вирус Net-Worm.Win32.Kido.bg как полечиться?

[stama]

вобщем преследует меня и не только, последний месяц вирус

Net-Worm.Win32.Kido.bg 162,7 КБ

подцепил его у подруги - у нее комп был полностью нерабочий, ни одна прога не запускалась, папки не открывались, при попытке зайти на адреса типа kasperky.ru и drweb.ru они блокировались, при установке антивируса с флешки установка Каспера тоже блокировалась, а флешка заразилась, при загрузке винды в безопасном режиме ошибка. дома стоял Каспер, но увидев флешку, не пикнул. теперь недавно после очередных обновлений баз на флешке и обнаружился этот вирус, обнаружился он и на компе, но при попытке удаления комп сразу перегружается и все сначала.. ручками удалить - файл скрытый, показ скрытых не включается, в поиске тоже не ищется. ну и такая вот фигня, я уже и винду переставлял с форматированием системного. у друга стоит DRweb с последними базами - позавчера давал ему флешку, ничего не увидел, хотя вирус на ней был, теперь те же симптомы у меня Kaspersky WorkStations с максимальной защитой, еще у одного лицензионная семерка Каспера, но победить его не можем.
http://av-school.ru/news/a-186.html это рекомендация от касперских по удалению его ручками, не помогла
http://www.kaspersky.ru/viruswatchlite?search_virus=kido&hour_offset=5&x=0&y=0 а здесь видим кучу модификаций этого вируса, на которых еще нет обновлений

 

[Prorab]

Можно попробовать отсюда скачать Dr Web-овский Live CD, нарезать на болванку, загрузиться с неё и провести тщательное сканирование\лечение..

 

[Кочевник]

Еще я бы рекомендовал на будущее, это отключить авторан на всех дисках через gpedit.msc например.

Где именно оно отключается?

 

[Андрюх@dp.ua]

stama, А какие именно симптомы, а то у меня на работе какая-то хрень, комп перегружается через каждые 5-7 минут, антивирусы не ставятся (блокируются), скрытые файлы не открываются Это оно?

 

[stama]

А что вам надо, просто удалить файлы вирусов?

ну да, я ж писал что форматирование системного не помогло. он где то на моих рабочих дисках, уже логически отключал их, системный форматировал, ставил чистую винду, антивирус - базы, потом подключал рабочие и сканил... надо бы полечиться

Еще я бы рекомендовал на будущее, это отключить авторан на всех дисках

эт никак не поможет, если только вообще не пользоваться флешками

Можно попробовать отсюда скачать Dr Web-овский Live CD,

не спасибо, к нему доверия уже никакого. да и я так понял, что вирус автоматом прописывается в любых записываемых болванках - писал другу винду ЗверьСД, а потом в ней и был этот вирус

Добавлено через 7 минут
Андрюх@dp.ua, ну симптомы такие же и есть, еще при загрузке винды в безопасном режиме ошибка

 

[Андрюх@dp.ua]

Скачал я тот Live-CD - не помогло он ни одного вируса вообще не увидел, хотя я стопудово знаю, что как минимум пара червей там есть, которых НОД32 видит и удаляет. А этот деликатно молчит

 

[Prorab]

что вирус автоматом прописывается в любых записываемых болванках - писал другу винду ЗверьСД,

Если из .iso-образа писать, то вирус никак туда не пропишется..

Я свои флешки, кстати, "защищаю" файловой системой NTFS.. Отформатировал в NTFS, выставил всем папкам и корню права (не путать с атрибутом) read only, и никакой вирус не может на флешку прописаться (по крайней мере пока)..

 

[stama]

хм, у друга только что комп упал. загружается приветствие, появляется значок капера и на этом все виснет. безопасная загрузка - синий экран. и я ему неделю назад только ставил винду с антивирусником!

 

[DesKV]

Смотри в службы = вирус прописывается как служба со случайным именем (маленькие латинские буквы без цифр и нет описания службы)

Также вирь кладёт в system32 dll-ку со случайным именем.
KAV не может удалить dll потому как не может получить к ней доступ. МОжно удалить AVZ отложенным удалением, это же умеет Аваст.
Или же - руками.
Только сначала надо найти в реестре раздел этой службы, посмотреть там название Dll и грохнуть службу в реестре руками.

В реестре вот такие параметры службы:
ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
И раздел Parameters
ServiceDll C:\WINDOWS\system32\cyrsropv.dll (либо другое имя dll)

Также пишут что хранит тело в jpg файлах, т.е. сканировать не только exe и dll, а все вайлы.

Также пишут обязательно пропатчить винду последними обновлениями. А именно http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx


p.s. не пойму, если ты переустанавливал винду с ФОРМАТИРОВАНИЕМ, то виря уже не должно быть, разве что с флешек опять "заскочил" (просмотри autorun.inf).

 

[fudor]

Пуск->Выполнить->gpedit.msc->OK->Групповая политика->
Конфигурация компьютера->Административные шаблоны->
Система->Отключить автозапуск->Свойства->Включить

спасибо, давно собирался это сделать, но искать было влом.

p.s. не пойму, если ты переустанавливал винду, то виря уже не должно быть, разве что с флешек опять "заскочил" (просмотри autorun.inf).

+1
Недавно была такая же история. Переустановил системы дома и на работе. Почистил флехи. Поустанавливал антивири. Теперь только с чужих флешек удаляю.

я уже и винду переставлял с форматированием системного.

меня этот способ никогда не подводил.

 

[Prorab]

p.s. не пойму, если ты переустанавливал винду, то виря уже не должно быть, разве что с флешек опять "заскочил" (просмотри autorun.inf).

Он распространяется через сеть\инет используя уязвимость, описаную в этом бюллетене..
Поэтому нужно скачать обновление, пропатчить ОС, затем уже пытаться удалять вирус...
Вот тут есть немножко про этот вирь..

 

[DesKV]

Ах да, про сеть я и не подумал...

тут есть немножко про этот вирь..

спасибо за инфу!

Отключить автозапуск->Включить

майкрософт как всегда жгуть в стиле "у нас всё просто" (сорри за оффтоп).

p.s. два ламерских вопроса к знатокам : есть ли такая тулза, которая убирает "вы пользуетесь поддельной копией...", ну то есть чтобы можно было вот так отморозиться и обновляться с корпоративной винды (коды 640-642 в серийнике, но которая уже записана в майкрософт как "поддельная"). Ну то есть какой-то легализатор. И второй вопрос - есть ли возможность скачать как-то сразу все эти KBD, т.е. что делать если добрые полсотни компов не в сети, как их хотя бы раз в неделю апдейтить, на собирать же эти все файлики?

 

[Prorab]

И второй вопрос - есть ли возможность скачать как-то сразу все эти KBD, т.е. что делать если добрые полсотни компов не в сети, как их хотя бы раз в неделю апдейтить, на собирать же эти все файлики?

Вот тут для WinXP, а тут для W2K. Регулярно обновляются..

 

[stama]

акже вирь кладёт в system32 dll-ку со случайным именем.
KAV не может удалить dll потому как не может получить к ней доступ.

да у меня так и пишет - найден вирус в этой папке, при попытке удалить ребут и дальше пишет - вирус не найден, удалить не могу))

Также пишут обязательно пропатчить винду последними обновлениями.

читал что этот вирус сам уже устанавливает эти обновления, но поверх себя, то есть обновления есть, и вирус тоже есть...

не пойму, если ты переустанавливал винду с ФОРМАТИРОВАНИЕМ, то виря уже не должно быть

во первых, бывают такие хитрые вирусы, которые прописывают себя в бэд блоки и форматированием не удаляются.. в вторых оно так все и происходит - ставлю чистую винду, антивир, базы обновляю - вируса вроде бы и нет. подключаю остальные диски. проверяю - ничего. а потом он опять появляется

Ну почему не поможет? По крайней мере не будет обрабатываться autorun.inf, который многие вири прописывают в корень флешек.

а когда ты флешку открываешь - идет тот же автозапуск, разве что правой кнопкой - открыть, но все равно ты же с нее перепишешь на комп и достаточно теперь что то запустить - прогу какую то

 

[EvgenyTar]

подключаю остальные диски. проверяю - ничего. а потом он опять появляется

Есть вирусня, которая лезет по расшаренным ресурсам сети. У нас так на машину сотрудника лез вирус. Не могли понять откуда. Потом подловили момент, что каспер захрюкал, и сразу по логам глянули, какая машина в сеть в то время вошла. Оказалось, что в бухгалтерии, где инет отключен сотрудникам, на машине эта пакость сидела. Флешки рулят.

 

[stama]

шары у меня нет, раньше была, но потом комп чистил и сетевые карты лень было ставить. из подключений исключительно инет через мобильник. флешку с него проверял - тоже вирус есть)) фотик пока вроде чист...

 

[Alex]

stama, пробовал грузиться в безопасном режиме или в последней удачной конфигурации?

 

[EvgenyTar]

Диск разбит на два? Форматишь только один?

 

[stama]

пробовал грузиться в безопасном режиме или в последней удачной конфигурации?

да все варианты пробовал, результат один - синий экран. это я говорю на примере друга у которого вчера винда упала и подруги с которой и началось повествование.

Диск разбит на два? Форматишь только один?

разбит на три, перед форматированием отключаю все кроме системного
только приехал с автоквеста - нас было 12 команд, все с ноутами. орги раздали всем болванки - на них были задания типа. дальше вы уже догадываетесь, и часть команд продолжала игру в телефонном режиме)
несколько симптомов: опера и проводник глючат, как если бы ctrl или shift залип, регулятор громкости глючит, а когда в аське нажимаешь смайл - открывается IE и в нем типа javascript пытается открыться. после перезагрузки пропадает

Добавлено через 4 минуты

У меня щас вообще с компа невозможно зайти, ни на сайт каспера, ни на сайт вэба, Net-worm сидит зараза и не пускает))) и скрытые не показываются

это еще один друг только что написал - NOD 32

 

[fudor]

чисть реестр от вируса. Загрузись с лайв-сд, как тут советовали. В самом корне диска С увидишь этот вирус (он там папки посоздавал). Удаляй.