Перейти к содержанию
Правила раздела
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Вирус Net-Worm.Win32.Kido.cu

AndreyGor

Автор AndreyGor
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

AndreyGor Новичок

AndreyGor

Опубликовано
Опубликовано (изменено)

Добрый день.

Вчера обнаружлся вирус.

Симптомы:

- падает svchost

- не возможно запустить никакие приложения после этого, точнее, например, Диспетчер задач запускается, но окно не появляется.

- Антивирус Касперского 2009, базы обновлены, находит три файла:

1. C:\WINDOWS\system32\kbfmb.cd

2. C:\WINDOWS\system32\x

3. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SI97C27N\erzbuo[1].jpg

 

Скачал и установил обновление MS08-067, про которое говорится тут: http://support.kaspersky.ru/faq/?qid=208636215

Не помогает. То есть файлы Касперский находит, успешно удаляет, через некоторое время они появляются вновь.

 

 

virusinfo_cure.zip не удается приложить, занимает больше 6 мегабайт. (6,408Кб)

 

Сообщение от модератора Falcon
Удалил файл с вирусом. Так как архив был запаролен, то предупреждение не выносится, но лучше использовать для этого систему личных сообщений.

 

прикладываю virusinfo_cure.zip в виде rar архива.

Часть 1.

hijackthis.log

virusinfo_syscure.zip

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты
iradov Опытный

iradov

Опубликовано
Опубликовано

AndreyGor

 

Заплатка помогает лишь при установлении на чистый компьютер.

Попробуй это http://support.kaspersky.ru/wks6mp3/error?qid=208636215

 

Я лично лечил еще до выхода этой утилиты вот так http://forum.kasperskyclub.ru/index.php?sh...ost&p=76172

Ссылка на комментарий
Поделиться на другие сайты
AndreyGor Новичок

AndreyGor

Опубликовано
  • Автор
Опубликовано (изменено)

Оставшиеся части virusinfo_cure.zip.

 

Да, на флешке руками удалил autorun.inf и Касперский удалил какой-то файл в Recycled Bin на флешке.

 

iradov, утилита не помогает, пробовал.

 

Сообщение от модератора Игорь
Карантин удален.
Изменено пользователем Игорь
Ссылка на комментарий
Поделиться на другие сайты
AndreyGor Новичок

AndreyGor

Опубликовано
  • Автор
Опубликовано

Iradov, посмотрел твою вторую ссылку. К сожалению, у меня командер ничего не нашел, кроме kbfmb.cd, который Касперский и до этого определял и определяет каждые n минут.

Ссылка на комментарий
Поделиться на другие сайты
iradov Опытный

iradov

Опубликовано
Опубликовано

AndreyGor

Чудес не бывает. Все описанные тобой симптомы были и на наших машинах.

В Командере сделал "показывать скрытые файлы"? Поиск пускай указывая размер точно байтах. Вирус 100% сидит в system32 в dll-ке, причем дата ее создания не отличается от родных виндузоских. Касперский на этой машине ее не увидит, только если создать Аварийный диск Каспера на незараженной машине и грузануться с него.

Ссылка на комментарий
Поделиться на другие сайты
AndreyGor Новичок

AndreyGor

Опубликовано
  • Автор
Опубликовано (изменено)

Iradov,

Я понимаю, что чудес не бывает.

Сейчас вот Касперский в очередной раз нашел файл с вирусом.

попробовал еще раз найти по размеру. ничего кроме файла найденного Касперским командер не находит ни на одном из дисков.

Это говорит лишь о том, что вирусяка хитрее, чем мы думаем..

 

Только что заметил еще один интересный момент.

Вирус добавляет Scheduled task : At1.job - rundll32.exe kbfmb.cd,rvycyvbj каждый день в 10 утра!

Причем вчера, точно помню, что все назначенные задания удалил. Сегодня вот опять появилось.

Изменено пользователем AndreyGor
Ссылка на комментарий
Поделиться на другие сайты
AndreyGor Новичок

AndreyGor

Опубликовано
  • Автор
Опубликовано

Ага, ну конечно флужу.. ;)

Вон уже тема подоспела с интересным названием: IMPORTANT: Эпидемия Net-Worm.Win32.Kido.

http://forum.kaspersky.com/index.php?showforum=18

 

заплатку естественно поставил, только она от вируса не лечит!

Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано
заплатку естественно поставил, только она от вируса не лечит!

 

Нет конечно ;) на местах помогают консультатнты :search:. Которые помогают после анализов логов...

Ссылка на комментарий
Поделиться на другие сайты
Anutka Новичок

Anutka

Опубликовано
Опубликовано

Такая же ситуация, в сети 40 машин разных мастей, интернет идет через машину на которой установлен XP Prof, касперский секьюри не сработал. Бродит этот kido.fz по сетке, все так же как у всех, не видит его тотал у меня, не пойму как пользоваться инструкцией от iradov, все сделала - результат - 0, на одной машине он так же как и описано выше появляется через какое-то время и каспер его убивает, на другой даже удаляет его, на третьей ничего не может сделать, путь выдает, а тотал не видит и все!

 

Да, забыла еще про заплатки спросить: на какие ОС они подходят? Мне нужно на хоум едишон и на проф, там таких нет.

Ссылка на комментарий
Поделиться на другие сайты
iradov Опытный

iradov

Опубликовано
Опубликовано
на какие ОС они подходят

 

2000 СП4, ХР СП2 и 3, ХР 64, Виста и пр. на http://www.microsoft.com/technet/security/...n/MS08-067.mspx выбирай заплатку для своей системы и качай.

 

ЗЫ я не инструкцию писал, а лишь рассказал как избавился от Kido у себя в сети. Если что не понятно, то стучи в аську 4881733

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ВасилийВ
      [РЕШЕНО] Вирус
      Автор ВасилийВ
      Касперский не видит вирусов,встроенный антивирус нашел больше 10 троянов но не смог с ними справитьсяCollectionLog-2025.03.25-22.30.zip
    • Dava
      Вирус
      Автор Dava
      Поймал вирус с торрента который устанавливал мне адблок в эдж, вирус и его папки я нашел и удалил, позже удалил торрент, но теперь при открытии эджа у меня пишет "Microsoft edge неожиданно завершил работу, восстановить страницы?"
      Удалять куки и сбрасывать настройки к начальным и тыкать Repair я пробовал, это не помогло. Я предполагаю что где то еще остался вирусняк который лезет в эдж, но касперский его не видит
      Addition.txt FRST.txt
    • Константин174
      Поймали вирус
      Автор Константин174
      Всем Привет проблема поймали вирус [nullhexxx@gmail.com].EAE6F491 есть варианты как избавиться ??????
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • SergeyUfa
      Вирус на сайте
      Автор SergeyUfa
      Здравствуйте, помогите пожалуйста, на сайте завелся вирус, при переходе из поисковых систем, в некоторых разделах сайта появляется текст ведущий нелегальные казино и порно-контент, сайт на битриксе, не как отловить не можем, все модули проверили, может кто сталкивался?
    • sNg
      Неудаляемый вирус
      Автор sNg
      Доброго времени суток. Имеется вот такая история:
      Купил новый ноутбук (HP Laptop 17-cp0035ua). С покупки был с предустановленным DOS. Я его снес, накатил Win10. После установки, на чистой винде в браузере начали странно себя вести страницы, а именно редиректить при открытии на всякие сайты. Первостепенно редиректит на 89.208.107.49. Работает не со всеми сайтами, случайно. Решил переустановить, подумал в установочнике вирус или на флешке.
      Установил с официальных дистрибутивов на новой флешке. Результат тот же. На абсолютно голой системе без драйверов такая же ситуация, редирект на те же сайты.
      Ладно, решил копать дальше. Проверил систему Malwarebytes, нашел вирус, удалил, но ситуация не исправилась. 
      Проверил систему KVRT. Не нашел ничего.
      Проверил систему из под live usb Eset. Нашел вирус injector.autoit в загрузочнике и всякую мелочь. Удалил. Ура, подумал я, наконец решилось, но нет. После очередной новой установки результат тот же.
      Решил решить проблему радикально - сменить ssd. Сменил. И проблема осталась. Менял оперативку. Результат тот же. Обновил БИОС. Результат тот же.
      НО! Если включить VPN (WARP) или вручную сменить DNS в настройках то проблема пропадает. Но сам вирус или что это такое остается. 
×
×
  • Создать...