begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\hijmq.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
File::
c:\windows\system32\hijmq.dll
c:\windows\system32\x_810.VIR
c:\windows\system32\x_82c.VIR
c:\windows\system32\x_814.VIR
c:\windows\system32\x_818.VIR
c:\windows\system32\x_81c.VIR
c:\windows\system32\x_824.VIR
c:\windows\system32\x_828.VIR
c:\windows\system32\x_830.VIR
c:\windows\system32\x_730.VIR
c:\windows\system32\x_728.VIR
c:\windows\system32\x_718.VIR
c:\windows\system32\x_72c.VIR
c:\windows\system32\x_714.VIR
c:\windows\system32\x_71c.VIR
c:\windows\system32\x_710.VIR
c:\windows\system32\x_724.VIR
c:\windows\system32\x_620.VIR
c:\windows\system32\x_720.VIR
c:\windows\system32\x_3a4.VIR
c:\windows\system32\x_4f0.VIR
c:\windows\system32\x_4bc.VIR
C:\sccfg.sys
c:\windows\system32\x_474.VIR
c:\windows\system32\x_478.VIR
c:\windows\system32\x_46c.VIR
c:\windows\system32\x_464.VIR
c:\windows\system32\x_468.VIR
c:\windows\system32\x_45c.VIR
c:\windows\system32\x_470.VIR
c:\windows\system32\x_460.VIR
c:\windows\system32\x_14c.VIR
c:\windows\system32\x_420.VIR
c:\windows\system32\x_454.VIR
c:\windows\system32\x_154.VIR
c:\windows\system32\x_49c.VIR
c:\windows\system32\x_4c0.VIR
c:\windows\system32\x_4f8.VIR
c:\windows\system32\x_2b8.VIR
c:\windows\system32\x_4a4.VIR
c:\windows\system32\x_47c.VIR
c:\windows\system32\x_17c.VIR
c:\windows\system32\x_174.VIR
c:\windows\system32\x_4a0.VIR
c:\windows\system32\x_4fc.VIR
NetSvc::
hgonqhxb
sumkyru
eaich
Driver::
eaich
hgonqhxb
sumkyru
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2380:TCP"= -
FileLook::
DirLook::
c:\program files\SBSign
KillAll::
File::
c:\windows\system32\x_254.VIR
c:\windows\system32\x_820.VIR
c:\windows\system32\x_1f4.VIR
Driver::
Folder::
Registry::
FileLook::
DirLook::
KillAll::
На ваше усмотрение, т.к. это считается уязвимое ПО.Только вот не пойму, зачем акробат обновлять?
File::
c:\windows\system32\01.tmp
c:\windows\system32\hijmq_200.VIR
c:\windows\system32\x_3ac.VIR
c:\windows\system32\x_3f4.VIR
c:\windows\system32\x_ac.VIR
c:\windows\system32\x_368.VIR
c:\windows\system32\x_398.VIR
c:\windows\system32\x_404.VIR
c:\windows\system32\01_2b8.VIR
Driver::
otomyjde
rctmyoyst
sumkyru
NetSvc::
otomyjde
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rctmyoyst]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2380:TCP"=-
FileLook::
DirLook::
KillAll::
Прочитал описание кидо, процессы с рандом именем у меня не создаются, досту к антивирусным сайтам есть, антивирусник выдает совсем другое сообщение. Может это не кидо ???
Скорее всего фолс.Похоже что-то есть.
Ваш антивирус не давал полностью развернутся вредоносу.И еще вопросик, если это кидо, то почему итилиты типа "кидо.конфикер-ремуверы" ничего не показали?
File::
c:\windows\system32\01.tmp
c:\windows\system32\01_6fc.VIR
c:\windows\system32\hijmq_6f4.VIR
c:\windows\temp\QOF8B0.EXE
NetSvc::
cftyzg
cbrbmqhpo
Driver::
cftyzg
cbrbmqhpo
Folder::
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cftyzg]
KillAll::
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?