Net-Worm.Win32.Kido (Conficker,Downup, Downadup)

[Ведьма_28]

Это убило всю сетку.
Net-Worm.Win32.Kido.bx (это название вируса у Касперского)
Прячется под разными именами (обычно в виде DLL или графических файлов во временных папках Интернета) чаще всего в c:\windows\system32\
Вред, наносимый действиями вируса:
Остановка доступа к некоторым общим дискам;
Произвольная блокировка доменных аккаунтов;
Нестабильная работа серверов и рабочих станций
Касперский его видит, но неубивает.
Может ктото встречался и успешно боролся?
Поделитесь...

[regist]

Как бороться с сетевым червем Net-Worm.Win32.Kido (другие названия: Conficker, Downadup) на домашнем компьютере?

подобробная информация, как с ним бороться отписана здесь.

Для успешного лечения и профилактики заражения надо обязательно:
Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001 (на данных страницах вам необходимо выбрать операционную систему, которая установлена на зараженном компьютере, скачать нужный патч и установить его).

Рекомендуется отключить отключить автозапуск исполняемых файлов со съемных носителей.

Лечение компьютера от заражения
Скачайте архив kk.zip и распакуйте его в отдельную папку на зараженном компьютере.


Отключите компонент Файловый Антивирус на время работы утилиты.

Запустите файл kk.exe.

При запуске файла kk.exe без указания каких-либо ключей утилита останавливает активное заражение (удаляет потоки, снимает перехваты), выполняет сканирование основных мест, подверженных заражению, сканирует память, чистит реестр, проверяет flash-накопители.

Дождитесь окончания сканирования.

По окончании сканирования на компьютере утилита будет ожидать нажатия любой клавиши для закрытия.

Если на компьютере, на котором запускается утилита KidoKiller, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

Краткое описание семейства Net-Worm.Win32.Kido

Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID<....>}\RANDOM_NAME.vmx
В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
Обращается к следующим сайтам для получения внешнего IP-адреса зараженного компьютера (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):

http://www.getmyip.org
http://getmyip.co.uk
http://www.whatsmyipaddress.com
http://www.whatismyip.org
http://checkip.dyndns.org

--------------------------------------------------

Если у вас есть подозрения, что ваш компьтер заражён, то вы можете обратиться за помощью в раздел Лечение систем от вредоносных программ. Предварительно прочитав Правила раздела.

[Каханбунда]

Цитата: Сообщение от Ведьма_28 Это убило всю сетку. Net-Worm.Win32.Kido.bx (это название вируса у Касперского) Прячется под разными именами (обычно в виде DLL или графических файлов во временных папках Интернета) чаще всего в c:\windows\system32\ Вред, наносимый действиями вируса: Остановка доступа к некоторым общим дискам; Произвольная блокировка доменных аккаунтов; Нестабильная работа серверов и рабочих станций Касперский его видит, но неубивает. Может ктото встречался и успешно боролся? Поделитесь...

Добрый день))ДА была такая зараза у сестры(((Еще и каспер не обновлялся((НА антивирусные сайты не заходил комп...вообщем вам поможет ДрВеб!!!Бесплатная версия.Во время проверки откл. антивирус.
Ссылка на тему http://www.nowa.cc/showthread.php?t=140159

[Fox_new]

Утилита от Каспера еще лечит

http://www.kaspersky.ru/support/wks6...?qid=208636215

[Lamazz]

Цитата: Сообщение от Ведьма_28 Может ктото встречался и успешно боролся? Поделитесь...

Процесс излечения зараженной машины:
1. Запустить утилиту GMER.EXE и удалить подозрительные службы с ее помощью. К подозрительным относятся службы, которые утилита выделяет красным цветом, названия служб представляют собой набор латинских строчных латинских символов. На запрос утилиты о сканировании всей системы отвечаем «No». Удаление службы осуществляем, выбирая “Delete service” в контекстном меню, вызываемом нажатием правой клавиши мыши.
Если при удалении возникает сообщение о невозможности удаления – это означает, что соответствующий ключ уже удален из реестра для верности можно запустить GMER.EXE еще раз. Такая ситуация возможна, если найдено больше одной проблемной службы.



2. Во время работы утилиты GMER.EXE проверяем, установлен ли на машине патч KB958644:
Заходим в Панель управления/Установка и удаление программ, устанавливаем галку «Показывать обновления», проверяем наличие установленного апдейта:


Если не установлен – ставим его. Сразу после установки не перегружаем машину до завершения процедуры – см. ниже.


3. Проверяем, активен ли вирус в данный момент. Во время своей активной работы вирус пытается установить соединения по 445-му порту с различными хостами Интернета. Результат команды netstat –n –b| more (или просто netstat –n –b)



4. Останавливаем процесс svchost.exe, пытающийся установить соединение. Номер процесса виден в окне с результатом работы команды netstat в правой колонке.
Для этого запускаем taskmgr, View/Select columns – ставим галку для колонки с ID процесса (PID)


И «убиваем» дерево процессов, соответствующее проблемному процессу. Завершение работы служб может потребовать некоторого времени – до 30-40 секунд.
Как альтернативу стандартному менеджеру процессов можно использовать procexp.exe, позволяющую увидеть расширенную информацию по процессам, работающим в системе.



5. После остановки проблемного процесса svchost.exe Антивирус Касперского сможет распознать и обезвредить вирус. Запускаем сканирование критичных областей системы или сканирование диска, на котором установлена ОС Windows.


6. После удаления вируса нужно перезагрузить зараженную машину и запустить полное сканирование системы.

На шаге 5 процедуры в некоторых случаях мгновенное удаление тела вируса невозможно – Касперский сначала опознает его и через некоторое время удаляет.



Также замечены случаи, когда Касперский самостоятельно не может удалить вирус, выводя соответствующее сообщение.


В этом случае можно попытаться удалить его самостоятельно:
Удалить файл, созданный троянцем в каталоге: %SYSTEM%\<название_файла>.dll
(%SYSTEM% в большинстве случаев C:\Windows\System32)

Посмотреть имя файла можно в ключе:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Par ameters\ServiceDll
Удалить ветку реестра HKLM\SYSTEM\CurrentControlSet\Services\netsvcs
И/ИЛИ ветку с HKLM\SYSTEM\CurrentControlSet\Services\«имя вируса».

======================================

2-ой способ
http://support.kaspersky.ru/faq/?qid=180593202

[Fox_new]

Цитата: Сообщение от Aleksander_p утилита касперского помогает!

Не всегда.
На Винь 2000 Server не помогает ничего...
и в 2003 Server не лечмтся полностью...
Гадость!!

[SLASH_id]

http://www.viruslist.com/ru/alerts?alertid=203698715 Да... Разгул....

[Ведьма_28]

И еще одна проблемка выскочила....Сетевая часть на некоторых компах повреждена после удаления вируса...комп видит сам себя, сеть невидит..Переставлять тупо винду неинтересно. У кого так было?

[ASmal]

гадость редкая, на флешке засела Каспре видит, ни куда не пускает, а удалить не может, в ручную тоже не удаляется, пришлось форматить фешку

[Fox_new]

Цитата: Сообщение от Ведьма_28 И еще одна проблемка выскочила....Сетевая часть на некоторых компах повреждена после удаления вируса...комп видит сам себя, сеть невидит..Переставлять тупо винду неинтересно. У кого так было?

Проверь наличие
c:\WINDOWS\system32\svchost.exe

Пропадал на некоторых компах ...

[Rampant]

Ведьма_28, DNS в сетевых настройках проверь, этот вирь туда тоже забирается.

[Palindrom]

Цитата: Сообщение от Fox_new Утилита от Каспера еще лечит http://www.kaspersky.ru/support/wks6...?qid=208636215

А есть ли ссылка без kaspersky.ru.
У меня ентот вирусяка перекрыл доступ на все сайты популярных анвирусных прог, таких как нод, касперский, др. веб.
Хелп плиз. Сеть не фурычит толком, мои пользователи подопечные в панике...

[Rampant]

Palindrom, Проверь настройки DNS и hosts-файл, в хосте должна быть одна запись: 127.0.0.1 local

[Lamazz]

Перед тем как его лечить утилиткой от Касперского нужно заплаточку поставить
http://www.microsoft.com/technet/sec.../MS08-067.mspx

Добавлено через 22 минуты
http://www.microsoft.com/technet/sec.../ms08-068.mspx
http://www.microsoft.com/technet/sec.../ms09-001.mspx

[ArTonik]

Ставил заплатки от макрософт, утилиты на сканы, дошло до установки SP3 для ХР, ничего не помогает.

Как выход с положения, прийдется отрубать все пк от сети, затем каждый в отдельности чистить. Подключать к сети только очищенные пк. Так как вирус лезит сразу после подключения сетевого кабеля.