11 replies to this topic

[KVASS]

Нашёл у себя вот это (см. фото)

Отключаю в автозагрузке после перезагрузки, опять сам включается.
Он и в реестре прописался, удаляю запись, перезагруз- опять всё на месте.
Можно конечно отключить востановление диска, войти в безопасный режим и попробовать фиксануть его HijackThis-ом
Но кто он такой kdivz.exe, если в C:\WINDOWS\system32\kdivz.exe- его не видно (показывать скрытое файло и папки вкл.) а в реестре прописывается и в автозагрузку лезит.
Может это нужный .exe?

Edited by KVASS, 25 Oct 2008 - 11:05.

[Valeraks]

Вроде как троян. HijackThis стоит натравить.

[KVASS]

Вроде или точно? Откуда инфа, кинь ссылку.

[Dick]

Какой-то наглый троян. Сам о себе заявляет в автозагрузке.
Как он к тебе пролез? Какие антивири, фаерволы стоят?
Если у тебя есть образ ОСи, то вытрави его калеными щипцами и посмотри.

[Valeraks]

http://www.google.co...a...bJ&filter=0
все что удалось найти (страница уже недоступна и в кеше не сохранилась)
если бы был файл виндовый, наверняка нашлось бы описание.

[KVASS]

В Google я смотрел инфы нет.
Как он залез, а фиг его знает, нод32 стоит, главное что он- троян никак себя не проявлеет, всё как работало так и работает. Он вроде в реестре есть а в WINDOWS\system32 его нет.
Кто нибудь может глянуть у себя в реестре.
Путь HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
есть там у вас напротив параметра System какая нибудь запись.
У меня вот так выглядит. (см.фото)

Edited by KVASS, 25 Oct 2008 - 13:43.

[Алексей Ф]

Пусто.

[Dick]

У меня он сидел в другом месте

Просто в реестре набрал поиск kdivz.exe


Сидит:
ШкейКурентЮзер-Софтвере-Майкрософт-СеатчАссисстент-ACMru-5603

Как и раньше, тупо снес всю эту папку 5603 (в ней сидел и мой старый знакомый Srvany.exe (и кое что еще)

про срвани
http://support.microsoft.com/kb/137890
Но у меня W-XP ( а там про него внизу ни слова)

Почему-то в этой папке 5603 сидели названия 2-х детских песен которые искал у себя в РС поиском (Найти) - Крокодил и Чаппи (на англ)
Что это за папка 5603 ?
Еще раз проверил поиском по реестру эту заразу - больше не нашел.
Все это ко мне залезло еще раз после восстановления из образа в течение 3 недель. В образе этого нет, образ чистый.

Спасибо за наводку!!!

Edited by Dick, 25 Oct 2008 - 14:53.

[KVASS]

HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603
Если там что то прописалось, то ничего страшного.
Cделай- Пуск-Найти-Файлы и папки, пропиши в поиск Dik_virys.exe а потом зайди по вышеуказанному пути в реестр и ты всё поймёшь.
А пока, kdivz.exe пусть сидит, нужно узнать что за зверь и как он себя проявит.

Edited by KVASS, 25 Oct 2008 - 16:44.

[KVASS]

Тему можно закрыть, kdivz.exe убит!
Помогли на OSzone.net

[Dick]

А чего помогли? Просвети.

И почему, и как этот kdivz.exe залетел ко мне в 5603 ? Я ж его не искал ( Пуск-Найти-Файлы и папки). И вообще ничего о нем не знал.

[KVASS]

А чего помогли? Просвети.

ПросветЮ

И почему, и как этот kdivz.exe залетел ко мне в 5603 ? Я ж его не искал ( Пуск-Найти-Файлы и папки). И вообще ничего о нем не знал.

К тебе залезло само название, а не сам вирус. Я о нём знаю столько, сколько и ты, другое дело, как его удалить, вот ребята с OSzone.net и помогли. Показал им логи, они написали скрипт, kdivz.exe удалился заодно, прицепом почикали
всякую нечисть. Вообщем, всё оперативно, грамотно, одним словом профи! Молодцы!