Добрый день.
Имеется Компьютер с Windows Vista SP2 и всеми последними обновлениями + Антивирус Касперского 6.0.3.837 с обновлениями от 04.11.2009
Есть флешка, зараженная Кидо...
Антивирус выдает сообщение
обнаружено: вирус Net-Worm.Win32.Kido.ir Файл: N:\autorun.inf
обнаружено: вирус Net-Worm.Win32.Kido.ih Файл: N:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx//PE_Patch.UPX//UPX
При этом В предупреждении о поиске вирусов возможности лечить или удалить заблокированы, ибо
Лечение невозможно: отсутствуют права на запись.
Убедительная просьба объяснить, как мне можно вылечить мою флешку. Хочу особенно отметить, что вопрос относится к методике применения Антивируса Касперского в стандартный момент попадания известного вируса на компьютер.
P.S. Интересно отметить, что последняя версия Kidokillera (13) на флешке никаких проблем не видит.
P.P.S. Я знаю правила и немного умею пользоваться программами AVZ и HiJackThis. «Я знаю, что мне надо обновить антивирус до версии MP4 и планирую это сделать после лечения флешки. Прежде, чем вместо ответа на вопрос дать ссылку на правила оформления заявки прошу сначала объяснить, зачем вы это делаете.
Собственно, не дождавшись пока ответа в топике http://forum.kaspersky.com/index.php?showtopic=143186
(вопрос о том, как правильно вылечить больную Кидо флешку с помощью антивируса Касперского
обнаружено: вирус Net-Worm.Win32.Kido.ir Файл: N:\autorun.inf
обнаружено: вирус Net-Worm.Win32.Kido.ih Файл: N:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx//PE_Patch.UPX//UPX
)
досканировал компьютер и выкладываю логи, ибо мало ли чего могло с компом случиться.
посмотрите, плиз, не проникла ли ко мне зараза какая и что делать, если таки проникла.
P.S. вопрос о том, что делать с Кидо на флешке и почему Касперский не может его убить остается открытым...
(вопрос о том, как правильно вылечить больную Кидо флешку с помощью антивируса Касперского
обнаружено: вирус Net-Worm.Win32.Kido.ir Файл: N:\autorun.inf
обнаружено: вирус Net-Worm.Win32.Kido.ih Файл: N:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx//PE_Patch.UPX//UPX
)
досканировал компьютер и выкладываю логи, ибо мало ли чего могло с компом случиться.
посмотрите, плиз, не проникла ли ко мне зараза какая и что делать, если таки проникла.
P.S. вопрос о том, что делать с Кидо на флешке и почему Касперский не может его убить остается открытым...
выполните правила оказания помощи (ссылка у меня в подписи).
Ознакомтесь: http://support.kaspersky.ru/kis2009/error?qid=208636215.
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
- Sections
- IAT/EAT
- Show all
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
QUOTE(snifer67 @ 4.11.2009 15:12) 
выполните правила оказания помощи (ссылка у меня в подписи).
Ну, этого я и боялся.
Пока я писал это сообщение, я параллельно отсканировал компьютер и отправил сообщение в соседней теме.
Здесь у меня другой вопрос: Что мне делать в следующий раз, когда доведется воткнуть флешку в компьютер с актуальной лицензионной версией Касперского? Опять скачивать последние версии AVZ, HiJack, kidoKiller ... etc, сканировать, тратить часы на создание логов и общение на этом уважаемом форуме?
Почему Касперский не может обезвредить известный ему вирус, принесенный на флешке? Зависит ли это от настроек антивируса, компьютера, предыдущей вирусной активности или еще чего-либо?
Как мне сделать так, чтобы он справился с этим сложным заданием?
QUOTE(eduardkondratev @ 4.11.2009 15:15)
Ознакомтесь: http://support.kaspersky.ru/kis2009/error?qid=208636215.
Спасибо, я с этим знаком, перечитывал сейчас, читал и раньше.
В данном случае интересно отметить, что последняя версия Kidokillera (13) на флешке никаких проблем не видит.
QUOTE(thyrex @ 4.11.2009 15:55)
Загрузите GMER по одной из указанных ссылок
...
...
Присоединяю лог GMER
P.S. Вопрос по правильной настройке антивируса Касперского для удаления (и незаражения) Kido с флешки по-прежнему актуален. Мне ж ее еще надо вылечить хотя бы...
Выполните скрипт в AVZ
Выполнить скрипт в AVZ.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
Компьютер перезагрузится
Сделать новый лог gmer
CODE
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\drivers\gxvxcaidecmsioopyykxsixnpvpuemycdivbh.sys','');
DeleteFile('c:\windows\system32\drivers\gxvxcaidecmsioopyykxsixnpvpuemycdivbh.sys');
QuarantineFile('c:\windows\system32\gxvxcopvxybntjscxqvdnqrxrqpfpdfpgrubc.dll','');
DeleteFile('c:\windows\system32\gxvxcopvxybntjscxqvdnqrxrqpfpdfpgrubc.dll');
QuarantineFile('c:\windows\system32\gxvxcsrvwfylexkkosisnhpovdbkmputpwkli.dll','');
DeleteFile('c:\windows\system32\gxvxcsrvwfylexkkosisnhpovdbkmputpwkli.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\drivers\gxvxcaidecmsioopyykxsixnpvpuemycdivbh.sys','');
DeleteFile('c:\windows\system32\drivers\gxvxcaidecmsioopyykxsixnpvpuemycdivbh.sys');
QuarantineFile('c:\windows\system32\gxvxcopvxybntjscxqvdnqrxrqpfpdfpgrubc.dll','');
DeleteFile('c:\windows\system32\gxvxcopvxybntjscxqvdnqrxrqpfpdfpgrubc.dll');
QuarantineFile('c:\windows\system32\gxvxcsrvwfylexkkosisnhpovdbkmputpwkli.dll','');
DeleteFile('c:\windows\system32\gxvxcsrvwfylexkkosisnhpovdbkmputpwkli.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Выполнить скрипт в AVZ.
CODE
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
CODE
gmer.exe -del service gxvxcserv.sys
gmer.exe -del file "c:\windows\system32\drivers\gxvxcaidecmsioopyykxsixnpvpuemycdivbh.sys"
gmer.exe -del file "c:\windows\system32\gxvxcopvxybntjscxqvdnqrxrqpfpdfpgrubc.dll"
gmer.exe -del file "c:\windows\system32\gxvxcsrvwfylexkkosisnhpovdbkmputpwkli.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet054\Services\gxvxcserv.sys"
gmer.exe -reboot
И запустите cleanup.bat gmer.exe -del file "c:\windows\system32\drivers\gxvxcaidecmsioopyykxsixnpvpuemycdivbh.sys"
gmer.exe -del file "c:\windows\system32\gxvxcopvxybntjscxqvdnqrxrqpfpdfpgrubc.dll"
gmer.exe -del file "c:\windows\system32\gxvxcsrvwfylexkkosisnhpovdbkmputpwkli.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet054\Services\gxvxcserv.sys"
gmer.exe -reboot
Компьютер перезагрузится
Сделать новый лог gmer
QUOTE(thyrex @ 4.11.2009 19:29)
Выполните скрипт в AVZ
Выполнить скрипт в AVZ.
CODE
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\drivers\gxvxcaidecmsioopyykxsixnpvpuemycdivbh.sys','');
DeleteFile('c:\windows\system32\drivers\gxvxcaidecmsioopyykxsixnpvpuemycdivbh.sys');
QuarantineFile('c:\windows\system32\gxvxcopvxybntjscxqvdnqrxrqpfpdfpgrubc.dll','');
DeleteFile('c:\windows\system32\gxvxcopvxybntjscxqvdnqrxrqpfpdfpgrubc.dll');
QuarantineFile('c:\windows\system32\gxvxcsrvwfylexkkosisnhpovdbkmputpwkli.dll','');
DeleteFile('c:\windows\system32\gxvxcsrvwfylexkkosisnhpovdbkmputpwkli.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\drivers\gxvxcaidecmsioopyykxsixnpvpuemycdivbh.sys','');
DeleteFile('c:\windows\system32\drivers\gxvxcaidecmsioopyykxsixnpvpuemycdivbh.sys');
QuarantineFile('c:\windows\system32\gxvxcopvxybntjscxqvdnqrxrqpfpdfpgrubc.dll','');
DeleteFile('c:\windows\system32\gxvxcopvxybntjscxqvdnqrxrqpfpdfpgrubc.dll');
QuarantineFile('c:\windows\system32\gxvxcsrvwfylexkkosisnhpovdbkmputpwkli.dll','');
DeleteFile('c:\windows\system32\gxvxcsrvwfylexkkosisnhpovdbkmputpwkli.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Выполнить скрипт в AVZ.
CODE
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Видимо, предыдущий скрипт вирус убил. В карантинной папке только *.ini файлы. жду ответа
QUOTE(thyrex @ 4.11.2009 19:29)
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
[code]gmer.exe -del service gxvxcserv.sys
...
Сделать новый лог gmer
[code]gmer.exe -del service gxvxcserv.sys
...
Сделать новый лог gmer
gmer вроде бы не нашел ни одного файла, выбрасывал ошибки по этому поводу. Лог присоединил.
Спасибо большое, вирус, скорее всего, погиб.
Остается вопрос, что мне делать с флешкой и как настроить антивирус Касперского, чтобы он убивал угрозы на флешке и не допускал заражения.
QUOTE(Geo_the_Great @ 4.11.2009 10:02)
Здесь у меня другой вопрос: Что мне делать в следующий раз, когда доведется воткнуть флешку в компьютер с актуальной лицензионной версией Касперского? Опять скачивать последние версии AVZ, HiJack, kidoKiller ... etc, сканировать, тратить часы на создание логов и общение на этом уважаемом форуме?
Скажем так: Это уже не вполне актуальная версия антвируса.
QUOTE(Geo_the_Great @ 4.11.2009 10:02)
Почему Касперский не может обезвредить известный ему вирус, принесенный на флешке?
Потому что вирус использует определенные способы самозащиты, которые были неизвестны на момент выхода WKS MP3
QUOTE(Geo_the_Great @ 4.11.2009 10:02)
Зависит ли это от настроек антивируса, компьютера, предыдущей вирусной активности или еще чего-либо?
Как мне сделать так, чтобы он справился с этим сложным заданием?
Как мне сделать так, чтобы он справился с этим сложным заданием?
Это зависит от того, как скоро Вы переедете на MP4
Лог gmer чист.
Если вредоносные файлы на флэшке остались, отключите антивирус временно и удалите файлы вручную
Если вредоносные файлы на флэшке остались, отключите антивирус временно и удалите файлы вручную
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.