[решено] Net-Worm.Win32.Kido помогите очистить систему

Pili · Отправлено: **21:28, 10-01-2009** | #11

Судя по логу combofix у вас очень много антивирусов и защитного ПО, DoctorWeb, Norton Internet Security, Spyware Doctor и пр., удалите лишнее и оставьте 1 антивирус
c:\windows\system32\drivers\TCPIP.SYS рекомендую заменить на оригинальный, winpcap если не требуется можете деинсталлировать.
Папка c:\windows\DED53B0BB67C4244AE6AD6FD3C28D1EF.TMP знакома? В реестре
HKEY_USERS\S-1-5-21-1292428093-1563985344-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C9E06080-4E1D-03EE-9930-2C352F5462B1} - это что? Если не знакомо, можете сохранить эту ветку реестра и затем удалить.
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('Start1Driver', 4);
 SetServiceStart('Start2Driver', 4);
 SetServiceStart('AVPsys', 4);
 QuarantineFile('c:\windows\system32\ttri.dat','');
 QuarantineFile('c:\windows\system32\ullfoek.dll','');
 QuarantineFile('c:\windows\system32\vamsoft.exel','');
 QuarantineFile('C:\Program Files\PixiePack Codec Pack\InstallerHelper.exe','');
 QuarantineFile('C:\WINDOWS\Downloaded Program Files\A9.ocx','');
 QuarantineFile('C:\WINDOWS\DOWNLO~1\HIDINP~1.OCX','');
 QuarantineFile('C:\WINDOWS\system32\drivers\tbhsd.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\VirtualAudio.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\Start2Driver.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\Start1Driver.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\DrmRVideo32.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\DrmRDriverV32.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\cdaudio.sys','');
 QuarantineFile('c:\windows\system32\dllcache\cdaudio.sys','');
 QuarantineFile('C:\WINDOWS\system32\snmvtsvc.exe','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\DrmCVideo32.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\DrmCDriverV32.sys','');
 DeleteFile('c:\windows\system32\vamsoft.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\Start2Driver.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\Start1Driver.sys');
 DeleteService('AVPsys');
 DeleteService('Start2Driver');
 DeleteService('Start1Driver');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('AVPsys');
 BC_DeleteSvc('Start2Driver');
 BC_DeleteSvc('Start1Driver');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin	
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте на newvirus@kaspersky.com, в письме укажите пароль virus, когда придет ответ, сообщите
Если что-то из файлов в карантин не попадет, можете поискать файлы вручную через AVZ-сервис - поиск файлов и добавить в карантин или проверить файлы самостоятельно на virustotal.com
Если скрипт будет снова выдавать ошибку, попробуйте выполнить в безопасном режиме такой скрипт

Код:

begin
ClearQuarantine;
 SetServiceStart('Start1Driver', 4);
 SetServiceStart('Start2Driver', 4);
 SetServiceStart('AVPsys', 4);
 QuarantineFile('c:\windows\system32\ttri.dat','');
 QuarantineFile('c:\windows\system32\ullfoek.dll','');
 QuarantineFile('C:\Program Files\PixiePack Codec Pack\InstallerHelper.exe','');
 QuarantineFile('C:\WINDOWS\Downloaded Program Files\A9.ocx','');
 QuarantineFile('C:\WINDOWS\DOWNLO~1\HIDINP~1.OCX','');
 QuarantineFile('C:\WINDOWS\system32\drivers\tbhsd.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\VirtualAudio.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\Start2Driver.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\Start1Driver.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\DrmRVideo32.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\DrmRDriverV32.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\cdaudio.sys','');
 QuarantineFile('c:\windows\system32\dllcache\cdaudio.sys','');
 QuarantineFile('C:\WINDOWS\system32\snmvtsvc.exe','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\DrmCVideo32.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\DrmCDriverV32.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\Start2Driver.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\Start1Driver.sys');
 DeleteService('AVPsys');
 DeleteService('Start2Driver');
 DeleteService('Start1Driver');
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

Повторите логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ)

Скачайте OTViewIt сохраните на рабочий стол и запустите, выберите File Age: 90 Days, поставьте галочку Scan All Users, нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTViewIt.txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTViewIt.txt и C:\Extras.txt и прикрепите к сообщению.

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.