W Winston Новый пользователь Сообщения 21 Реакции 0 11 Ноя 2009 #1 Это логи с компа № 3. AVZ нашел кидо, похоже пофиксил, так как авторан.инф на флэшке не создается. На всякий случай проверьте логи пожалуйста.
Это логи с компа № 3. AVZ нашел кидо, похоже пофиксил, так как авторан.инф на флэшке не создается. На всякий случай проверьте логи пожалуйста.
akok Команда форума Администратор Ассоциация VN Сообщения 24,720 Реакции 13,567 11 Ноя 2009 #2 Winston, система заражена Net-Worm.Win32.Kido.ih . Готовьте лог Combofix + лог Gmer.
W Winston Новый пользователь Сообщения 21 Реакции 0 13 Ноя 2009 #3 Извиняюсь за задержку логов, комп не мой.
Т ТроПа Постоянный участник Сообщения 356 Реакции 294 13 Ноя 2009 #4 Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. временно выключите антивирус, firewall и другое защитное программное обеспечение Код: File:: C:\WINDOWS\system32\wvewsxg.dll NetSvc:: swczy hjfcgiwr Driver:: hjfcgiwr kxqwezzd swczy hjfcgiwr Folder:: Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "8054:TCP"=- FileLook:: DirLook:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. временно выключите антивирус, firewall и другое защитное программное обеспечение Код: File:: C:\WINDOWS\system32\wvewsxg.dll NetSvc:: swczy hjfcgiwr Driver:: hjfcgiwr kxqwezzd swczy hjfcgiwr Folder:: Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "8054:TCP"=- FileLook:: DirLook:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
W Winston Новый пользователь Сообщения 21 Реакции 0 15 Ноя 2009 #6 Смущает вот эта ветка в реестре: Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@DisplayName Driver Installer Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@Type 32 Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@Start 2 Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@ObjectName LocalSystem Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@Description Allows error reporting for services and applictions running in non-standard environments. Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr\Parameters (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr\Parameters@ServiceDll Неужели ее не надо удалить? Последнее редактирование: 15 Ноя 2009
Смущает вот эта ветка в реестре: Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@DisplayName Driver Installer Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@Type 32 Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@Start 2 Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@ObjectName LocalSystem Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@Description Allows error reporting for services and applictions running in non-standard environments. Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr\Parameters (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr\Parameters@ServiceDll Неужели ее не надо удалить?
akok Команда форума Администратор Ассоциация VN Сообщения 24,720 Реакции 13,567 15 Ноя 2009 #7 Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. Код: Registry:: [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hjfcgiwr] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b068a3a4-6167-11dd-921b-00300542d9e0}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b8f57187-984f-11de-9224-00300542d9e0}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d31d9732-8802-11de-9223-00300542d9e0}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e1e571c9-b7f9-11de-9226-00300542d9e0}] RegLockDel:: [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hjfcgiwr] После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанной ссылкой на тему. Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК" Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. Код: Registry:: [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hjfcgiwr] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b068a3a4-6167-11dd-921b-00300542d9e0}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b8f57187-984f-11de-9224-00300542d9e0}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d31d9732-8802-11de-9223-00300542d9e0}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e1e571c9-b7f9-11de-9226-00300542d9e0}] RegLockDel:: [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hjfcgiwr] После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанной ссылкой на тему. Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК" Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
W Winston Новый пользователь Сообщения 21 Реакции 0 15 Ноя 2009 #8 Можно ли снести их вручную, не запуская комбофикс?
akok Команда форума Администратор Ассоциация VN Сообщения 24,720 Реакции 13,567 15 Ноя 2009 #9 Winston, можно.
akok Команда форума Администратор Ассоциация VN Сообщения 24,720 Реакции 13,567 15 Ноя 2009 #10 И не забудте точки восстановления очистить после лечения.