KIS2009 находит на съемном диске указанный вирус, пишет что будет удалено при перезагрузке. После перезагрузки все как было прежде. На локальных дисках этого вируса не находит ни КИС2009 ни AVZ ни KidoKiller. AVZ пишет, что скорее всего вирус, а "кидокиллером" не могу проверить съемный диск. Какой ключ писать не соображу. Укажите тему (если была такая) или алгоритм лечения.
С уважением, Александр.

uhuh, алгоритм прост и гласит Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему. (http://forum.oszone.net/thread-98169.html)

выполните все логи как указано в ссылке выше, это поможет вам вылечится, а нам помочь вам это сделать ...

uhuh, Здравствуйте. При проверке KidoKiller`ом рекомендуется отключать антивирус, иначе утилита может не найти активного червя, а т.к. антивирус не может удалить с флешки, то скорее всего у вас в системе червь активен.
В KidoKiller есть опция проверки съемных носителей.
Ключи для запуска утилиты KidoKiller.exe из командной строки:


-p <путь для сканирования> - сканировать определённый каталог.
-f - сканировать жёсткие диски.
-n - сканировать сетевые диски.
-r - сканировать flash-накопители.
-y - не ждать нажатия любой клавишы.
-s - "тихий" режим (без чёрного окна).
-l <имя файла> - запись информации в лог-файл.
-v - ведение расширенного лога (необходимо вводить вместе с параметром -l).
-help - получение дополнительной информации об утилите.

Например, для сканирования flash-накопителя с записью подробного отчета в файл report.txt (который создастся в папке, где находится утилита KidoKiller.exe) используйте следующую команду:

kidokiller.exe -r -y -l report.txt -v
См. Как бороться с сетевым червем Net-Worm.Win32.Kido (http://support.kaspersky.ru/faq/?qid=208636215)
Предварительно, для предотвращения заражения, отключите автозапуск со съемных носителей (http://forum.oszone.net/showpost.php?p=825101), включите брандмауэр windows и уберите в исключениях брандмауэра (http://www.microsoft.com/rus/windowsxp/sp2/sp2_wfexeptions.mspx) общий доступ к файлам и принтерам.
Дополнительно можете воспользоваться утилитой wwdc (http://www.firewallleaktester.com/wwdc.htm), описание здесь (http://saule.sporaw.ru/library/wwdc.html)
Установите обновления
MS08-067 (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx)
MS08-068 (http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx)
MS09-001 (http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx)
А лучше все, что предложит windowsupdate
Если проблема останется:
Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
Обязательно закройте все программы, отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет, не переподключайте интернет пока Combofix не завершит работу.
Запустите combofix.exe, когда процесс завершится запакуйте C:\ComboFix.txt и прикрепите к сообщению.

Скачайте Gmer (http://www.gmer.net/gmer.zip), запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Скачайте DDS DDS.scr (http://download.bleepingcomputer.com/sUBs/dds.scr), DDS.pif (http://www.forospyware.com/sUBs/dds) или DDS.com (http://www.techsupportforum.com/sectools/sUBs/dds) сохраните на рабочий стол, отключите антивирус и запустите DDS, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение.

вот логи AVZ и HijackThis
........
использование кидокиллера привело к удалению файла autorun.inf (по крайней мере его не видно нигде) но в f:\recycler\.... КИС2009 по прежнему находит вирус и предлагает перезагрузку для лечения.

uhuh, по логам AVZ и HijackThis не вижу ничего плохого. Остальных логво не вижу. C:\Program Files\Oleansoft\Hc\servemp.exe - сами ставили?
но в f:\recycler\.... КИС2009 по прежнему находит вирус и предлагает перезагрузку для лечения. »
В каком файле находит? Логи делались с подключенной флешкой?

jre1.6.0_07 - Обновите Java Runtime Environment (JRE) (http://java.sun.com/javase/downloads/index.jsp)
Скачайте JavaRA (http://raproducts.org/) здесь (http://raproducts.org/click/click.php?id=1) или здесь (http://prm753.bchea.org/javara.zip)
Распакуйте, запустите, выберите "Remove Older Versions",
Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"
Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) (http://java.sun.com/javase/downloads/index.jsp) с сайта производителя.
Adobe Acrobat также обновите.
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Установите обновления
MS08-067 (http://www.microsoft.com/technet/sec.../ms08-067.mspx)
MS08-068 (http://www.microsoft.com/technet/sec.../ms08-068.mspx)
MS09-001 (http://www.microsoft.com/technet/sec.../ms09-001.mspx)
А лучше все, что предложит windowsupdate »

2 Pili:
скрытую камеру ставил сам - шефу хочется знать, что делают сотрудники в рабочее время...

для ясности где находит вирус: 2,5'' жесткий диск через USB подключен. (корзина для этого диска установлена размером 0 байт)

раньше был в корне файл autorun.inf - кидокиллер его убрал. Осталась папка recycler, вот в ней и вирус. для наглядности - скриншоты.

обновления установлены (после обнаружения вируса)

автозапуск отключен (после обнаружения вируса)

Остальных логво не вижу. » а какие еще логи?

обновление java в процессе

PS не могу скачать www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe - пишет page not found. уесть у кого рабочая ссылка?

Осталась папка recycler, вот в ней и вирус. для наглядности - скриншоты. »
В каком файле? Полный путь дайте, можно будет удалить скриптом.а какие еще логи? »
см. пост 3 Если проблема останется: »
Ссылка на Flash_Disinfector.exe действующая, только что проверил, работает.

В каком файле? Полный путь дайте, можно будет удалить скриптом. »
вот что пишет КИС2009:
12.03.2009 9:32:34 Обнаружено: Net-Worm.Win32.Kido.ih F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx/PE_Patch.UPX/UPX
12.03.2009 9:32:34 Будет удалено при перезагрузке: Net-Worm.Win32.Kido.ih F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx

uhuh, Выполните в AVZ скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx');
DeleteFileMask('%Tmp%', '*.*', true);
DeleteFileMask('%userprofile%\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1)
- скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
Что из этого не требуется?

Что из этого не требуется? »

ни чего не нужно.

Выполните в AVZ скрипт »

выполнил - полечилось.

после ComboFixа пришлось восстановление системы делать.

Очистите временные файлы »

сделаю

Благодарю.

ни чего не нужно. »
Для отключения можете выполнить скрипт в AVZ
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.
после ComboFixа пришлось восстановление системы делать. »
По какой причине? При запуске combofix создает контрольную точку восстановления, а то, что удаляет, складывает в C:\Qoobox\Quarantine, логи combofix вы не выкладывали.

По какой причине? »

программа изменила параметры работы некоторых программ. и после перезагрузки "зависла" - ни каких действий. ждал долго.

При запуске combofix создает контрольную точку восстановления, а то, что удаляет, складывает в C:\Qoobox\Quarantine »

это я видел и восстановил все обратно

логи не выложил - полечилось все, подумал "а зачем"

программа изменила параметры работы некоторых программ »
Этого за combofix не замечалось ни разу, бывает зависает при сканировании, если не отключать защитное ПО.
логи не выложил - полечилось все, подумал "а зачем" »
Ну как хотите, в логах других утилит могло что-нибудь ещё найтись, например вредоносная служба от kido (если раньше не удалилась kidokiller-ом)

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights (http://download.microsoft.com/download/f/2/e/f2e49491-efde-4bca-9057-adc89c476ed4/DropMyRights.msi) см. здесь (http://saule.sporaw.ru/library/droprights.html) и здесь (http://virusinfo.info/showthread.php?t=2852) или SanboxIE (http://www.sandboxie.com), пользоваться браузером Opera или Firefox (http://www.mozilla-europe.org/ru/firefox/) c плагином NoScript (https://addons.mozilla.org/firefox/addon/722) и AdBlock Plus (https://addons.mozilla.org/ru/firefox/addon/1865)

Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы

По проблемам и вопросам, связанным с защитой ПК, советую посетить раздел Защита компьютерных систем (http://forum.oszone.net/forum-20.html)

Дополнительно можете протестировать и настроить безопасность с помощью Belarc Advisor (http://www.belarc.com/free_download.html) доп. см. здесь (http://virusinfo.info/showthread.php?t=19517) и проверить программное обеспечения на безопасность и наличие обновлений с помощью Secunia Online Software Inspector (OSI) (http://secunia.com/vulnerability_scanning/online/)

Советую прочитать
Безопасный Интернет. Универсальная защита для Windows ME - Vista (http://security-advisory.ru/),
Базовая концепция системы безопасности ОС Windows семейства NT (http://forum.freesoft.ru/index.php?showtopic=1274)
Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ (http://www.z-oleg.com/secur/news/news1347.php)
Чистого вам интернета!

Этого за combofix не замечалось ни разу »

появился значек Internet Explorera на рабочем столе, все ссылки стали им же открываться (настроено было все на Opera), The Bat! потерял все настройки. дальше смотреть не стал - откатил до точки, созданной combofix.

у как хотите, в логах других утилит могло что-нибудь ещё найтись, например вредоносная служба от kido »

диск то не мой - юрист (материалы дел на диске хранит) принес вирус откуда-то. вот КИС2009 вирус и нашел. А я и решил, что доступа к системе он (касперский) не дал. Хотя, если не мог удалить, значит что-то запустилось...
У нас в конторе на рабочих станциях стоит КИС2009 лицензионный и обновляется автоматически по 5 раз на дню. и поиск уязвимостей им делал. не все устранил правда.

может этого не достаточно. полагаться только на одну программу.

за ссылки благодарю, почитаю.пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus »
плагин к опере или лисе?

после выполнения Flash_Disinfector.exe на флешке ничего не появилось и не изменилось
так и должно быть?

появился значек Internet Explorera на рабочем столе, все ссылки стали им же открываться »
В опере есть кнопка, позволяющая сделать браузером по умолчанию. Из The Bat combofix может удалить только crack, был такой случай, подробнее можно сказать только после просмотра лога.
плагин к опере или лисе? »
К firefox, ссылки на NoScript (https://addons.mozilla.org/firefox/addon/722) и AdBlock Plus (https://addons.mozilla.org/ru/firefox/addon/1865) откройте и посмотрите.
после выполнения Flash_Disinfector.exe на флешке ничего не появилось и не изменилось »
Показ скрытых файлов и папок включен? Утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector)

Показ скрытых файлов и папок включен? Утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector) »

запускал при включенном касперском....

сделал по новой при выключенном касперском - все есть и папка и файл в папке

задумался: а как удалить результаты работы Flash_Disinfector?

Дайте себе права на папки autorun.inf и удалите эти папки.
По поводу Flash Drive Disinfector и прочих вопросов по защите
По проблемам и вопросам, связанным с защитой ПК, советую посетить раздел Защита компьютерных систем »

Если будут вопросы, связанны с вирусами, сделайте логи из поста 3 и напишите в ПМ.

Тема закрыта. Для открытия темы топикстартер может обратиться в РМ, для всех остальных - создавайте новую тему с учетом правил (http://forum.oszone.net/thread-98169.html)

Благодарю за помощь.

http://www.forum.oszone.ru/thread-134392-2.html

выполнил

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.

Все хорошо, работает, а теперь потребовалось удаленное подключение к рабочему столу. А не могу вернуть. Я так понимаю нужно указать некое значение в SetServiceStart('TermService', 4); а какое не знаю. Подскажите.