Вирус Net-Worm.Win32.Kido.cu

13 января, 2009

Добрый день.

Вчера обнаружлся вирус.

Симптомы:

- падает svchost

- не возможно запустить никакие приложения после этого, точнее, например, Диспетчер задач запускается, но окно не появляется.

- Антивирус Касперского 2009, базы обновлены, находит три файла:

1. C:\WINDOWS\system32\kbfmb.cd

2. C:\WINDOWS\system32\x

3. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SI97C27N\erzbuo[1].jpg

Скачал и установил обновление MS08-067, про которое говорится тут: http://support.kaspersky.ru/faq/?qid=208636215

Не помогает. То есть файлы Касперский находит, успешно удаляет, через некоторое время они появляются вновь.

virusinfo_cure.zip не удается приложить, занимает больше 6 мегабайт. (6,408Кб)

Сообщение от модератора Falcon

Удалил файл с вирусом. Так как архив был запаролен, то предупреждение не выносится, но лучше использовать для этого систему личных сообщений.

прикладываю virusinfo_cure.zip в виде rar архива.

Часть 1.

hijackthis.log

virusinfo_syscure.zip

Изменено 13 января, 2009 пользователем Falcon

13 января, 2009

AndreyGor

Заплатка помогает лишь при установлении на чистый компьютер.

Попробуй это http://support.kaspersky.ru/wks6mp3/error?qid=208636215

Я лично лечил еще до выхода этой утилиты вот так http://forum.kasperskyclub.ru/index.php?sh...ost&p=76172

13 января, 2009

Включите AVZPM и повторите логи.

P>S> А Вы флешки лечили?

13 января, 2009

Оставшиеся части virusinfo_cure.zip.

Да, на флешке руками удалил autorun.inf и Касперский удалил какой-то файл в Recycled Bin на флешке.

iradov, утилита не помогает, пробовал.

Сообщение от модератора Игорь

Карантин удален.

Изменено 13 января, 2009 пользователем Игорь

13 января, 2009

virusinfo_cure - уберите, карантин, тут не нужен.

13 января, 2009

iradov, утилита не помогает, пробовал.

Вторую мою ссылку посмотри

13 января, 2009

Iradov, посмотрел твою вторую ссылку. К сожалению, у меня командер ничего не нашел, кроме kbfmb.cd, который Касперский и до этого определял и определяет каждые n минут.

13 января, 2009

AndreyGor

Чудес не бывает. Все описанные тобой симптомы были и на наших машинах.

В Командере сделал "показывать скрытые файлы"? Поиск пускай указывая размер точно байтах. Вирус 100% сидит в system32 в dll-ке, причем дата ее создания не отличается от родных виндузоских. Касперский на этой машине ее не увидит, только если создать Аварийный диск Каспера на незараженной машине и грузануться с него.

14 января, 2009

Iradov,

Я понимаю, что чудес не бывает.

Сейчас вот Касперский в очередной раз нашел файл с вирусом.

попробовал еще раз найти по размеру. ничего кроме файла найденного Касперским командер не находит ни на одном из дисков.

Это говорит лишь о том, что вирусяка хитрее, чем мы думаем..

Только что заметил еще один интересный момент.

Вирус добавляет Scheduled task : At1.job - rundll32.exe kbfmb.cd,rvycyvbj каждый день в 10 утра!

Причем вчера, точно помню, что все назначенные задания удалил. Сегодня вот опять появилось.

Изменено 14 января, 2009 пользователем AndreyGor

14 января, 2009

Флудите?

AndreyGor, вы заплатку нужную ставили?

14 января, 2009

Ага, ну конечно флужу..

Вон уже тема подоспела с интересным названием: IMPORTANT: Эпидемия Net-Worm.Win32.Kido.

http://forum.kaspersky.com/index.php?showforum=18

заплатку естественно поставил, только она от вируса не лечит!

14 января, 2009

заплатку естественно поставил, только она от вируса не лечит!

Нет конечно на местах помогают консультатнты . Которые помогают после анализов логов...

14 января, 2009

Такая же ситуация, в сети 40 машин разных мастей, интернет идет через машину на которой установлен XP Prof, касперский секьюри не сработал. Бродит этот kido.fz по сетке, все так же как у всех, не видит его тотал у меня, не пойму как пользоваться инструкцией от iradov, все сделала - результат - 0, на одной машине он так же как и описано выше появляется через какое-то время и каспер его убивает, на другой даже удаляет его, на третьей ничего не может сделать, путь выдает, а тотал не видит и все!

Да, забыла еще про заплатки спросить: на какие ОС они подходят? Мне нужно на хоум едишон и на проф, там таких нет.

14 января, 2009

на какие ОС они подходят

2000 СП4, ХР СП2 и 3, ХР 64, Виста и пр. на http://www.microsoft.com/technet/security/...n/MS08-067.mspx выбирай заплатку для своей системы и качай.

ЗЫ я не инструкцию писал, а лишь рассказал как избавился от Kido у себя в сети. Если что не понятно, то стучи в аську 4881733

Вирус Net-Worm.Win32.Kido.cu

Рекомендуемые сообщения

AndreyGor

Ссылка на комментарий

Поделиться на другие сайты

iradov

Ссылка на комментарий

Поделиться на другие сайты

akoK

Ссылка на комментарий

Поделиться на другие сайты

AndreyGor

Ссылка на комментарий

Поделиться на другие сайты

akoK

Ссылка на комментарий

Поделиться на другие сайты

iradov

Ссылка на комментарий

Поделиться на другие сайты

AndreyGor

Ссылка на комментарий

Поделиться на другие сайты

iradov

Ссылка на комментарий

Поделиться на другие сайты

AndreyGor

Ссылка на комментарий

Поделиться на другие сайты

akoK

Ссылка на комментарий

Поделиться на другие сайты

AndreyGor

Ссылка на комментарий

Поделиться на другие сайты

akoK

Ссылка на комментарий

Поделиться на другие сайты

Anutka

Ссылка на комментарий

Поделиться на другие сайты

iradov

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum