Jeanne9
(Jeanne9)
10 Luty 2010 23:49
#1
Po skanowanie mks online okazało się, że mam na komputerze pliki zainfekowane oznaczone jako Worm.Kido.em
Nie mogę wyświetlić ukrytych plików na komputerze
Wcześniej nie mogłam wchodzić na strony microsoftu oraz niektórych producentów oprogramowania antywirusowego
Skanowałam komputer za pomocą kilku programów:
a) OTL
b) HijackThis
c) DDS - Attach oraz DDS
d) DLL COMPARE
e) CATCHME
f) Malwarebytes Anti-Malware
Zamieściłam logi, ponieważ nie ukrywam, że zależy mi na czasie.
Nie wiem, czy coś jeszcze mogę zrobić, żeby ułatwić Państwu pracę.
Pozdrawiam
jessica
(jessica)
11 Luty 2010 07:55
#2
Prawie nic tu nie wskazuje na jakąkolwiek infekcję.
Ale w logu “Catchme” jest podejrzane to:
To wygląda właśnie na CONFICKER (inna nazwa: KIDO)!
Zrób jeszcze raz log z OTL:
Ale oprócz normalnych ustawień, dodaj jeszcze jedno:
W pole Custom Scans/Fixes wklej:
i dopiero wtedy kliknij “Run Scan”.
jessi
Zamiast się bawić w jakieś tam logi ,ściągnij ze strony Kasperskego programik kido killer http://support.kaspersky.com/pl/faq/?qid=208279970 ,wyłącz przywracanie systemu,przejdź w tryb awaryjny i odpal to narzędzie po przeskanowaniu i usunięciu szkodnika,zrestartuj kompa ,to wszystko
Jeanne9
(Jeanne9)
11 Luty 2010 10:24
#4
jessica: Log, o który proszono: tutaj
saper1972: Czytałam co nieco na tej stronie, którą podałeś i tam pisze, że żeby zabezpieczyć komputer należy zainstalować poprawki. Weszłam więc na stronę MS, ale tam nie ma dodatków dla Windows XP z SP3.
jessica
(jessica)
11 Luty 2010 11:32
#5
Tak, nie ma, bo ta poprawka jest zawarta w ServicePack3.
A skoro ta łatka była zainstalowana, to oznacza, że u Ciebie CONFICKER/KIDO nie dostał się z sieci, lecz z pendrive lub innej pamięci przenośnej.
Log nie zmieścił się cały, więc podaj pozostałą część.
jessi
jessica
(jessica)
11 Luty 2010 13:16
#7
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL O4 - HKU.DEFAULT…\RunOnce: [nltide_2] File not found O4 - HKU\S-1-5-18…\RunOnce: [nltide_2] File not found O4 - HKU\S-1-5-19…\RunOnce: [nltide_2] File not found O4 - HKU\S-1-5-20…\RunOnce: [nltide_2] File not found NetSvcs: jdiwx - File not found [2009-12-20 02:05:12 | 000,000,000 | -HSD | C] – C:\RECYCLER :Files C:\WINDOWS\system32\izqea.dll :Services jdiwx :Reg [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\jdiwx] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] “6487:TCP”=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.
Pokaż nowy log OTL.txt oraz raport z usuwania.
jessi
jessica
(jessica)
11 Luty 2010 14:10
#9
Nowy log jest czysty.
Ale w raporcie z usuwania niektóre pozycje opatrzone zostały komentarzem:
Nie wiadomo, czy rzeczywiście ich nie ma, czy może tylko OTL ich nie widzi?
Skłaniam się raczej do tego, że rzeczywiście ich nie ma.
Ale jeśli zechcesz, by się upewnić, to możesz dać log z SRENG
Natomiast jeśli uznasz, że jest OK, to zrobisz to:
W OTL kliknij na przycisk “CleanUp” - to go usunie razem z jego Kwarantanną.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
jessi
Jeanne9
(Jeanne9)
11 Luty 2010 14:30
#10
Log SRENG
Dziękuję za pomoc
Mam jeszcze pytanie odnośnie komputera mojego chłopaka. Były tam już podejmowane pewne kroki celem usunięcia wirusów, ale skończyło się to fiaskiem.
Na tą chwilę na każdej partycji dysku twardego komputera oraz wszystkich nośnikach zewnętrznych utworzył się katalog autorun.inf, w którym jest plik lpt3.This folder was created by Flash_Disinfector, których się nie da usunąć.
Na komputerze są również pliki zainfekowane i rozpoznawane jako Worm.Kido.em zidentyfikowane dzięki mks
Zaraz postaram się wygenerować logi
jessica
(jessica)
11 Luty 2010 14:50
#11
Na szczęście nie ma już tego CONFICKER/KIDO.
Sprawę można uznać za zakończoną.
jessi
Jeanne9
(Jeanne9)
11 Luty 2010 14:52
#12
Dziękuję serdecznie za pomoc, a czy jest szansa, żeby pomóc też mojemu chłopakowi?
jessica
(jessica)
11 Luty 2010 15:02
#13
A dlaczego by nie?
Niech założy temat. Logi już wiesz, jakie dawać, na jakich ustawieniach.
jessi
Jeanne9
(Jeanne9)
11 Luty 2010 15:03
#14
ok, zaraz wszystko przygotuję i zakładam nowy wątek.
Pozdrawiam
Asia