Перейти к содержанию
Авторизация  
AndreyGor

Вирус Net-Worm.Win32.Kido.cu

Рекомендуемые сообщения

Добрый день.

Вчера обнаружлся вирус.

Симптомы:

- падает svchost

- не возможно запустить никакие приложения после этого, точнее, например, Диспетчер задач запускается, но окно не появляется.

- Антивирус Касперского 2009, базы обновлены, находит три файла:

1. C:\WINDOWS\system32\kbfmb.cd

2. C:\WINDOWS\system32\x

3. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SI97C27N\erzbuo[1].jpg

 

Скачал и установил обновление MS08-067, про которое говорится тут: http://support.kaspersky.ru/faq/?qid=208636215

Не помогает. То есть файлы Касперский находит, успешно удаляет, через некоторое время они появляются вновь.

 

 

virusinfo_cure.zip не удается приложить, занимает больше 6 мегабайт. (6,408Кб)

 

Сообщение от модератора Falcon
Удалил файл с вирусом. Так как архив был запаролен, то предупреждение не выносится, но лучше использовать для этого систему личных сообщений.

 

прикладываю virusinfo_cure.zip в виде rar архива.

Часть 1.

hijackthis.log

virusinfo_syscure.zip

Изменено пользователем Falcon

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

AndreyGor

 

Заплатка помогает лишь при установлении на чистый компьютер.

Попробуй это http://support.kaspersky.ru/wks6mp3/error?qid=208636215

 

Я лично лечил еще до выхода этой утилиты вот так http://forum.kasperskyclub.ru/index.php?sh...ost&p=76172

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Включите AVZPM и повторите логи.

 

P>S> А Вы флешки лечили?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Оставшиеся части virusinfo_cure.zip.

 

Да, на флешке руками удалил autorun.inf и Касперский удалил какой-то файл в Recycled Bin на флешке.

 

iradov, утилита не помогает, пробовал.

 

Сообщение от модератора Игорь
Карантин удален.
Изменено пользователем Игорь

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

virusinfo_cure - уберите, карантин, тут не нужен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
iradov, утилита не помогает, пробовал.

 

Вторую мою ссылку посмотри

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Iradov, посмотрел твою вторую ссылку. К сожалению, у меня командер ничего не нашел, кроме kbfmb.cd, который Касперский и до этого определял и определяет каждые n минут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

AndreyGor

Чудес не бывает. Все описанные тобой симптомы были и на наших машинах.

В Командере сделал "показывать скрытые файлы"? Поиск пускай указывая размер точно байтах. Вирус 100% сидит в system32 в dll-ке, причем дата ее создания не отличается от родных виндузоских. Касперский на этой машине ее не увидит, только если создать Аварийный диск Каспера на незараженной машине и грузануться с него.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Iradov,

Я понимаю, что чудес не бывает.

Сейчас вот Касперский в очередной раз нашел файл с вирусом.

попробовал еще раз найти по размеру. ничего кроме файла найденного Касперским командер не находит ни на одном из дисков.

Это говорит лишь о том, что вирусяка хитрее, чем мы думаем..

 

Только что заметил еще один интересный момент.

Вирус добавляет Scheduled task : At1.job - rundll32.exe kbfmb.cd,rvycyvbj каждый день в 10 утра!

Причем вчера, точно помню, что все назначенные задания удалил. Сегодня вот опять появилось.

Изменено пользователем AndreyGor

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Флудите?

 

AndreyGor, вы заплатку нужную ставили?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ага, ну конечно флужу.. ;)

Вон уже тема подоспела с интересным названием: IMPORTANT: Эпидемия Net-Worm.Win32.Kido.

http://forum.kaspersky.com/index.php?showforum=18

 

заплатку естественно поставил, только она от вируса не лечит!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
заплатку естественно поставил, только она от вируса не лечит!

 

Нет конечно ;) на местах помогают консультатнты :search:. Которые помогают после анализов логов...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Такая же ситуация, в сети 40 машин разных мастей, интернет идет через машину на которой установлен XP Prof, касперский секьюри не сработал. Бродит этот kido.fz по сетке, все так же как у всех, не видит его тотал у меня, не пойму как пользоваться инструкцией от iradov, все сделала - результат - 0, на одной машине он так же как и описано выше появляется через какое-то время и каспер его убивает, на другой даже удаляет его, на третьей ничего не может сделать, путь выдает, а тотал не видит и все!

 

Да, забыла еще про заплатки спросить: на какие ОС они подходят? Мне нужно на хоум едишон и на проф, там таких нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
на какие ОС они подходят

 

2000 СП4, ХР СП2 и 3, ХР 64, Виста и пр. на http://www.microsoft.com/technet/security/...n/MS08-067.mspx выбирай заплатку для своей системы и качай.

 

ЗЫ я не инструкцию писал, а лишь рассказал как избавился от Kido у себя в сети. Если что не понятно, то стучи в аську 4881733

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

×
×
  • Создать...