![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Сетевые глисты, продолжение.
Jan. 18th, 2009 04:22 pmХотя от глиста worm32.kido антивирус AVAST и лечит, но после его лечения остается битая ссылка в реестре (это такое место, где храниятся все настройки windows и приложений/программ), так как проверку он делает в начальной стадии загрузки windows, когда еще доступ к нему недоступен.
Для удаления битой ссылки необходимо:
1. Запустить regedit (Пуск->Выполнить->Набрать regedit->нажать <ввод> (enter)).
2. Найти ключ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\"netsvcs".
а) Через меню правка->найти (быстрый вызов <Ctrl>+<F>) netsvcs и дальше жать F3 пока не появится в дереве путь HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost, этот способ менее трудоемкий, но придется подождать пока будет идти поиск ключа;
б) Тупо открывая последовательно ветви реестра в дереве, здесь придется потрудиться, надо несколько раз щелкнуть мышью, но зато не надо ждать.
3. Удалить из значения ключа netsvcs строку содержащую абракадабру (имя файла до ".dll", в котором avast нашел червя win32:confi), если для вас все строки абракадабра и не помните имя файла, а log проверки несохранился, то удаляйте последнюю строку. Полностью удалять ключ нельзя, так как тогда сеть работать перестанет:)
Для этого надо сделать двойной щелчок по netsvcs.
После этого появится окно с обычным текстовым редактором типа блокнота (notepad):
У меня ключ содержал значение:
6to4
AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
DHCP
ERSvc
EventSystem
FastUserSwitchingCompatibility
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Messenger
Netman
Nla
Ntmssvc
NWCWorkstation
Nwsapagent
Rasauto
Rasman
Remoteaccess
Schedule
Seclogon
SENS
Sharedaccess
SRService
Tapisrv
Themes
TrkWks
W32Time
WZCSVC
Wmi
WmdmPmSp
winmgmt
wscsvc
xmlprov
BITS
wuauserv
ShellHWDetection
helpsvc
WmdmPmSN
ckrbzbv
Из него я удалил последнюю строку ckrbzbv
Получилось:
4. Нажать кнопку <ОК> и закрыть regedit. Можно считать, что от глиста worm.win32.kido.ih избавились:)
Для проверки можно поискать на диске файл с именем:<строка которую удалили из ключа netsvcs>.DLL.
В моем случае, это ckrbzbv.dll.
Замечания:
1. Этот вирус могут еще называть Downadup и им заражено более 8.9 миллиона компьютеров, данные lenta.ru.
2. Для некоторых разновидностей, возможно надо удалить еще ключ HKLM\SYSTEM\CurrentControlSet\Services\netsvcs, у меня этого ключа не было, сведения с virus.com для worm.win32.kido.bt.
3. Утилита Касперского kwlk.com от глиста win32.kido/win32:confi/Downadup не помогает, хотя возможно надо было загрузиться в защищенном режиме с командной строкой.
4. На сайте avast, после лечения от червя, можно скачать новую версию антивируса avast, avast 4.8 home edition.
Ее надо будет в течении месяца зарегистрировать. Регистрация бесплатная, надо просто отослать письмо, в ответ придет ключ активации.
5. Кроме avast есть еще AVIRA personal, тоже бесплатный антивирус из Европы с похожими свойствами, но он не имеет русского интерфейса, лечит ли он от kido я не знаю, у меня его он даже не нашел, хотя тогда его у меня возможно еще и небыло:)
Для удаления битой ссылки необходимо:
1. Запустить regedit (Пуск->Выполнить->Набрать regedit->нажать <ввод> (enter)).
2. Найти ключ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\"netsvcs".
а) Через меню правка->найти (быстрый вызов <Ctrl>+<F>) netsvcs и дальше жать F3 пока не появится в дереве путь HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost, этот способ менее трудоемкий, но придется подождать пока будет идти поиск ключа;
б) Тупо открывая последовательно ветви реестра в дереве, здесь придется потрудиться, надо несколько раз щелкнуть мышью, но зато не надо ждать.
3. Удалить из значения ключа netsvcs строку содержащую абракадабру (имя файла до ".dll", в котором avast нашел червя win32:confi), если для вас все строки абракадабра и не помните имя файла, а log проверки несохранился, то удаляйте последнюю строку. Полностью удалять ключ нельзя, так как тогда сеть работать перестанет:)
Для этого надо сделать двойной щелчок по netsvcs.
После этого появится окно с обычным текстовым редактором типа блокнота (notepad):
У меня ключ содержал значение:
6to4
AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
DHCP
ERSvc
EventSystem
FastUserSwitchingCompatibility
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Messenger
Netman
Nla
Ntmssvc
NWCWorkstation
Nwsapagent
Rasauto
Rasman
Remoteaccess
Schedule
Seclogon
SENS
Sharedaccess
SRService
Tapisrv
Themes
TrkWks
W32Time
WZCSVC
Wmi
WmdmPmSp
winmgmt
wscsvc
xmlprov
BITS
wuauserv
ShellHWDetection
helpsvc
WmdmPmSN
ckrbzbv
Из него я удалил последнюю строку ckrbzbv
Получилось:
4. Нажать кнопку <ОК> и закрыть regedit. Можно считать, что от глиста worm.win32.kido.ih избавились:)
Для проверки можно поискать на диске файл с именем:<строка которую удалили из ключа netsvcs>.DLL.
В моем случае, это ckrbzbv.dll.
Замечания:
1. Этот вирус могут еще называть Downadup и им заражено более 8.9 миллиона компьютеров, данные lenta.ru.
2. Для некоторых разновидностей, возможно надо удалить еще ключ HKLM\SYSTEM\CurrentControlSet\Services\netsvcs, у меня этого ключа не было, сведения с virus.com для worm.win32.kido.bt.
3. Утилита Касперского kwlk.com от глиста win32.kido/win32:confi/Downadup не помогает, хотя возможно надо было загрузиться в защищенном режиме с командной строкой.
4. На сайте avast, после лечения от червя, можно скачать новую версию антивируса avast, avast 4.8 home edition.
Ее надо будет в течении месяца зарегистрировать. Регистрация бесплатная, надо просто отослать письмо, в ответ придет ключ активации.
5. Кроме avast есть еще AVIRA personal, тоже бесплатный антивирус из Европы с похожими свойствами, но он не имеет русского интерфейса, лечит ли он от kido я не знаю, у меня его он даже не нашел, хотя тогда его у меня возможно еще и небыло:)
