Решена Проблема с компьютером № 3: AVZ обнаружил и исправил кидо

  • Автор темы Автор темы Winston
  • Дата начала Дата начала

Winston

Новый пользователь
Сообщения
21
Реакции
0
Это логи с компа № 3. AVZ нашел кидо, похоже пофиксил, так как авторан.инф на флэшке не создается. На всякий случай проверьте логи пожалуйста.
 
Winston, система заражена Net-Worm.Win32.Kido.ih . Готовьте лог Combofix + лог Gmer.
 
Извиняюсь за задержку логов, комп не мой.
 
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
Код:
File::
C:\WINDOWS\system32\wvewsxg.dll
NetSvc:: 
swczy
hjfcgiwr
Driver::
hjfcgiwr
kxqwezzd
swczy
hjfcgiwr
Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8054:TCP"=-
FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
CFScript.gif


Когда сохранится новый отчет ComboFix, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
 
Смущает вот эта ветка в реестре:
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@DisplayName Driver Installer
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@Description Allows error reporting for services and applictions running in non-standard environments.
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr\Parameters@ServiceDll
Неужели ее не надо удалить?
 
Последнее редактирование:
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hjfcgiwr]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b068a3a4-6167-11dd-921b-00300542d9e0}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b8f57187-984f-11de-9224-00300542d9e0}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d31d9732-8802-11de-9223-00300542d9e0}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e1e571c9-b7f9-11de-9226-00300542d9e0}]

RegLockDel::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hjfcgiwr]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
CFScript.gif

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанной ссылкой на тему.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"
Combofix-unninstal.JPG


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
 
Можно ли снести их вручную, не запуская комбофикс?
 
Winston, можно.
 
И не забудте точки восстановления очистить после лечения.
 
Назад
Сверху Снизу