Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » net-worm.kido.ep

Ответить
Настройки темы
net-worm.kido.ep

Новый участник


Сообщения: 7
Благодарности: 0

Профиль | Отправить PM | Цитировать


Та же проблема, winXPSP3 без KB958644 сканировал Kaspersky Virus RemTool нашел .dll зараженный net-worm.kido.ep Удалить не смог. Запустил windows-KB 890830-v2.6.exe сканировал фулл сканом 2 часа но в итоге удалил Conficker.B. В реестре руками удалил в параметрах запуска svchost параметр с именем dll-ки, удалил драйверы с таким же именем. Вирус больше не находит. Система не работоспособна т.к. не запускается ничего кроме Avira Antivir Premium Guard, Dame Ware mini Remote Control, Plug and Play, Журнал событий, запуск серверных процессов DCOM, Поставщик поддержки безопасности NT LM. Закидывал в реестр ветку SYSTEM с другого аналогичного рабочего компа. Службы не запускаются. RPC Ошибка 5:отказано в доступе Все остальные 1608:Не удалось запустить дочернюю службу. Помогите пожалуйста.

Отправлено: 21:30, 19-01-2009

 

Dr. Piligrim


Сообщения: 2443
Благодарности: 519

Профиль | Отправить PM | Цитировать


mishanya85, Здравствуйте.
Цитата mishanya85:
реестре руками удалил в параметрах запуска svchost параметр с именем dll-ки, удалил драйверы с таким же именем »
возможно удалено что-то лишнее и придется восстанавливать систему с установочного диска. Давайте проверим на наличие зловредов.
Скачайте DDS и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение
Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

-------

Virus? Malware? - Начните отсюда
Проблема в вашей теме решена? - Отметьте её решенной в настройках темы
Free Antivirus Software......Полиморфный AVZ


Отправлено: 22:06, 19-01-2009 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 7
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: rar scan.rar
(3.0 Kb, 3 просмотров)

просканировал... Теперь не знаю что и делать. Вирус похоже остался

Отправлено: 22:58, 19-01-2009 | #3


Dr. Piligrim


Сообщения: 2443
Благодарности: 519

Профиль | Отправить PM | Цитировать


В логах ничего из семейства kido не видно.
Цитата Pili:
После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". »
Вы точно так делали или лог экспресс-проверки приложили? Если логи быстрой проверки, то выполните полное сканирование.
Этот патч установлен? Судя по логу KB958644 не установлен. Если патч не установие, обязательно установите его.
Включите встроенный брандмауэр windows, запретите 445 и 139 порт (уберите в исключения общий доступ к файлам и принтерам), дополнительно воспользоваться утилитой wwdc, см. также здесь

Сделайте остальные логи по правилам

Скачайте SDFix здесь или здесь, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь, здесь или здесь

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (Удалить выделенные). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.
Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

-------

Virus? Malware? - Начните отсюда
Проблема в вашей теме решена? - Отметьте её решенной в настройках темы
Free Antivirus Software......Полиморфный AVZ


Отправлено: 23:15, 19-01-2009 | #4


Новый участник


Сообщения: 7
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: rar scan.rar
(7.7 Kb, 3 просмотров)

KB958644 не устанавливается "диспетчеру установки не удалось проверить целосность файла update.inf. Убедитесь, что службы криптографии запущены на данном компьютере." Брандмауэр не запускается, служба остановлена, выключена, нет возможности запустить. SDfix просканировал перезагрузился, досканировал выдал отчет, что все нормально. Malwarebytes не запустился, ошибка."run-time error '372' Failed to load control 'vbalGrid' from vbalsgrid6.ocx. Your vesion of vbalsgrid6.ocx may be outdated. Make sure you are using the version of the control that was provided with your application. ComboFix запустил без консоли востановления, просканировал в логе ничего не увидел. Спасибо.

Отправлено: 00:27, 20-01-2009 | #5


Dr. Piligrim


Сообщения: 2443
Благодарности: 519

Профиль | Отправить PM | Цитировать


mishanya85, в секции ------- Sigcheck ------- лога combofix не сошлись сигнатуры многих системных файлов, это или сборка windows или кривой SP3 (не официальный) или зловред- патчер или файловый вирус, проверьте на virustotal.com выборочно файлы из секции Sigcheck лога combofix, например
Цитата:
c:\windows\system32\ws2_32.dll
c:\windows\system32\svchost.exe
c:\windows\system32\wininet.dll
c:\windows\system32\winlogon.exe
c:\windows\system32\ntkrnlpa.exe
c:\windows\system32\ntoskrnl.exe
c:\windows\system32\ctfmon.exe
c:\windows\system32\spoolsv.exe
c:\windows\system32\userinit.exe
E:\test.cmd - это у вас что? А так в логах ничего из семейства kido и остальных зловредов не видно
С помощью cureit и APPTool систему проверяли?
Цитата mishanya85:
В реестре руками удалил в параметрах запуска svchost параметр с именем dll-ки, удалил драйверы с таким же именем. »
возможно удалено что-то лишнее и придется восстанавливать систему с установочного диска.
пуск - выполнить - sfc /scannow, потребуется установочный диск.
см. также Как выполнить обновление (переустановку) Microsoft Windows XP
Способ 2. Восстановление Windows XP при загрузке компьютера с компакт-диска Windows XP
Установите официальный WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com
После этого можете сделать логи по правилам

ещё вариант, можете попробовать выполнить откат на точку восстановления до самостоятельного лечения и попробуем удалить зловред правильно

-------

Virus? Malware? - Начните отсюда
Проблема в вашей теме решена? - Отметьте её решенной в настройках темы
Free Antivirus Software......Полиморфный AVZ


Отправлено: 08:15, 20-01-2009 | #6


Dr. Piligrim


Сообщения: 2443
Благодарности: 519

Профиль | Отправить PM | Цитировать


Цитата mishanya85:
Убедитесь, что службы криптографии запущены на данном компьютере »
Восстановление Службы криптографии: твик реестра
Код: Выделить весь код
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CryptSvc]
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"Description"="Provides three management services: Catalog Database Service, which confirms the signatures of Windows files; Protected Root Service, which adds and removes Trusted Root Certification Authority certificates from this computer; and Key Service, which helps enroll this computer for certificates. If this service is stopped, these management services will not function properly. If this service is disabled, any services that explicitly depend on it will fail to start."
"DisplayName"="Cryptographic Services"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CryptSvc\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
63,00,72,00,79,00,70,00,74,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,\
00
"ServiceMain"="CryptServiceMain"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CryptSvc\Security]
"Security"=hex:00,00,0e,00,01


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CryptSvc\Enum]
"0"="Root\\LEGACY_CRYPTSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
готовый reg файл

Попробуйте выполнить восстановление всех служб windows по умолчанию, посмотрите здесь

-------

Virus? Malware? - Начните отсюда
Проблема в вашей теме решена? - Отметьте её решенной в настройках темы
Free Antivirus Software......Полиморфный AVZ


Отправлено: 10:31, 20-01-2009 | #7


Новый участник


Сообщения: 7
Благодарности: 0

Профиль | Отправить PM | Цитировать


Восстановление всех служб не помогает, в реестре значения по умолчанию, после перезагрузки комп грузится минуты 2 и загружается без служб. Просканировал всеми антивирусами с последними обновлениями и ничего нет. Может есть у кого вирус который включает службы? Смущает лог KVRTool:
AVZ_CollectSysInfo> : завершен
-------------------------------
Запуск: 20.01.2009 12:17:53
Длительность: 00:00:55
Завершение: 20.01.2009 12:18:48


<AVZ_CollectSysInfo> : завершен
-------------------------------
Время Событие
----- -------
20.01.2009 12:17:54 Версия Microsoft Windows: Microsoft Windows XP, Build=2600, SP="Service Pack 2"
20.01.2009 12:17:54 Восстановление системы: включено
20.01.2009 12:17:55 1.1 Поиск перехватчиков API, работающих в пользовательском режиме
20.01.2009 12:17:55 Анализ kernel32.dll, таблица экспорта найдена в секции .text
20.01.2009 12:17:55 Функция kernel32.dll:CreateProcessA (99) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802367->61F03F42
20.01.2009 12:17:55 Перехватчик kernel32.dll:CreateProcessA (99) нейтрализован
20.01.2009 12:17:55 Функция kernel32.dll:CreateProcessW (103) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C802332->61F04040
20.01.2009 12:17:55 Перехватчик kernel32.dll:CreateProcessW (103) нейтрализован
20.01.2009 12:17:55 Функция kernel32.dll:FreeLibrary (241) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AA66->61F041FC
20.01.2009 12:17:55 Перехватчик kernel32.dll:FreeLibrary (241) нейтрализован
20.01.2009 12:17:55 Функция kernel32.dll:GetModuleFileNameA (372) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B357->61F040FB
20.01.2009 12:17:55 Перехватчик kernel32.dll:GetModuleFileNameA (372) нейтрализован
20.01.2009 12:17:55 Функция kernel32.dll:GetModuleFileNameW (373) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80B25D->61F041A0
20.01.2009 12:17:55 Перехватчик kernel32.dll:GetModuleFileNameW (373) нейтрализован
20.01.2009 12:17:55 Функция kernel32.dll:GetProcAddress (408) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AC28->61F04648
20.01.2009 12:17:55 Перехватчик kernel32.dll:GetProcAddress (408) нейтрализован
20.01.2009 12:17:55 Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->61F03C6F
20.01.2009 12:17:55 Перехватчик kernel32.dll:LoadLibraryA (578) нейтрализован
20.01.2009 12:17:55 >>> Функции LoadLibraryA - прививка процесса AVZ от перехвата подменой адреса !!)
20.01.2009 12:17:55 Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->61F03DAF
20.01.2009 12:17:55 Перехватчик kernel32.dll:LoadLibraryExA (579) нейтрализован
20.01.2009 12:17:55 >>> Функции LoadLibraryExA - прививка процесса AVZ от перехвата подменой адреса !!)
20.01.2009 12:17:55 Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->61F03E5A
20.01.2009 12:17:55 Перехватчик kernel32.dll:LoadLibraryExW (580) нейтрализован
20.01.2009 12:17:55 Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ACD3->61F03D0C
20.01.2009 12:17:55 Перехватчик kernel32.dll:LoadLibraryW (581) нейтрализован
20.01.2009 12:17:55 Обнаружена модификация IAT: LoadLibraryW - 00B70010<>7C80ACD3
20.01.2009 12:17:55 Анализ ntdll.dll, таблица экспорта найдена в секции .text
20.01.2009 12:17:55 Анализ user32.dll, таблица экспорта найдена в секции .text
20.01.2009 12:17:55 Анализ advapi32.dll, таблица экспорта найдена в секции .text
20.01.2009 12:17:55 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
20.01.2009 12:17:55 Анализ wininet.dll, таблица экспорта найдена в секции .text
20.01.2009 12:17:55 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
20.01.2009 12:17:55 Анализ urlmon.dll, таблица экспорта найдена в секции .text
20.01.2009 12:17:55 Анализ netapi32.dll, таблица экспорта найдена в секции .text
20.01.2009 12:17:56 1.2 Поиск перехватчиков API, работающих в привилегированном режиме
20.01.2009 12:17:56 Драйвер успешно загружен
20.01.2009 12:17:56 SDT найдена (RVA=08A500)
20.01.2009 12:17:56 Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
20.01.2009 12:17:56 SDT = 80561500
20.01.2009 12:17:56 KiST = 804E48B0 (284)
20.01.2009 12:17:59 Проверено функций: 284, перехвачено: 0, восстановлено: 0
20.01.2009 12:17:59 1.3 Проверка IDT и SYSENTER
20.01.2009 12:17:59 Анализ для процессора 1
20.01.2009 12:17:59 Проверка IDT и SYSENTER завершена
20.01.2009 12:18:00 1.4 Поиск маскировки процессов и драйверов
20.01.2009 12:18:00 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
20.01.2009 12:18:00 Драйвер успешно загружен
20.01.2009 12:18:00 1.5 Проверка обработчиков IRP
20.01.2009 12:18:00 Проверка завершена
20.01.2009 12:18:17 >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
20.01.2009 12:18:17 >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
20.01.2009 12:18:17 >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
20.01.2009 12:18:17 >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
20.01.2009 12:18:17 >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
20.01.2009 12:18:17 >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
20.01.2009 12:18:17 > Службы: набор применяемых на компьютере служб зависит от области его применения (домашний, компьютер в сети предприятия и т.д.)!
20.01.2009 12:18:17 >> Безопасность: разрешен автозапуск программ с CDROM
20.01.2009 12:18:17 >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
20.01.2009 12:18:17 >> Безопасность: к компьютеру разрешен доступ анонимного пользователя
20.01.2009 12:18:22 >> Отключить автозапуск с жестких дисков
20.01.2009 12:18:22 >> Отключить автозапуск с сетевых дисков
20.01.2009 12:18:22 >> Отключить автозапуск с CD-ROM
20.01.2009 12:18:22 >> Отключить автозапуск с съемных носителей
20.01.2009 12:18:23 Выполняется исследование системы...
20.01.2009 12:18:47 Исследование системы завершено
20.01.2009 12:18:47 Удаление файла:C:\Documents and Settings\Администратор\Рабочий стол\Virus Removal Tool\is-VH7S6\LOG\avptool_syscheck.htm
20.01.2009 12:18:47 Удаление файла:C:\Documents and Settings\Администратор\Рабочий стол\Virus Removal Tool\is-VH7S6\LOG\avptool_syscheck.xml
20.01.2009 12:18:47 Удаление службы/драйвера: uti1njg4
20.01.2009 12:18:47 Удаление файла:C:\WINDOWS\system32\Drivers\uti1njg4.sys
20.01.2009 12:18:48 Удаление службы/драйвера: uji1njg4
20.01.2009 12:18:48 Скрипт выполнен без ошибок

Отправлено: 14:19, 20-01-2009 | #8


Dr. Piligrim


Сообщения: 2443
Благодарности: 519

Профиль | Отправить PM | Цитировать


Цитата mishanya85:
Microsoft Windows XP, Build=2600, SP="Service Pack 2" »
Очевидно, что вы не выполнили рекомендации поста 4
Ещё раз внимательно перечитайте пост 4 и 6
Если будете выполнять обновление (переустановку) Microsoft Windows XP и используете сборку, рекомендую обновлять сразу с лицензионного компакт диска windows
Цитата mishanya85:
Восстановление всех служб не помогает »
здесь скачивали и применяли reg файл для восстановления служб?
С помощью Dr.Web LiveCD пробовали проверять систему?

-------

Virus? Malware? - Начните отсюда
Проблема в вашей теме решена? - Отметьте её решенной в настройках темы
Free Antivirus Software......Полиморфный AVZ


Отправлено: 14:38, 20-01-2009 | #9



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » net-worm.kido.ep

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Net-Worm.Win32.Kido.ih azhur Лечение систем от вредоносных программ 2 27-08-2009 18:32
NET-WORM.WIN32.KIDO.IN sadovnic Лечение систем от вредоносных программ 2 05-05-2009 10:12
Лечение Net-Worm.Win32.Kido.ih Drugser Защита компьютерных систем 5 22-04-2009 11:51
Net-Worm.Win32.Kido - вопросы crashtuak Лечение систем от вредоносных программ 1 13-04-2009 22:41
net-worm.kido.ep (II) crouler Лечение систем от вредоносных программ 1 09-02-2009 10:29




 
Переход