[решено] Net-Worm.Win32.Kido помогите очистить систему

Pili · Отправлено: **23:13, 13-01-2009** | #31

Цитата kamapaka:

Так результаты из поста № 22 как раз так и были получены, все файлы вручную копировал и проверял на virustotal. А вот этого C:\WINDOWS\system32\drivers\cdaudio.sys не было просто. »

И ничего не сказали, что файла нет, я вставил бы в скрипт по удалению сервиса.
Можете удалить AVPsys
пуск-выполнить- cmd.exe - sc delete AVPsys

Цитата kamapaka:

В принципе, проблем пока нет... Если не считать тех двух ошибок svchost за прошлые два дня из-за bpbtvlptg и mxfrc »

bpbtvlptg и mxfrc уже удалены, были от червя kido

Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Запустите OTViewIt инажмите CleanUp!
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Создайте новую контрольную точку восстановления и очистите предыдущие:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

Цитата:

8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей

Советую отключить неиспользуемые службы, отключить автозапуск со съемных носителей и настроить безопасность. Если что-то из списка не нужно, скажите, можно будет отключить скриптом.

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus
Регулярно ставьте обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы.
По службам можно почитать здесь, дополнительно по безопасности Windows XP можно почитать здесь
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista"

kamapaka · Отправлено: **09:57, 14-01-2009** | #32

Pili, огромное спасибо! Вы просто спасли мой компьютер!

P.S. Может быть, стоит как-то переименовать тему, чтобы название было более информативным? А то я как-то уж слишком абстрактно ее назвал...

Pili · Отправлено: **10:56, 14-01-2009** | #33

kamapaka, у вас был Net-Worm.Win32.Kido, тему переименовал.
Чистого вам интернета!

Тема закрыта. Для открытия темы топикстартер может обратиться в РМ, для всех остальных - создавайте новую тему с учетом правил