Решена Kido

Winston

Активный пользователь
Сообщения
21
Симпатии
0
Баллы
381
#1
Это логи с компа № 3. AVZ нашел кидо, похоже пофиксил, так как авторан.инф на флэшке не создается. На всякий случай проверьте логи пожалуйста.
 

akok

Команда форума
Администратор
Сообщения
15,469
Симпатии
12,573
Баллы
2,203
#2
Winston, система заражена Net-Worm.Win32.Kido.ih . Готовьте лог Combofix + лог Gmer.
 

Winston

Активный пользователь
Сообщения
21
Симпатии
0
Баллы
381
#3
Извиняюсь за задержку логов, комп не мой.
 

ТроПа

Активный пользователь
Сообщения
391
Симпатии
334
Баллы
483
#4
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
Код:
File::
C:\WINDOWS\system32\wvewsxg.dll
NetSvc:: 
swczy
hjfcgiwr
Driver::
hjfcgiwr
kxqwezzd
swczy
hjfcgiwr
Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8054:TCP"=-
FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
proxy.php?image=http%3A%2F%2Fsafezone.cc%2Fimages%2FCFScript.gif&hash=a1e37da7b750808a5f12b59f6a501011


Когда сохранится новый отчет ComboFix, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
 

Winston

Активный пользователь
Сообщения
21
Симпатии
0
Баллы
381
#6
Смущает вот эта ветка в реестре:
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@DisplayName Driver Installer
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@Description Allows error reporting for services and applictions running in non-standard environments.
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr\Parameters@ServiceDll
Неужели ее не надо удалить?
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,469
Симпатии
12,573
Баллы
2,203
#7
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hjfcgiwr]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b068a3a4-6167-11dd-921b-00300542d9e0}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b8f57187-984f-11de-9224-00300542d9e0}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d31d9732-8802-11de-9223-00300542d9e0}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e1e571c9-b7f9-11de-9226-00300542d9e0}]

RegLockDel::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hjfcgiwr]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
proxy.php?image=http%3A%2F%2Fsafezone.cc%2Fimages%2FCFScript.gif&hash=a1e37da7b750808a5f12b59f6a501011

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанной ссылкой на тему.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"
proxy.php?image=http%3A%2F%2Fsafezone.cc%2Fimages%2FCombofix-unninstal.JPG&hash=20a4ef164c3cb546fcbe9efada71912f


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
 

Winston

Активный пользователь
Сообщения
21
Симпатии
0
Баллы
381
#8
Можно ли снести их вручную, не запуская комбофикс?
 

akok

Команда форума
Администратор
Сообщения
15,469
Симпатии
12,573
Баллы
2,203
#9
Winston, можно.
 

akok

Команда форума
Администратор
Сообщения
15,469
Симпатии
12,573
Баллы
2,203
#10
И не забудте точки восстановления очистить после лечения.
 
Сверху Снизу