[решено] Net-Worm.Win32.Kido помогите очистить систему

Severny · Отправлено: **02:32, 13-01-2009** | #21

FATruden, Флудить закончил..

kamapaka · Отправлено: **11:33, 13-01-2009** | #22

Pili:

1. Вчера выполнил скрипт ComboFix с файлом CFScript (см. отчет ComboFix.zip)
2. Установил обновления, после обновления выполнил проверку gmer, DDS и RSIT (см. отчет gmer.zip, Attach.zip и DDS.zip, RSIT.zip).
3. Отправил карантин на newvirus@...., ответ:,
Тема: RE: [KLAN-19704513]
Hello.
No malicious software was found in the attached file.
--------------------
Regards, Aseev Evgeny
Virus Analyst

4. Проверил все файлы вручную на сайте virustotal.com: ullfoek.dll распознался 26 из 38, но я не могу его удалить через IceSword - после перезагрузки он снова появляется, 4 файла - 1 подозрение на вирус, см. далее.

4. За эти два дня 2 раза было сообщение об ошибке svchost и снова не открывались антивирусные сайты, через gmer блокировал bpbtvlptg и mxfrc - и все снова работало.
5. Сделал новый лог AVZ.

kamapaka · Отправлено: **11:41, 13-01-2009** | #23

Кстати,

Цитата Pili:

DNS сервера 193.24.25.1,193.24.25.250 - ваши? »

да, мои...

Цитата Pili:

рекомендую отключить Netbios »

Я отключил "Модуль поддержки NetBIOS через TCP/IP". Это он?

kamapaka · Отправлено: **11:44, 13-01-2009** | #24

Только что понял, что неправильно выложил логи RSIT. Исправляю ошибку.

kamapaka · Отправлено: **11:51, 13-01-2009** | #25

Через gmer файл ullfoek.dll удалось удалить! По крайней мере, после перезагрузки он уже не появился.

Pili · Отправлено: **12:46, 13-01-2009** | #26

Цитата kamapaka:

Я отключил "Модуль поддержки NetBIOS через TCP/IP". Это он? »

Ещё лучше включить встроенный бранмауэр windows и дополнительно воспользоваться утилитой wwdc, см. также здесь

Цитата kamapaka:

ответ:,
Тема: RE: [KLAN-19704513]
Hello.
No malicious software was found in the attached file. »

в карантин попали файлы?

Цитата:

C:\WINDOWS\system32\drivers\cdaudio.sys
C:\WINDOWS\system32\ullfoek.dll
C:\WINDOWS\system32\drivers\VirtualAudio.sys

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение

Код:

File::
c:\windows\system32\ullfoek.dll
Driver::
bpbtvlptg
mxfrc

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a594b15a-dfe8-11dd-8589-00138fa470df}]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe

Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению
сделайте новый лог gmer

kamapaka · Отправлено: **19:40, 13-01-2009** | #27

При помощи wwdc закрыл порты

Цитата Pili:

в карантин попали файлы? »

из указанных трех файлов в карантине AVZ был только C:\WINDOWS\system32\drivers\VirtualAudio.sys

ComboFix предложил обновиться, я согласился. Лог вложил. Лог gmer вложил.

kamapaka · Отправлено: **19:43, 13-01-2009** | #28

Кстати, пробовал позавчера AVZ (уже после удаления всех антивирусов и иже с ними) - все то же сообщение об ошибке: Invalid data type for ". То же при выполнении скрипта в безопасном режиме.

Pili · Отправлено: **20:22, 13-01-2009** | #29

Цитата kamapaka:

из указанных трех файлов в карантине AVZ был только C:\WINDOWS\system32\drivers\VirtualAudio.sys »

Вы это

Цитата Pili:

Там же в IceSword выберите в меню File, появится аналог проводника, найдите в нем указанные файлы
Цитата:
C:\WINDOWS\System32\Drivers\atdrfzib.SYS
C:\WINDOWS\system32\drivers\cdaudio.sys
C:\WINDOWS\system32\ullfoek.dll
C:\WINDOWS\system32\drivers\Start2Driver.sys
C:\WINDOWS\system32\drivers\Start1Driver.sys
C:\WINDOWS\system32\drivers\VirtualAudio.sys
C:\WINDOWS\System32\ttri.dat
C:\WINDOWS\ultra.INI
C:\WINDOWS\Run32A50.mch
нажмите по файлам правой кнопкой мыши и скопируйте их в какую-нибудь папку (создайте напр. папку virus) при помощи Copy to.., папку запакуйте с паролем virus и отправьте в вирлаб, можете также проверить на virustotal.com »

пробовали делать?
Сейчас интересует рез-т проверки
C:\WINDOWS\system32\drivers\cdaudio.sys
Попробуйте временно отключить AVPsys через gmer - Sevices, нажмите справа от вкладки Rootkit/Malware клавишу >>>, Выберите вкладку Sevices найдите AVPsys - disable и перезагрузитесь

Цитата kamapaka:

Кстати, пробовал позавчера AVZ (уже после удаления всех антивирусов и иже с ними) - все то же сообщение об ошибке: Invalid data type for ". То же при выполнении скрипта в безопасном режиме. »

У вас есть SafeNet Sentinel Protection Server, возможно он влияет
Проблемы ещё имеются?

kamapaka · Отправлено: **22:22, 13-01-2009** | #30

Цитата Pili:

Вы это
Цитата Pili:
Там же в IceSword выберите в меню File, появится аналог проводника, найдите в нем указанные файлы
нажмите по файлам правой кнопкой мыши и скопируйте их в какую-нибудь папку (создайте напр. папку virus) при помощи Copy to.., папку запакуйте с паролем virus и отправьте в вирлаб, можете также проверить на virustotal.com »
пробовали делать?
Сейчас интересует рез-т проверки C:\WINDOWS\system32\drivers\cdaudio.sys
[/post]

Так результаты из поста № 22 как раз так и были получены, все файлы вручную копировал и проверял на virustotal. А вот этого C:\WINDOWS\system32\drivers\cdaudio.sys не было просто.

В принципе, проблем пока нет... Если не считать тех двух ошибок svchost за прошлые два дня из-за bpbtvlptg и mxfrc