Заражен Net-Worm.Win32Kido.ih

A_kitten · Отправлено: **13:39, 04-02-2011** | #11

C gmer-ом мой косяк, отправила вам архив, который до этого скачала, чтоб получить утилиту. Исправлюсь.

п.1 выполнила
п.2 вот ссылка (если правильно поняла вас) http://www.virustotal.com/file-scan/...d10-1296816246
п.3 (утилита gmer) еще работает

SolarSpark · Отправлено: **14:43, 04-02-2011** | #12

Цитата A_kitten:

При попытке выполнить п.7 "Обновите Internet Explorer до IE8 , даже если им не пользуетесь" появляется сообщение об ошибке:
"Программе установки не удалось проверить целостность файла update.inf. Убедитесь,что на данном компьютере установлена служд\ба шифрования."
Какие мои действия, что это сообщение значит? »

Попробуйте пуск - выполнить - services.msc
Службы CryptSvc и Удаленный вызов процедур (RPC) должны быть запущены и работать в режиме авто
повторить обновление браузера

A_kitten · Отправлено: **17:23, 04-02-2011** | #13

Прилагаю последний протокол утилиты gmer. Два файла, один протокол, который сделала утром и потеряла и второй, вечерний, с вашими утоснениями где и какие галочки надо поставить. И.

A_kitten · Отправлено: **17:28, 04-02-2011** | #14

Попробуйте пуск - выполнить - services.msc
Службы CryptSvc и Удаленный вызов процедур (RPC) должны быть запущены и работать в режиме авто
Служба CryptSvc - не запускается, Говорит "Ошибка 1053: Служба не ответила на запрос своевременно",
а Удаленный вызов процедур (RPC) - "Состояние - работает". И.

SolarSpark · Отправлено: **17:57, 04-02-2011** | #15

пуск - выполнить - cmd - ввести в комендную строку Tasklist /SVC > c:\Tasklist.txt нажать enter
c:\Tasklist.txt из корня диска С прикрепите к сообщению

пуск-выполнить-regedit
найти ветку

Цитата:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

значение ключа "netsvcs"

и ветку

Цитата:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs

напишите ключи и значения

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

A_kitten · Отправлено: **09:42, 05-02-2011** | #16

День добрый! Спасибо за ответы.
Продолжаю выполнять ваши советы и прилагаю протоколы.
п.1 - файл Tasklist.zip с сообщением "Служба не ответила на запрос своевременно.
п.2 - файлы doc1 и doc2. Прилаганы скрины экранов, т.к. боюсь, что могу не все понять так, как надо, а по изображению вам будет понятно, правильно ли я все сделала.
п.3, п.4 - выполнила.
п.5 - файл mbam-log-2011-02-05 (10-43-46).
И еще дополню, что после всех манипуляций, тестов и запусков утилит, которые вы советовали, появились дополнительные проблемы:
1. Ноут грузится очень долго 4-5 минут.
2. Пропали "Сетевые подключения" вообще. Думала проблема с дровами, переустаннавливала с сайта Asus-а самые последние версии. Прилагаю файл со скрином, где видно, что проблем в "Диспетчере устройств" нет. Но и сети тоже нет.
3. Через диспетчера задач видно, что даже если ноут не трогаешь и ничего не запущено, то процессор что-то грузит всплесками через 20-30 секунд до 50%, привожу тоже скрин с этой проблемой.
Помогите! Т.к. хозяйка компа визжит, что отдавала рабочий ноут, только завирусованный, а теперь полные тормоза по работе, плюс Инет не работает.
У меня слов не хватает, т.к. мы с ней на разных языках разговариваем, она меня не слышит.
Спасибо. Буду ждать ваших рекомендаций с надеждой победить.

A_kitten · Отправлено: **09:43, 05-02-2011** | #17

Не поняла, куда делись остальные протоколы, поэтому дублирую.

SolarSpark · Отправлено: **13:05, 05-02-2011** | #18

Цитата A_kitten:

Пропали "Сетевые подключения" вообще. »

пуск - выполнить - cmd - ввести в командную строку по очереди

Цитата:

netsh winsock reset
netsh int ip reset

выполняем, перегружаемся

Далее, выполняем твик реестра: скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр.

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs"=hex(7):36,00,74,00,6f,00,34,00,00,00,41,00,70,00,70,00,4d,00,67,00,\
6d,00,74,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,42,\
00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,43,00,72,00,79,00,70,00,74,00,\
53,00,76,00,63,00,00,00,44,00,4d,00,53,00,65,00,72,00,76,00,65,00,72,00,00,\
00,44,00,48,00,43,00,50,00,00,00,45,00,52,00,53,00,76,00,63,00,00,00,45,00,\
76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,46,00,61,\
00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\
69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\
00,69,00,74,00,79,00,00,00,48,00,69,00,64,00,53,00,65,00,72,00,76,00,00,00,\
49,00,61,00,73,00,00,00,49,00,70,00,72,00,69,00,70,00,00,00,49,00,72,00,6d,\
00,6f,00,6e,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,\
76,00,65,00,72,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,57,00,6f,00,72,\
00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,4d,00,65,00,73,00,\
73,00,65,00,6e,00,67,00,65,00,72,00,00,00,4e,00,65,00,74,00,6d,00,61,00,6e,\
00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,\
00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,\
00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,\
74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,\
00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,\
63,00,65,00,73,00,73,00,00,00,53,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,\
00,00,00,53,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,53,00,45,00,\
4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,\
00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\
00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,54,00,68,00,65,00,6d,\
00,65,00,73,00,00,00,54,00,72,00,6b,00,57,00,6b,00,73,00,00,00,57,00,33,00,\
32,00,54,00,69,00,6d,00,65,00,00,00,57,00,5a,00,43,00,53,00,56,00,43,00,00,\
00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,\
00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,77,00,73,00,63,00,73,\
00,76,00,63,00,00,00,78,00,6d,00,6c,00,70,00,72,00,6f,00,76,00,00,00,6e,00,\
61,00,70,00,61,00,67,00,65,00,6e,00,74,00,00,00,68,00,6b,00,6d,00,73,00,76,\
00,63,00,00,00,42,00,49,00,54,00,53,00,00,00,77,00,75,00,61,00,75,00,73,00,\
65,00,72,00,76,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,44,00,65,\
00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,68,00,65,00,6c,00,70,00,\
73,00,76,00,63,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,4e,00,00,\
00,00,00

[-HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]

[HKCR\ Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "dword: 0x00000001"
"SuperHidden" = "dword: 0x00000001"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "dword: 0x00000001"

перезагрузка
Сообщите о результатах

A_kitten · Отправлено: **17:56, 05-02-2011** | #19

Продолжаю.
по п.1 -выполнила - netsh winsock reset - скрин с результатами в одноименном файле. Перезагрузила компьютер.
- выполнила - netsh int ip reset - скрин с результатами в одноименном файле. Перезагрузила компьютер.
п.2 - выполнила твик реестра. Перезагрузила компьютер.
Результаты:
1. Панель управления -> Сетевые подключения - скрин с результатами в одноименном файле.
2. Перезагрузка такая же долгая.
3. Диспетчер задач работает по такой же схеме, периодические всплески каких-то работающих процессов, кажется svchost.exe (SYSTEM) - в инете читала, что в эти процессы хорошо прописывается вирусня.
4. При попытке отключить "Восстановление системы" выдается сообщение о необходимости перзагрузки, скрин приводится в одноименном файле, перезагрузка результатов не дает.
5. Пыталась смотреть в журналы. Есть такое "Предупреждение". Мне это тоже ни о чем не говорит, может вам поможет для диагностики. скрин с результатами в одноименном файле.

Что дальше делать не знаю, жду ваших рекомендаций.

A_kitten · Отправлено: **18:02, 05-02-2011** | #20

Еще где-то в инете встречала твик для редактирования реестра, который восстанавливает порядок запуска служб. Может его еще использовать. Я им пользовалась, когда у меня USB-устройства в "Проводнике windows" не отражались. Тогда помогло.
Уточняю:
1. Панель управления -> Сетевые подключения - скрин с результатами в одноименном файле. - И никаких "подключений по локальной сети" не отражается.
Спасибо. Жду ваших рекомендаций.