Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум
Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  

Название темы: [решено] Net-Worm.Win32.Kido помогите очистить систему
Показать сообщение отдельно

Новый участник


Сообщения: 17
Благодарности: 0

Профиль | Отправить PM | Цитировать

Изображения
Тип файла: jpg gmer error1.JPG
(152.1 Kb, 1 просмотров)
Вложения
Тип файла: zip Extras.zip
(8.8 Kb, 1 просмотров)
Тип файла: zip OTViewIt.zip
(17.5 Kb, 1 просмотров)
Тип файла: zip gmer log.zip
(7.7 Kb, 1 просмотров)
Тип файла: zip gmer full.zip
(7.6 Kb, 1 просмотров)

Pili, спасибо!

Отчет о проделанной работе:

1) на данный момент установлены Agnitum Outpost Firewall Pro Avira и Antivir Premium, все остальные программы (NOD, Norton Internet Security, BitDefender, Avast и т.д.) я ставил по одной и удалял перед установкой следующей, это все делалось до моего первого поста в этой теме - думал, что Windows я уже загубил, поэтому просто экспериментировал, что выбрать на будущее после переустановки Windows, но Avira смогла вылечить компьютер почти полностью.

2) для удаления остатков антивирусов зашел в эту тему http://forum.oszone.net/post-892208-1.html, но не смог зайти на сайты антивирусов, пишет сообщение типа
"Вы попытались получить доступ к адресу http://www.eset.com/, который сейчас недоступен. Убедитесь, что веб-адрес (URL) введен правильно, и попытайтесь перезагрузить страницу. Убедитесь, что соединение с Интернет активно, и проверьте, работают ли другие приложения, использующие это соединение."
Пробовал IE, Opera, Firefox - безрезультатно. Примерный список сайтов, на которые не заходит:

http://avirus.ru/
http://www.eset.com/
http://avast.com/
http://www.kaspersky.ru/
http://www.bitdefender.com/
http://www.virustotal.com/
http://www.symantec.com/

Без проблем заходит на сайт http://www.agnitum.ru/

Файл HOSTS содержит только строчку "127.0.0.1 localhost". Но название файла почему-то большими буквами HOSTS.

3) файл c:\windows\system32\drivers\TCPIP.SYS менялся для увеличение количества halfopen-соединений. Как его заменить на оригинальный?

4) Папку c:\windows\DED53B0BB67C4244AE6AD6FD3C28D1EF.TMP удалил, по-моему, это осталось от установки антишпиона Lavasoft.

5) HKEY_USERS\S-1-5-21-1292428093-1563985344-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C9E06080-4E1D-03EE-9930-2C352F5462B1} - было две такие строчки, одну удалил, вторая теперь при выделении щелчком пишет "Не удается открыть {C9E06080-4E1D-03EE-9930-2C352F5462B1}: Ошибка при открытии раздела". Переименовать или удалить не получается.

6) выполнил скрипт при отключенном антивирусе, firewall и отключив Интернет (как и все предыдщие разы), в конце выдало ту же ошибку Invalid data type for ".
7) выполнил другой скрипт в безопасном режиме - та же ошибка в конце. Вопрос: какой из архивов карантина теперь выслать kaspersky? Тот, который после первого (я скопировал его в другую папку), или после второго скрипта?
8) новый лог прилагается

9) логи OTViewIt вложены (см. Extras.zip и OTViewIt.xip)

10) Gmer после экспресс-проверки выдал сообщение, что моя система "infected by Rootkit", предложил "fully scan". Я согласился (см. отчет gmer log .zip), но галочка стояла только на С, поэтому потом я запустил его еще раз и проверил все диски. Во время проверки выскочило окно с ошибкой gmer.exe с предложением отправить отчет (см. скриншот). Закрыл программу, запустил еще раз, на этот раз все диски просканировались без проблем (см. отчет gmer full.zip).

Последний раз редактировалось kamapaka, 11-01-2009 в 12:55.

Отправлено: 12:23, 11-01-2009 | #12

Название темы: [решено] Net-Worm.Win32.Kido помогите очистить систему