Лечим вирусы...

[ALion]

Извиняюсь за невольный пиар касперского
Вот файлик KK_v3.4.5.zip, чтоб не качать из интернета.

И вот ссылка на бесплатную лечащую утилиту от DWeb - >>>CureIt!<<<

И >>>вот<<< ссылка на разблокировку винды


В связи с большим количеством обращений пользователей «Лаборатория Касперского» подготовила ответы эксперта компании на наиболее часто задаваемые вопросы о возможной активизации вредоносной программы Kido, известной также как Conficker и Downadup. Комментирует Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского».

Что такое Kido?
Kido представляет серьезную угрозу для всего интернет-сообщества. По оценкам "Лаборатории Касперского", в настоящее время Kido заражено не менее 5 млн. компьютеров. Эта сеть зараженных машин потенциально может стать самым мощным ресурсом киберпреступников в Интернете. Например, она может дать злоумышленникам возможность совершать крайне мощные DDoS-атаки на любые интернет-ресурсы, красть конфиденциальные данные с зараженных компьютеров и распространять нежелательный контент (в частности, проводить крупномасштабные спам-рассылки).

До последнего времени Kido распространялся через компьютерные сети и сменные носители информации. В частности, он проникал на компьютеры, используя критическую уязвимость MS08-067 в семействе операционных систем Windows, патч к которым был выпущен компанией Microsoft еще осенью прошлого года.

Более подробную техническую информацию о том, как Kido проникает в операционные системы семейства Windows можно посмотреть по адресам:
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782725
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782733
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782749
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782790

Как избежать заражения вредоносной программой Kido?

Продукты «Лаборатории Касперского» успешно блокируют проникновение всех версий Kido на компьютеры пользователей. Проверьте, что автоматические обновления не отключены и, в том случае, если у вас есть подозрение, что Kido уже мог проникнуть на компьютер, выполните сканирование всего компьютера с помощью Антивируса Касперского. Своевременная установка патчей для ликвидации уязвимости MS08-067, безусловно, является обязательной мерой для предотвращения заражения, однако установленное решение Kaspersky Internet Security не позволит использовать уязвимость даже на непропатченной операционной системе.

Как понять, что произошло заражение сети или компьютера?

При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.

Если вы подозреваете заражение своего компьютера, попробуйте открыть браузер и перейти на произвольную страничку любимого поискового движка. Если страница открылась — попытайтесь загрузить www.kaspersky.com или www.microsoft.com. Если этого сделать не удалось — то доступ к сайтам, скорее всего. блокирует вредоносная программа. Полный список ресурсов, заблокированных Kido, можно увидеть, например, здесь: http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782725.

Как бороться с Kido обычному пользователю домашнего компьютера?

Скачайте утилиту KKiller и распакуйте архив в отдельную папку на зараженной машине. Запустите файл  KK.exe. По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту  KK.exe с ключом -y. Дождитесь окончания сканирования.

Если на компьютере, на котором запускается утилита  KK.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

Взято с http://www.kaspersky.ru/news?id=207732936

[halte]

Попробуй вот эти....
Индивидуального кода нет...

Скрытый текст (наведите, чтобы показать текст)

Код разблокировки:
Индивидуальный код найден не был. Проверьте указанные ниже коды:
сначала код #1: 10784541, затем код #2: 24764392
сначала код #1: 74952448, затем код #2: 19464834
сначала код #1: -4220014848, затем код #2: 19464834
сначала код #1: 1078376871, затем код #2: 2856494592
сначала код #1: 19452671, затем код #2: 25689372
сначала код #1: 193766431, затем код #2: 286737021
1238396875
8624763341
6789246356
8765327868
2047692
780976702 // проверьте этот код в первую очередь для текстов длиной более 8 символов
656961
9217112
7459362
148244
81PRF36
49K329364
8177r2836
8177R2936
8177RD36
6376551832
8281815818
780976702
3RO4644
5114DJH
22G462932
8177RF36
450850665
317964052
290954419
544625144
8714157676
5114DRH
8182462946
4951329364
P1288NH
56444971К

спасибо, почистил авастом на ноуте. все окей. 

[Santa]

Всё чё хошь вылечу

[MoulD]

Не, я думал ты хочешь ещё что-нибудь кроме ESET поставить... У меня эта программка стоит ооооочень долго - никогда никаких жалоб.

щас Доктор ВЕб стоит.
При полной проверке трудится почти сутки , а мож и больше.
Просто цыпа, а не антивирь.
А Есет себя не очень как-то.

[Faust]

Баннер обновился) Если раньше создавался systems.exe в all users, то сейчас отловить стало сложнее.
Во-первых, блокирует ехе всяких антивирей, потому avz оказался беспомощным=)
Спаси тотал командер - с аддоном Task Manager
Висит процесс exel.exe
На данный момент обнаружил только подмену hosts в директории C:\WINDOWS\system32\drivers\etc
А именно:
Создан hosts.txt (уха-ха, бедные юзери с включеным параметром "скрывать зарегистрированные расширения")
В нем стандартное осдержимое.
А вот сам hosts - скрыт и там ОМГ

Код: [Выделить]

127.0.0.1       localhost
127.0.0.1    vkontakte.ru
127.0.0.1    odnoklassniki.ru
127.0.0.1    www.vkontakte.ru
127.0.0.1    www.odnoklassniki.ru
127.0.0.1    http://vkontakte.ru
127.0.0.1    http://odnoklassniki.ru
127.0.0.1    http://www.vkontakte.ru
127.0.0.1    http://www.odnoklassniki.ru85.12.46.140 odnoklassniki.ru                       
85.12.46.140 www.odnoklassniki.ru                   
85.12.46.140 vkontakte.ru                           
85.12.46.140 www.vkontakte.ru                       
85.12.46.140 vk.com                                 
85.12.46.140 www.vk.com
Сейчас сканируюсь. Поиск по маске exel результата не принес - видать подмена имени, а вот плагин путь до ехе не показывает, жаль =/

[Хрустальная гора]

(уха-ха, бедные юзери с включеным параметром "скрывать зарегистрированные расширения")

Никогда не понимал, зачем народ скрывает расширения. Не удобно ведь.

[Местный]

Никогда не понимал, зачем народ скрывает расширения. Не удобно ведь.

В Икспях переименовывать файлы для меня проблема, все время забываю оставлять расширение. Хотя в Семерке и Висте уже нету этой проблемы

[halte]

Баннер обновился) Если раньше создавался systems.exe в all users, то сейчас отловить стало сложнее.
Во-первых, блокирует ехе всяких антивирей, потому avz оказался беспомощным=)
Спаси тотал командер - с аддоном Task Manager
Висит процесс exel.exe
На данный момент обнаружил только подмену hosts в директории C:\WINDOWS\system32\drivers\etc
А именно:
Создан hosts.txt (уха-ха, бедные юзери с включеным параметром "скрывать зарегистрированные расширения")
В нем стандартное осдержимое.
А вот сам hosts - скрыт и там ОМГ

Код: [Выделить]

127.0.0.1       localhost
127.0.0.1    vkontakte.ru
127.0.0.1    odnoklassniki.ru
127.0.0.1    www.vkontakte.ru
127.0.0.1    www.odnoklassniki.ru
127.0.0.1    http://vkontakte.ru
127.0.0.1    http://odnoklassniki.ru
127.0.0.1    http://www.vkontakte.ru
127.0.0.1    http://www.odnoklassniki.ru85.12.46.140 odnoklassniki.ru                       
85.12.46.140 www.odnoklassniki.ru                   
85.12.46.140 vkontakte.ru                           
85.12.46.140 www.vkontakte.ru                       
85.12.46.140 vk.com                                 
85.12.46.140 www.vk.com
Сейчас сканируюсь. Поиск по маске exel результата не принес - видать подмена имени, а вот плагин путь до ехе не показывает, жаль =/

и как лечить теперь?

[filip]

DrWeb unlocker помогает в таких случаях.

[Faust]

Да можно ручками=)
Вот информация о моем гаденыше

Код: [Выделить]

Module --------------------------| exel.exe
Full name -----------------------| C:\Program Files\Common Files\Office\exel.exe
File version --------------------| N/A
File description ----------------| N/A
Copyright -----------------------| N/A

PID -----------------------------| 0000085C
Parent PID ----------------------| 00000834  ()
Priority ------------------------| 8
Threads -------------------------| 1
HandleCount ---------------------| 6938


Created at ----------------------| 08:39:29.968   (24.06.2010)
UserTime ------------------------| 00:00:00.109
KernelTime ----------------------| 00:00:00.234

GDI objects ---------------------| 49
USER objects --------------------| 25

Working Set: --------------------| 6 082 560 Bytes
Working Set Peak: ---------------| 6 082 560 Bytes
Virtual: ------------------------| 39 124 992 Bytes
Virtual Peek: -------------------| 39 264 256 Bytes
Page File: ----------------------| 4 812 800 Bytes
Page File Peak: -----------------| 4 820 992 Bytes
Page Fault Count PerSec: --------| 1727
Quota Paged Pool: ---------------| 127 820 Bytes
Quota Paged Pool Peak: ----------| 128 140 Bytes
Quota NonPaged Pool: ------------| 4 080 Bytes
Quota NonPaged PoolPeak: --------| 5 176 Bytes


   ModuleName         BaseOfDll   SizeOfImage   EntryPoint    Full ModuleName
--------------------------------------------------------------------------------
   exel.exe         |  00400000  |  0888695B  |  004CACF0  |  C:\Program Files\Common Files\Office\exel.exe
   ntdll.dll        |  7C900000  |  000B1000  |  7C913156  |  C:\WINDOWS\system32\ntdll.dll
   kernel32.dll     |  7C800000  |  000F6000  |  7C80B436  |  C:\WINDOWS\system32\kernel32.dll
   user32.dll       |  77D30000  |  00090000  |  77D40EB9  |  C:\WINDOWS\system32\user32.dll
   GDI32.dll        |  77F10000  |  00046000  |  77F163CA  |  C:\WINDOWS\system32\GDI32.dll
   advapi32.dll     |  77DC0000  |  000AC000  |  77DC70D4  |  C:\WINDOWS\system32\advapi32.dll
   RPCRT4.dll       |  77E70000  |  00091000  |  77E76284  |  C:\WINDOWS\system32\RPCRT4.dll
   comctl32.dll     |  5D5B0000  |  00097000  |  5D5B32DA  |  C:\WINDOWS\system32\comctl32.dll
   ole32.dll        |  774D0000  |  0013C000  |  774E20C1  |  C:\WINDOWS\system32\ole32.dll
   msvcrt.dll       |  77C00000  |  00058000  |  77C0F2A1  |  C:\WINDOWS\system32\msvcrt.dll
   oleaut32.dll     |  77110000  |  0008C000  |  77111558  |  C:\WINDOWS\system32\oleaut32.dll
   shell32.dll      |  7C9C0000  |  00818000  |  7C9DFA10  |  C:\WINDOWS\system32\shell32.dll
   SHLWAPI.dll      |  77F60000  |  00076000  |  77F651FB  |  C:\WINDOWS\system32\SHLWAPI.dll
   comctl32.dll     |  773C0000  |  00102000  |  773C42B3  |  C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
   version.dll      |  77BF0000  |  00008000  |  77BF1135  |  C:\WINDOWS\system32\version.dll
   uxtheme.dll      |  5B260000  |  00038000  |  5B261626  |  C:\WINDOWS\system32\uxtheme.dll
   olepro32.dll     |  5F2F0000  |  00017000  |  5F2FEE78  |  C:\WINDOWS\system32\olepro32.dll
   CLBCATQ.DLL      |  76FC0000  |  0007F000  |  76FC3564  |  C:\WINDOWS\system32\CLBCATQ.DLL
   COMRes.dll       |  77040000  |  000C7000  |  77041055  |  C:\WINDOWS\system32\COMRes.dll
   shdocvw.dll      |  77750000  |  0016E000  |  77765E51  |  C:\WINDOWS\system32\shdocvw.dll
   CRYPT32.dll      |  77A70000  |  00095000  |  77A71642  |  C:\WINDOWS\system32\CRYPT32.dll
   MSASN1.dll       |  77B10000  |  00012000  |  77B13399  |  C:\WINDOWS\system32\MSASN1.dll
   CRYPTUI.dll      |  76650000  |  00081000  |  766516AB  |  C:\WINDOWS\system32\CRYPTUI.dll
   WINTRUST.dll     |  76C20000  |  0002E000  |  76C21529  |  C:\WINDOWS\system32\WINTRUST.dll
   IMAGEHLP.dll     |  76C80000  |  00028000  |  76C8126D  |  C:\WINDOWS\system32\IMAGEHLP.dll
   NETAPI32.dll     |  5BD50000  |  00054000  |  5BD58898  |  C:\WINDOWS\system32\NETAPI32.dll
   WININET.dll      |  771A0000  |  000A6000  |  771A154D  |  C:\WINDOWS\system32\WININET.dll
   WLDAP32.dll      |  76F50000  |  0002D000  |  76F51130  |  C:\WINDOWS\system32\WLDAP32.dll
   Secur32.dll      |  77FE0000  |  00011000  |  77FE2131  |  C:\WINDOWS\system32\Secur32.dll
   urlmon.dll       |  77250000  |  000A0000  |  77251787  |  C:\WINDOWS\system32\urlmon.dll
   MSCTF.dll        |  746E0000  |  0004B000  |  746E13A5  |  C:\WINDOWS\system32\MSCTF.dll
   appHelp.dll      |  77B30000  |  00022000  |  77B31C13  |  C:\WINDOWS\system32\appHelp.dll
   SETUPAPI.dll     |  77910000  |  000F4000  |  7791159A  |  C:\WINDOWS\system32\SETUPAPI.dll
Надо будет некоторые dll протестить на virusinfo.info

Как интересно)
В папке C:\Program Files\Common Files\Office 2 файлика=) exel.exe и readme.txt первый - скрыт, поэтому поиск и результата не давал. Не искал по скрытым видать - зря=) в текстовике написано 24

Теперь стало понятно, как он загружается=)
Вернее, не совсем....
В автозапуске два ключа:
Explorer.exe, C:\Program Files\Common Files\Office\exel.exe запускается из:
1. c:\windows\system.ini
2. HKLM\SoftWare\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Со вторым понятно, а вот с первым - не совсем...
Содержимое system.ini

Код: [Выделить]

; for 16-bit app support
[drivers]
wave=mmdrv.dll
timer=timer.drv
[mci]
[driver32]
[386enh]
woafont=app866.FON
EGA80WOA.FON=EGA80866.FON
EGA40WOA.FON=EGA40866.FON
CGA80WOA.FON=CGA80866.FON
CGA40WOA.FON=CGA40866.FON
FileSysChange=offНа здоровом компьютере последней строчки нет. Погуглил.
FileSysChange=OFF   Windows/WfWG 3.1x ONLY: To prevent updating file changes in DOS sessions/boxes, and thus speed up disk operations in DOS sessions and File Manager. Default value is ON, which decreases system performance on slower computers.
Вот такая задачка...
Удалю пока только 2 ключ, первый оставлю для опытов=) Ну и тело гадости прибить..

[chu?]

отпусти бедное животное садюга, не мучай!

[rооt#]

откуда вы их блин ловите?
У меня рабочих машин парк порядка полутора сотен, домашних - комп, сервак и ноутбук. И нихрена ничо не ловица...Последнего года три назад тока кидо словил, поскольку он червь сетевой и пролез сам, а наутро антивирь обновился и прибил его тапком. И никаких порнобаннеров, никаких винлоков у меня не было отродясь ни на одном кампутере.

[COSMO]

откуда вы их блин ловите?

Да ясно откуда, вместо того чтобы что то полезное из интернета для себя добывать, лазят по всяким социалкам, да порнухам, да всякую дрянь оттуда качают. Отсюда и результат.

[rооt#]

Скажу боьше, на работе у меня стоит антивирь вообще БЕСПЛАТНЫЙ. AVG который. Раз в месяц на всякий случай проверяюсь бесплатной утилитой от каспера. И ничего.
Отсюда мораль - нехрен лазить по вконтактам и дрочить на рабочем месте. Работать надо на работе, а если работы нет - умные сайты курить.
Так что мне нисколько не жаль обладателей порнобаннеров, и я даже не обвиняю их создателей, поскольку за глупость надо платить.

[Хрустальная гора]

Скажу боьше, на работе у меня стоит антивирь вообще БЕСПЛАТНЫЙ. AVG который. Раз в месяц на всякий случай проверяюсь бесплатной утилитой от каспера. И ничего.
Отсюда мораль - нехрен лазить по вконтактам и дрочить на рабочем месте. Работать надо на работе, а если работы нет - умные сайты курить.
Так что мне нисколько не жаль обладателей порнобаннеров, и я даже не обвиняю их создателей, поскольку за глупость надо платить.

Некоторые ходят по вконтактам по работе. Хотя я пока так и не понял, как там можно словить вирус.

[Faust]

откуда вы их блин ловите?
У меня рабочих машин парк порядка полутора сотен, домашних - комп, сервак и ноутбук. И нихрена ничо не ловица...Последнего года три назад тока кидо словил, поскольку он червь сетевой и пролез сам, а наутро антивирь обновился и прибил его тапком. И никаких порнобаннеров, никаких винлоков у меня не было отродясь ни на одном кампутере.

Я раньше тоже удивлялся. А тут навстречал. И на сайтах рукоделия код встроенный. И пока что-нибудь узкоспециальное нарыщешь - тоже много левых порталов оббежишь. И т.д. и т.п.
У меня на работе баннеры бабушки 60 летние ловили, хех)

[Vintorez]

Люди, помочь сможете чем?
Словил и я эту гадость =\  Эротическая заставка с смс предложением =\   Хотел в инете CD-key скачать, ну и нажимал только на "скачать" в разных местах. Каспер что-то не среагировал.

Заставка висит, и никакие кнопки не нажимаются. В смысле не на клавиатуре, не мышкой. Только reset и работает.
С live-cd вот загрузился. Каспером и Доктором documents and settings пропахал, но ничего конечно не нашлось. Темку бегло прочитал. 4 часа ждать (2 с включеным и 2 с выключенным компом) что-то неохота. Файлов block. не нашёл. Выложенные здесь смс-коды не помогли. Какие-нибудь ещё варианты есть?
PS инета нет, VPN-соединение установить что-то не получается.

[MoulD]

Люди, помочь сможете чем?
Словил и я эту гадость =\  Эротическая заставка с смс предложением =\   Хотел в инете CD-key скачать, ну и нажимал только на "скачать" в разных местах. Каспер что-то не среагировал.

Заставка висит, и никакие кнопки не нажимаются. В смысле не на клавиатуре, не мышкой. Только reset и работает.
С live-cd вот загрузился. Каспером и Доктором documents and settings пропахал, но ничего конечно не нашлось. Темку бегло прочитал. 4 часа ждать (2 с включеным и 2 с выключенным компом) что-то неохота. Файлов block. не нашёл. Выложенные здесь смс-коды не помогли. Какие-нибудь ещё варианты есть?
PS инета нет, VPN-соединение установить что-то не получается.

хард вытаскиваешь и к другу на проверку, с полным сканированием. Возьми певка или сок и хорошо проведите время пока он будет его искать.

[halte]

хард вытаскиваешь и к другу на проверку, с полным сканированием. Возьми певка или сок и хорошо проведите время пока он будет его искать.

однозначно! только на сторонней системе лечить.
я лечили вот этим. http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ 

[Vintorez]

хард вытаскиваешь и к другу на проверку, с полным сканированием. Возьми певка или сок и хорошо проведите время пока он будет его искать.

   Не, слишком длительный процесс. Я ещё раньше хотел сделать _полную_ проверку, но для одного только процента затрачивалось несколько часов. Поэтому либо быструю проверку делал, либо только подозрительные места проверял.
   Я так быстрее винду переставлю. Хоть и очень и очень не хочется, но чувствую только это меня и спасёт.
   Сейчас на 2 часа выключу комп. Самый смешной на мой взгляд метод, но попробую     Фильм какой-нить посмотрю.
   Ещё зайду сюда, вдруг за это время кто-нибудь что-нибудь ещё подскажет.

halte, спасибо, понял.
Но у меня сейчас и все друзья на работе, и напрягать неохота... Если только так, то мне все же проще винду снести  =\

[Vintorez]

однозначно! только на сторонней системе лечить.

   И ещё вопрос. Почему только на сторонней системе?
   У меня как бы загружены с диска и Доктор Веб, и Каспер. Почему они найти не смогут, а на стороне смогут?