Решена Проблема с вирусом Kido в Win32: как решить?

Статус
В этой теме нельзя размещать новые ответы.

FullDarkness

Новый пользователь
Сообщения
15
Реакции
0
Всем привет! Помогите побороть червя Kido =) KidoKiller ничего не находит кроме задания At1.job... аваст постоянно убивает его в system32 там какой то набор букв с расширением vc... Чем бы не пытался сканировать и лечить вирус не обнаруживается и постоянно появляется вновь вместе с заданием...
 

Вложения

  • info.txt
    39.1 KB · Просмотры: 1
  • log.txt
    30.3 KB · Просмотры: 4
  • virusinfo_syscheck.zip
    20.9 KB · Просмотры: 2
  • virusinfo_syscure.zip
    21.2 KB · Просмотры: 2
Приветствую FullDarkness, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 
Ни каких следов Kido у вас не обнаружено.

Если это не ваша настройка Proxy:
1. Пофиксите в HJT эти строки
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = vserver:8080

2. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Программу не закрывайте и самостоятельно ни чего не удаляйте!
 
Прокси моя...
систему просканировал ничего такого не нашла... сам файлик drfpucn.vc переодично удаляется авастом... видимо как только появляется так и удаляется...
Вот что можно разобрать из задания C:\Windows\tasks\At1.job
rundll32.exe drfpucn.vc, xfdquksr
NetScheduleJobAdd
 

Вложения

  • MBAM-log-2013-02-04 (15-11-26).txt
    3.4 KB · Просмотры: 3
1) Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве

Код:
C:\Users\admin.VATREME.001\AppData\Local\Thinstall\Cache\Stubs\1227f053d6da2f2859d270fdc3089114ec7f4\neocleaner.exe (Trojan.Backdoor) -> Действие не было предпринято.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

2) сделайте логи полиморфным AVZ (базы от 11.11.12) и прикрепите их к сообщению.

3) Откройте в блокноте
Код:
C:\Windows\tasks\At1.job
и напишите тут всё его содержимое включая крякозябры.

4) Удалите этот файл вручную, сделайте новые логи RSIT
 
Последнее редактирование:
1) сделал
2) по подробнее не понял как и тчо значит полиморфным и что в архиве?
3) Я открывал смотрел и присылал что есть текст не копируется а кракозябл таких и на клавиатуре в помине небыло...
4) сделал
 

Вложения

  • MBAM-log-2013-02-05 (13-21-55).txt
    2.5 KB · Просмотры: 2
  • info.txt
    40.4 KB · Просмотры: 0
  • log.txt
    33.4 KB · Просмотры: 2
3) Я открывал смотрел и присылал что есть текст не копируется а кракозябл таких и на клавиатуре в помине небыло...
полностью выделите весь текст и скопируйте сюда.
 
2) по подробнее не понял как и тчо значит полиморфным и что в архиве?
там в архиве переименованный AVZ надо было скачать его распаковать и сделать логи им, но если вы уже удалили этот файл - шаг №4 то шаги №2 и №3 получаются уже не актуальны.
 
Почему не актуально? Этот файл уже давно вернулся... оба файла восстанавливаются откуда то...

Добавлено через 46 секунд
Как этим авз сканировать? Скрипт 2 и 3 использовать?

Добавлено через 2 минуты 56 секунд
когда я открываю файл at1.job мне блокнот ругается что он бинарный после чего всеже открывается но скопировать ничего оттуда не дает... я могу если только перепечатать вам или запаковать сам файл и отправить вам... сами откроете и посмотрете
 
Это доменное имя вам знакомо?

Добавлено через 11 минут 37 секунд
1. Если оно вам не знакомо, тогда Пофиксите в HJT эти строки
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = vatreme.com
O17 - HKLM\Software\..\Telephony: DomainName = vatreme.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = vatreme.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = vatreme.com
2. Затем очистите кэш DNS: в командной строке, запущенной от администратора
("Пуск"=>Введите cmd => По найденному объекту кликните правой кнопкой мыши и выберите пункт Запустить с правами администратора"), выполните:
3. Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."
 
Домен знаком...
кэш днс чистить при этом?
 
Тогда не стоит, делайте ComboFix.
 
Ждем запрошенные логи.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу