• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Win32:Confi Wrm

Статус
В этой теме нельзя размещать новые ответы.

FullDarkness

Активный пользователь
Сообщения
15
Симпатии
0
#1
Всем привет! Помогите побороть червя Kido =) KidoKiller ничего не находит кроме задания At1.job... аваст постоянно убивает его в system32 там какой то набор букв с расширением vc... Чем бы не пытался сканировать и лечить вирус не обнаруживается и постоянно появляется вновь вместе с заданием...
 

Вложения

Ботан

Злостный спам-бот
Сообщения
970
Симпатии
173
#2
Приветствую FullDarkness, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,414
Симпатии
4,880
#3
Ни каких следов Kido у вас не обнаружено.

Если это не ваша настройка Proxy:
1. Пофиксите в HJT эти строки
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = vserver:8080
2. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Программу не закрывайте и самостоятельно ни чего не удаляйте!
 

FullDarkness

Активный пользователь
Сообщения
15
Симпатии
0
#4
Прокси моя...
систему просканировал ничего такого не нашла... сам файлик drfpucn.vc переодично удаляется авастом... видимо как только появляется так и удаляется...
Вот что можно разобрать из задания C:\Windows\tasks\At1.job
rundll32.exe drfpucn.vc, xfdquksr
NetScheduleJobAdd
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,911
Симпатии
5,620
#5
1) Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве

Код:
C:\Users\admin.VATREME.001\AppData\Local\Thinstall\Cache\Stubs\1227f053d6da2f2859d270fdc3089114ec7f4\neocleaner.exe (Trojan.Backdoor) -> Действие не было предпринято.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

2) сделайте логи полиморфным AVZ (базы от 11.11.12) и прикрепите их к сообщению.

3) Откройте в блокноте
Код:
C:\Windows\tasks\At1.job
и напишите тут всё его содержимое включая крякозябры.

4) Удалите этот файл вручную, сделайте новые логи RSIT
 
Последнее редактирование:

FullDarkness

Активный пользователь
Сообщения
15
Симпатии
0
#6
1) сделал
2) по подробнее не понял как и тчо значит полиморфным и что в архиве?
3) Я открывал смотрел и присылал что есть текст не копируется а кракозябл таких и на клавиатуре в помине небыло...
4) сделал
 

Вложения

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,414
Симпатии
4,880
#7
3) Я открывал смотрел и присылал что есть текст не копируется а кракозябл таких и на клавиатуре в помине небыло...
полностью выделите весь текст и скопируйте сюда.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,911
Симпатии
5,620
#8
2) по подробнее не понял как и тчо значит полиморфным и что в архиве?
там в архиве переименованный AVZ надо было скачать его распаковать и сделать логи им, но если вы уже удалили этот файл - шаг №4 то шаги №2 и №3 получаются уже не актуальны.
 

FullDarkness

Активный пользователь
Сообщения
15
Симпатии
0
#9
Почему не актуально? Этот файл уже давно вернулся... оба файла восстанавливаются откуда то...

Добавлено через 46 секунд
Как этим авз сканировать? Скрипт 2 и 3 использовать?

Добавлено через 2 минуты 56 секунд
когда я открываю файл at1.job мне блокнот ругается что он бинарный после чего всеже открывается но скопировать ничего оттуда не дает... я могу если только перепечатать вам или запаковать сам файл и отправить вам... сами откроете и посмотрете
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,414
Симпатии
4,880
#10

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,414
Симпатии
4,880
#14
Это доменное имя вам знакомо?
Добавлено через 11 минут 37 секунд
1. Если оно вам не знакомо, тогда Пофиксите в HJT эти строки
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = vatreme.com
O17 - HKLM\Software\..\Telephony: DomainName = vatreme.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = vatreme.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = vatreme.com
2. Затем очистите кэш DNS: в командной строке, запущенной от администратора
("Пуск"=>Введите cmd => По найденному объекту кликните правой кнопкой мыши и выберите пункт Запустить с правами администратора"), выполните:
3. Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."
 

FullDarkness

Активный пользователь
Сообщения
15
Симпатии
0
#15
Домен знаком...
кэш днс чистить при этом?
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,414
Симпатии
4,880
#16
Тогда не стоит, делайте ComboFix.
 

akok

Команда форума
Администратор
Сообщения
14,024
Симпатии
11,726
#19
Ждем запрошенные логи.
 
Статус
В этой теме нельзя размещать новые ответы.