, 20-01-2009 | #7 |
Новый участник Сообщения: 7
|
Профиль | Отправить PM | Цитировать Восстановление всех служб не помогает, в реестре значения по умолчанию, после перезагрузки комп грузится минуты 2 и загружается без служб. Просканировал всеми антивирусами с последними обновлениями и ничего нет. Может есть у кого вирус который включает службы? Смущает лог KVRTool:
AVZ_CollectSysInfo> : завершен ------------------------------- Запуск: 20.01.2009 12:17:53 Длительность: 00:00:55 Завершение: 20.01.2009 12:18:48 <AVZ_CollectSysInfo> : завершен ------------------------------- Время Событие ----- ------- 20.01.2009 12:17:54 Версия Microsoft Windows: Microsoft Windows XP, Build=2600, SP="Service Pack 2" 20.01.2009 12:17:54 Восстановление системы: включено 20.01.2009 12:17:55 1.1 Поиск перехватчиков API, работающих в пользовательском режиме 20.01.2009 12:17:55 Анализ kernel32.dll, таблица экспорта найдена в секции .text 20.01.2009 12:17:55 Функция kernel32.dll:CreateProcessA (99) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802367->61F03F42 20.01.2009 12:17:55 Перехватчик kernel32.dll:CreateProcessA (99) нейтрализован 20.01.2009 12:17:55 Функция kernel32.dll:CreateProcessW (103) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802332->61F04040 20.01.2009 12:17:55 Перехватчик kernel32.dll:CreateProcessW (103) нейтрализован 20.01.2009 12:17:55 Функция kernel32.dll:FreeLibrary (241) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AA66->61F041FC 20.01.2009 12:17:55 Перехватчик kernel32.dll:FreeLibrary (241) нейтрализован 20.01.2009 12:17:55 Функция kernel32.dll:GetModuleFileNameA (372) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B357->61F040FB 20.01.2009 12:17:55 Перехватчик kernel32.dll:GetModuleFileNameA (372) нейтрализован 20.01.2009 12:17:55 Функция kernel32.dll:GetModuleFileNameW (373) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B25D->61F041A0 20.01.2009 12:17:55 Перехватчик kernel32.dll:GetModuleFileNameW (373) нейтрализован 20.01.2009 12:17:55 Функция kernel32.dll:GetProcAddress (408) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AC28->61F04648 20.01.2009 12:17:55 Перехватчик kernel32.dll:GetProcAddress (408) нейтрализован 20.01.2009 12:17:55 Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->61F03C6F 20.01.2009 12:17:55 Перехватчик kernel32.dll:LoadLibraryA (578) нейтрализован 20.01.2009 12:17:55 >>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !!) 20.01.2009 12:17:55 Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->61F03DAF 20.01.2009 12:17:55 Перехватчик kernel32.dll:LoadLibraryExA (579) нейтрализован 20.01.2009 12:17:55 >>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!) 20.01.2009 12:17:55 Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->61F03E5A 20.01.2009 12:17:55 Перехватчик kernel32.dll:LoadLibraryExW (580) нейтрализован 20.01.2009 12:17:55 Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ACD3->61F03D0C 20.01.2009 12:17:55 Перехватчик kernel32.dll:LoadLibraryW (581) нейтрализован 20.01.2009 12:17:55 Обнаружена модификация IAT: LoadLibraryW - 00B70010<>7C80ACD3 20.01.2009 12:17:55 Анализ ntdll.dll, таблица экспорта найдена в секции .text 20.01.2009 12:17:55 Анализ user32.dll, таблица экспорта найдена в секции .text 20.01.2009 12:17:55 Анализ advapi32.dll, таблица экспорта найдена в секции .text 20.01.2009 12:17:55 Анализ ws2_32.dll, таблица экспорта найдена в секции .text 20.01.2009 12:17:55 Анализ wininet.dll, таблица экспорта найдена в секции .text 20.01.2009 12:17:55 Анализ rasapi32.dll, таблица экспорта найдена в секции .text 20.01.2009 12:17:55 Анализ urlmon.dll, таблица экспорта найдена в секции .text 20.01.2009 12:17:55 Анализ netapi32.dll, таблица экспорта найдена в секции .text 20.01.2009 12:17:56 1.2 Поиск перехватчиков API, работающих в привилегированном режиме 20.01.2009 12:17:56 Драйвер успешно загружен 20.01.2009 12:17:56 SDT найдена (RVA=08A500) 20.01.2009 12:17:56 Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000 20.01.2009 12:17:56 SDT = 80561500 20.01.2009 12:17:56 KiST = 804E48B0 (284) 20.01.2009 12:17:59 Проверено функций: 284, перехвачено: 0, восстановлено: 0 20.01.2009 12:17:59 1.3 Проверка IDT и SYSENTER 20.01.2009 12:17:59 Анализ для процессора 1 20.01.2009 12:17:59 Проверка IDT и SYSENTER завершена 20.01.2009 12:18:00 1.4 Поиск маскировки процессов и драйверов 20.01.2009 12:18:00 Проверка не производится, так как не установлен драйвер мониторинга AVZPM 20.01.2009 12:18:00 Драйвер успешно загружен 20.01.2009 12:18:00 1.5 Проверка обработчиков IRP 20.01.2009 12:18:00 Проверка завершена 20.01.2009 12:18:17 >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) 20.01.2009 12:18:17 >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) 20.01.2009 12:18:17 >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) 20.01.2009 12:18:17 >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet) 20.01.2009 12:18:17 >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) 20.01.2009 12:18:17 >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) 20.01.2009 12:18:17 > Службы: набор применяемых на компьютере служб зависит от области его применения (домашний, компьютер в сети предприятия и т.д.)! 20.01.2009 12:18:17 >> Безопасность: разрешен автозапуск программ с CDROM 20.01.2009 12:18:17 >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) 20.01.2009 12:18:17 >> Безопасность: к компьютеру разрешен доступ анонимного пользователя 20.01.2009 12:18:22 >> Отключить автозапуск с жестких дисков 20.01.2009 12:18:22 >> Отключить автозапуск с сетевых дисков 20.01.2009 12:18:22 >> Отключить автозапуск с CD-ROM 20.01.2009 12:18:22 >> Отключить автозапуск с съемных носителей 20.01.2009 12:18:23 Выполняется исследование системы... 20.01.2009 12:18:47 Исследование системы завершено 20.01.2009 12:18:47 Удаление файла:C:\Documents and Settings\Администратор\Рабочий стол\Virus Removal Tool\is-VH7S6\LOG\avptool_syscheck.htm 20.01.2009 12:18:47 Удаление файла:C:\Documents and Settings\Администратор\Рабочий стол\Virus Removal Tool\is-VH7S6\LOG\avptool_syscheck.xml 20.01.2009 12:18:47 Удаление службы/драйвера: uti1njg4 20.01.2009 12:18:47 Удаление файла:C:\WINDOWS\system32\Drivers\uti1njg4.sys 20.01.2009 12:18:48 Удаление службы/драйвера: uji1njg4 20.01.2009 12:18:48 Скрипт выполнен без ошибок |
Отправлено: 14:19, 20-01-2009 | #8 |
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать Цитата mishanya85:
Ещё раз внимательно перечитайте пост 4 и 6 Если будете выполнять обновление (переустановку) Microsoft Windows XP и используете сборку, рекомендую обновлять сразу с лицензионного компакт диска windows Цитата mishanya85:
С помощью Dr.Web LiveCD пробовали проверять систему? |
||
------- Отправлено: 14:38, 20-01-2009 | #9 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Net-Worm.Win32.Kido.ih | azhur | Лечение систем от вредоносных программ | 2 | 27-08-2009 18:32 | |
NET-WORM.WIN32.KIDO.IN | sadovnic | Лечение систем от вредоносных программ | 2 | 05-05-2009 10:12 | |
Лечение Net-Worm.Win32.Kido.ih | Drugser | Защита компьютерных систем | 5 | 22-04-2009 11:51 | |
Net-Worm.Win32.Kido - вопросы | crashtuak | Лечение систем от вредоносных программ | 1 | 13-04-2009 22:41 | |
net-worm.kido.ep (II) | crouler | Лечение систем от вредоносных программ | 1 | 09-02-2009 10:29 |
|