Вирус Net-Worm.Win32.Kido.cu

[AndreyGor]

Добрый день.

Вчера обнаружлся вирус.

Симптомы:

- падает svchost

- не возможно запустить никакие приложения после этого, точнее, например, Диспетчер задач запускается, но окно не появляется.

- Антивирус Касперского 2009, базы обновлены, находит три файла:

1. C:\WINDOWS\system32\kbfmb.cd

2. C:\WINDOWS\system32\x

3. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SI97C27N\erzbuo[1].jpg

 

Скачал и установил обновление MS08-067, про которое говорится тут: http://support.kaspersky.ru/faq/?qid=208636215

Не помогает. То есть файлы Касперский находит, успешно удаляет, через некоторое время они появляются вновь.

 

 

virusinfo_cure.zip не удается приложить, занимает больше 6 мегабайт. (6,408Кб)

 

Сообщение от модератора Falcon

Удалил файл с вирусом. Так как архив был запаролен, то предупреждение не выносится, но лучше использовать для этого систему личных сообщений.

 

прикладываю virusinfo_cure.zip в виде rar архива.

Часть 1.

hijackthis.log

virusinfo_syscure.zip

Изменено 13 января, 2009 пользователем Falcon

[iradov]

AndreyGor

 

Заплатка помогает лишь при установлении на чистый компьютер.

Попробуй это http://support.kaspersky.ru/wks6mp3/error?qid=208636215

 

Я лично лечил еще до выхода этой утилиты вот так http://forum.kasperskyclub.ru/index.php?sh...ost&p=76172

[akoK]

Включите AVZPM и повторите логи.

 

P>S> А Вы флешки лечили?

[AndreyGor]

Оставшиеся части virusinfo_cure.zip.

 

Да, на флешке руками удалил autorun.inf и Касперский удалил какой-то файл в Recycled Bin на флешке.

 

iradov, утилита не помогает, пробовал.

 

Сообщение от модератора Игорь

Карантин удален.

Изменено 13 января, 2009 пользователем Игорь

[akoK]

virusinfo_cure - уберите, карантин, тут не нужен.

[iradov]

iradov, утилита не помогает, пробовал.

 

Вторую мою ссылку посмотри

[AndreyGor]

Iradov, посмотрел твою вторую ссылку. К сожалению, у меня командер ничего не нашел, кроме kbfmb.cd, который Касперский и до этого определял и определяет каждые n минут.

[iradov]

AndreyGor

Чудес не бывает. Все описанные тобой симптомы были и на наших машинах.

В Командере сделал "показывать скрытые файлы"? Поиск пускай указывая размер точно байтах. Вирус 100% сидит в system32 в dll-ке, причем дата ее создания не отличается от родных виндузоских. Касперский на этой машине ее не увидит, только если создать Аварийный диск Каспера на незараженной машине и грузануться с него.

[AndreyGor]

Iradov,

Я понимаю, что чудес не бывает.

Сейчас вот Касперский в очередной раз нашел файл с вирусом.

попробовал еще раз найти по размеру. ничего кроме файла найденного Касперским командер не находит ни на одном из дисков.

Это говорит лишь о том, что вирусяка хитрее, чем мы думаем..

 

Только что заметил еще один интересный момент.

Вирус добавляет Scheduled task : At1.job - rundll32.exe kbfmb.cd,rvycyvbj каждый день в 10 утра!

Причем вчера, точно помню, что все назначенные задания удалил. Сегодня вот опять появилось.

Изменено 14 января, 2009 пользователем AndreyGor

[akoK]

Флудите?

 

AndreyGor, вы заплатку нужную ставили?

[AndreyGor]

Ага, ну конечно флужу..

Вон уже тема подоспела с интересным названием: IMPORTANT: Эпидемия Net-Worm.Win32.Kido.

http://forum.kaspersky.com/index.php?showforum=18

 

заплатку естественно поставил, только она от вируса не лечит!

[akoK]

заплатку естественно поставил, только она от вируса не лечит!

 

Нет конечно на местах помогают консультатнты . Которые помогают после анализов логов...

[Anutka]

Такая же ситуация, в сети 40 машин разных мастей, интернет идет через машину на которой установлен XP Prof, касперский секьюри не сработал. Бродит этот kido.fz по сетке, все так же как у всех, не видит его тотал у меня, не пойму как пользоваться инструкцией от iradov, все сделала - результат - 0, на одной машине он так же как и описано выше появляется через какое-то время и каспер его убивает, на другой даже удаляет его, на третьей ничего не может сделать, путь выдает, а тотал не видит и все!

 

Да, забыла еще про заплатки спросить: на какие ОС они подходят? Мне нужно на хоум едишон и на проф, там таких нет.

[iradov]

на какие ОС они подходят

 

2000 СП4, ХР СП2 и 3, ХР 64, Виста и пр. на http://www.microsoft.com/technet/security/...n/MS08-067.mspx выбирай заплатку для своей системы и качай.

 

ЗЫ я не инструкцию писал, а лишь рассказал как избавился от Kido у себя в сети. Если что не понятно, то стучи в аську 4881733