Перейти к содержанию
Правила раздела

Вирус Net-Worm.Win32.Kido.cu

AndreyGor

От AndreyGor
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

AndreyGor Новичок

AndreyGor

Опубликовано
Опубликовано (изменено)

Добрый день.

Вчера обнаружлся вирус.

Симптомы:

- падает svchost

- не возможно запустить никакие приложения после этого, точнее, например, Диспетчер задач запускается, но окно не появляется.

- Антивирус Касперского 2009, базы обновлены, находит три файла:

1. C:\WINDOWS\system32\kbfmb.cd

2. C:\WINDOWS\system32\x

3. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SI97C27N\erzbuo[1].jpg

 

Скачал и установил обновление MS08-067, про которое говорится тут: http://support.kaspersky.ru/faq/?qid=208636215

Не помогает. То есть файлы Касперский находит, успешно удаляет, через некоторое время они появляются вновь.

 

 

virusinfo_cure.zip не удается приложить, занимает больше 6 мегабайт. (6,408Кб)

 

Сообщение от модератора Falcon
Удалил файл с вирусом. Так как архив был запаролен, то предупреждение не выносится, но лучше использовать для этого систему личных сообщений.

 

прикладываю virusinfo_cure.zip в виде rar архива.

Часть 1.

hijackthis.log

virusinfo_syscure.zip

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты
iradov Опытный

iradov

Опубликовано
Опубликовано

AndreyGor

 

Заплатка помогает лишь при установлении на чистый компьютер.

Попробуй это http://support.kaspersky.ru/wks6mp3/error?qid=208636215

 

Я лично лечил еще до выхода этой утилиты вот так http://forum.kasperskyclub.ru/index.php?sh...ost&p=76172

Ссылка на комментарий
Поделиться на другие сайты
AndreyGor Новичок

AndreyGor

Опубликовано
  • Автор
Опубликовано (изменено)

Оставшиеся части virusinfo_cure.zip.

 

Да, на флешке руками удалил autorun.inf и Касперский удалил какой-то файл в Recycled Bin на флешке.

 

iradov, утилита не помогает, пробовал.

 

Сообщение от модератора Игорь
Карантин удален.
Изменено пользователем Игорь
Ссылка на комментарий
Поделиться на другие сайты
AndreyGor Новичок

AndreyGor

Опубликовано
  • Автор
Опубликовано

Iradov, посмотрел твою вторую ссылку. К сожалению, у меня командер ничего не нашел, кроме kbfmb.cd, который Касперский и до этого определял и определяет каждые n минут.

Ссылка на комментарий
Поделиться на другие сайты
iradov Опытный

iradov

Опубликовано
Опубликовано

AndreyGor

Чудес не бывает. Все описанные тобой симптомы были и на наших машинах.

В Командере сделал "показывать скрытые файлы"? Поиск пускай указывая размер точно байтах. Вирус 100% сидит в system32 в dll-ке, причем дата ее создания не отличается от родных виндузоских. Касперский на этой машине ее не увидит, только если создать Аварийный диск Каспера на незараженной машине и грузануться с него.

Ссылка на комментарий
Поделиться на другие сайты
AndreyGor Новичок

AndreyGor

Опубликовано
  • Автор
Опубликовано (изменено)

Iradov,

Я понимаю, что чудес не бывает.

Сейчас вот Касперский в очередной раз нашел файл с вирусом.

попробовал еще раз найти по размеру. ничего кроме файла найденного Касперским командер не находит ни на одном из дисков.

Это говорит лишь о том, что вирусяка хитрее, чем мы думаем..

 

Только что заметил еще один интересный момент.

Вирус добавляет Scheduled task : At1.job - rundll32.exe kbfmb.cd,rvycyvbj каждый день в 10 утра!

Причем вчера, точно помню, что все назначенные задания удалил. Сегодня вот опять появилось.

Изменено пользователем AndreyGor
Ссылка на комментарий
Поделиться на другие сайты
AndreyGor Новичок

AndreyGor

Опубликовано
  • Автор
Опубликовано

Ага, ну конечно флужу.. ;)

Вон уже тема подоспела с интересным названием: IMPORTANT: Эпидемия Net-Worm.Win32.Kido.

http://forum.kaspersky.com/index.php?showforum=18

 

заплатку естественно поставил, только она от вируса не лечит!

Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано
заплатку естественно поставил, только она от вируса не лечит!

 

Нет конечно ;) на местах помогают консультатнты :search:. Которые помогают после анализов логов...

Ссылка на комментарий
Поделиться на другие сайты
Anutka Новичок

Anutka

Опубликовано
Опубликовано

Такая же ситуация, в сети 40 машин разных мастей, интернет идет через машину на которой установлен XP Prof, касперский секьюри не сработал. Бродит этот kido.fz по сетке, все так же как у всех, не видит его тотал у меня, не пойму как пользоваться инструкцией от iradov, все сделала - результат - 0, на одной машине он так же как и описано выше появляется через какое-то время и каспер его убивает, на другой даже удаляет его, на третьей ничего не может сделать, путь выдает, а тотал не видит и все!

 

Да, забыла еще про заплатки спросить: на какие ОС они подходят? Мне нужно на хоум едишон и на проф, там таких нет.

Ссылка на комментарий
Поделиться на другие сайты
iradov Опытный

iradov

Опубликовано
Опубликовано
на какие ОС они подходят

 

2000 СП4, ХР СП2 и 3, ХР 64, Виста и пр. на http://www.microsoft.com/technet/security/...n/MS08-067.mspx выбирай заплатку для своей системы и качай.

 

ЗЫ я не инструкцию писал, а лишь рассказал как избавился от Kido у себя в сети. Если что не понятно, то стучи в аську 4881733

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...