Решена Kido

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Winston, 11 ноя 2009.

  1. Winston
    Оффлайн

    Winston Активный пользователь

    Сообщения:
    21
    Симпатии:
    0
    Это логи с компа № 3. AVZ нашел кидо, похоже пофиксил, так как авторан.инф на флэшке не создается. На всякий случай проверьте логи пожалуйста.
     
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    Winston, система заражена Net-Worm.Win32.Kido.ih . Готовьте лог Combofix + лог Gmer.
     
  3. Winston
    Оффлайн

    Winston Активный пользователь

    Сообщения:
    21
    Симпатии:
    0
    Извиняюсь за задержку логов, комп не мой.
     
  4. ТроПа
    Оффлайн

    ТроПа Активный пользователь

    Сообщения:
    399
    Симпатии:
    738
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    временно выключите антивирус, firewall и другое защитное программное обеспечение
    Код (Text):

    File::
    C:\WINDOWS\system32\wvewsxg.dll
    NetSvc::
    swczy
    hjfcgiwr
    Driver::
    hjfcgiwr
    kxqwezzd
    swczy
    hjfcgiwr
    Folder::

    Registry::
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "8054:TCP"=-
    FileLook::

    DirLook::

     
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]

    Когда сохранится новый отчет ComboFix, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
     
    2 пользователям это понравилось.
  5. Winston
    Оффлайн

    Winston Активный пользователь

    Сообщения:
    21
    Симпатии:
    0
  6. Winston
    Оффлайн

    Winston Активный пользователь

    Сообщения:
    21
    Симпатии:
    0
    Смущает вот эта ветка в реестре:
    Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@DisplayName Driver Installer
    Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@Type 32
    Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@Start 2
    Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@ErrorControl 0
    Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
    Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@ObjectName LocalSystem
    Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@Description Allows error reporting for services and applictions running in non-standard environments.
    Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr\Parameters (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr\Parameters@ServiceDll
    Неужели ее не надо удалить?
     
    Последнее редактирование: 15 ноя 2009
  7. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):

    Registry::
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hjfcgiwr]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b068a3a4-6167-11dd-921b-00300542d9e0}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b8f57187-984f-11de-9224-00300542d9e0}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d31d9732-8802-11de-9223-00300542d9e0}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e1e571c9-b7f9-11de-9226-00300542d9e0}]

    RegLockDel::
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hjfcgiwr]
     
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

    Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанной ссылкой на тему.

    Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"
    [​IMG]

    Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
     
    2 пользователям это понравилось.
  8. Winston
    Оффлайн

    Winston Активный пользователь

    Сообщения:
    21
    Симпатии:
    0
    Можно ли снести их вручную, не запуская комбофикс?
     
  9. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    Winston, можно.
     
  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    И не забудте точки восстановления очистить после лечения.
     

Поделиться этой страницей