вирус Net-Worm.Win32.Kido.bg как полечиться?

[tytanik]

ну да, я ж писал что форматирование системного не помогло. он где то на моих рабочих дисках, уже логически отключал их, системный форматировал, ставил чистую винду, антивирус - базы, потом подключал рабочие и сканил... надо бы полечиться

У меня разок была такая суетевина. Форматил системный диск, ставил чистую винду, а вирь снова и снова. Оказалось что он гнездился на дисках других и запускался автоматом снова через файлы выложеные в корне дисков, файлы были скрытые, пока не поставил тотал не увидил их.

 

[stama]

щас сижу с компа соседа, Каспер 7:

удалено: вирус Net-Worm.Win32.Kido.bx Файл: E:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx

 

[DJK]

Поймал вчера штам Net-Worm.Win32.Kido.da
лечился следующим образом:
1. установил заплатку KB958544 (на компе стоит Win XP SP3)
2. очистил все папки \windows\temp
\document and settings\****\local settings\temporary internet files
\document and settings\****\local settings\temp
все папки \recycler на всех дисках
3. скачал и запустил на проверку http://support.kaspersky.ru/viruses/solutions?qid=180593202
4. добил остатки ручками и антивирусом Avira Antivir Personal

штам имеет размер 168371 байт,
симптомы: выдавал ошибку при проверке антивирусом Generic Host Error(или подобную)
создавал в \windows\system32\ файл x. (икс точка)
маскировался в \document and settings\****\local settings\temporary internet files
как png bmp gif и jpeg картинки

 

[Martyn]

stama, в той же папки нашел штамм Net-Worm.Win32.Kido.bу

 

[stama]

Нашел-поделись с Okey))
а я щас семерку ставлю!

 

[stama]

Специалисты пока не нашли эффективного метода борьбы с этим явлением, однако, благодаря последним разработкам, могут установить количество зараженных компьютеров.

"В настоящий момент мы видим, что зарегистрированные нами вирусные домены сидят в программах сотен тысяч компьютеров, - говорит эксперт из F-Secure Тони Ковунен. - Мы их видим, но удалить не можем".

Творение украинских программистов, Downadup, использует несколько методов распространения. Среди них недавно закрытая патчем брешь MS08-067 в Windows Server Service, угадывание сетевых паролей и инфицирование USB-флэшек.

В компьютере вирус защищает себя очень агрессивно. Он закрывает брешь в Windows, размещает себя в начале списка открываемых при загрузке системы программ, вносит изменения в реестр и в права доступа, предотвращающие его удаление. Обновленные версии Downadup загружаются с веб-сайтов, выбираемых из длинного списка по алгоритму, использующему текущие время и дату.

korrespondent.net

 

[Андрюх@dp.ua]

Украинских???

 

[fares]

http://shurik-c.livejournal.com/45858.html
http://www.securitylab.ru/virus/363745.php

 

[finder]

У знакомого закончился строк действия ДрВеб. Пока он ездил в Фокстрот покупать лицензию продления, его сыновья установили Каспера. Через некоторое время комп был заражен этой дрянью. Причём Каспер видел вирус, но ничего не смог сделать. Ни на один антивирусный сайт вирус не пускал, на сайт Виндоуз Апдейт тоже. Целый день вчера мучался... Вылечилось запуском в безопасном режиме утилиты от ДрВеб CureIt.
ДрВеб сейчас - один из немногих, кто может прибить эту сложную заразу. Каспер, НОД, Ф-Секуре - видят, но ничего не могут поделать.

 

[stama]

это что, реклама)) у друга DRWeb 5, естественно с последними обновлениями - но вирус пролез и сидит.. может он обновился тоже))

 

[Андрюх@dp.ua]

finder, У меня НОД32 2.7 нормально его и видит, и уничтожает... частично. Остальное дочищаю ручками! А Каспер таки да, только видит и ничего не может сделать

 

[finder]

у друга DRWeb 5, естественно с последними обновлениями - но вирус пролез и сидит.. может он обновился тоже))

Чтобы вирус не пролез, надо ещё и Винду обновлять время от времени...

 

[Martyn]

finder, если чел дятел, то и обновления Винды не помогут- тут только антивир выручит. У меня с последними обновлениями Каспера все чисто (тьфу,тьфу,тьфу) при том, что я постоянно подвергаю себя опасности заражения путем поимки штамма для Okey .

 

[finder]

finder, если чел дятел, то и обновления Винды не помогут

В данном случае обновления могут и помочь, так как один из методов распространения этого вируса - использование уязвимости Винды.

 

[Martyn]

finder, а также через флеш-носители. Из моих друзей, например, ни у одного не отключен автозапуск, а это уже открытые двери для троянцев и им подобным.

 

[Андрюх@dp.ua]

Martyn, Я, кстати, так и не нашел где его отключить для всех флешек. Именно свою отключил автозапуск, а как сделать отмену автозапуска по умолчанию - найти не могу, наверное так искал

 

[finder]

finder, а также через флеш-носители.

Не умничай, хорошо?... На мой совет обновлять Винду ты вдруг начал спорить и утверждать, что обновления не помогут, лишь антивирус спасёт. Я же не согласился и отписал, что "один из методов распространения этого вируса - использование уязвимости Винды....". После этого ты вдруг спрыгиваешь и начинаешь писать про флешки как ещё один способ распространения... Неконструктивно... Если хочешь, чтобы я тебе расписал все способы распространения этого вируса - могу скопировать несколько ресурсов, но думаю, ты сам найдёшь, тем более выше уже давали ссылки...

 

[DJK]

кому там штамм нужен был, есть пойманый "за руку" штам net-worms.win32.kido.da плюс авторан к нему тоже пойманый "за руку" с флешки.

немного пошаманив с мои штамом выяснилось, что троянец написан на доблесном C++ стареют программисты , некоторые штаммы упакованы UPX криптером.

 

[stama]

ух ты! дай посмотреть ©
мой_ник@inbox.ru ( в пароленом архиве)

 

[Martyn]

Не умничай, хорошо?...

Давай без эмоций, хорошо? ...

После этого ты вдруг спрыгиваешь и начинаешь писать про флешки как ещё один способ распространения... Неконструктивно...

Не вижу ничего неконструктивного: у меня не стоит заплатка на ту дырку в Винде, зато стоят firewall и antivir, я чист (пока ).
А флеш-носители я упомянул, поскольку это самый популярный способ заражения. Пусть у тебя будут заткнуты хоть все бреши Винды, но включен авторан ты заразишься. Вот почему я "несконструктивно" "спрыгнул" на флеш-носители.