Вирус Net-Worm.Win32.Kido , лечение Kido

Раздел: Windows, Советы
Написано: 30.01.2009
Автор: Antonio
Просмотров темы: 227 846 раз

Сегодня столкнулся с вирусом Net-Worm.Win32.Kido или просто Kido.
Когда на одном из серверов остановилась служба Сетевой вход и Сервер и пропал доступ к его расшаренным папкам (такого не было никогда ранее). Мне сразу показалось что-то тут не чисто. Службы были перезапущены и все пошло своим путем. А позже я занялся изучением и поиском виновника. Итак, рассмотрим противника:

Net-Worm.Win32.Kido поражает Windows 2000 и более поздние версии, вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет постоянно видоизменяющийся (полиморфный) упаковщик, что затрудняет его анализ.

I. На сайте Касперского предлагается решение по обнаружению и удалению вирусов семейства Net-Worm.Win32.Kido

Решение:
1. Скачать и установить патч от Microsoft, который закрывает уязвимость MS08-067 (скачать).

2. Скачать и запустить утилиту KidoKiller.exe из архива KidoKiller_v3.zip (скачать)
3. Общая рекоммендация. Не забывать обновлять операционную систему высокоприоритетными обновлениями.

II. Компания «Доктор Веб» информирует о широком распространении опасного сетевого червя Win32.HLLW.Shadow.based (известного также под именем Conficker.worm, Downadup и Kido) и предлагает метод лечения :

1. Установить патчи, указанные в следующих информационных бюллетенях Microsoft:
MS08-067 ссылка;
MS08-068 ссылка;
MS09-001 ссылка;
2. Отключить компьютер от локальной сети и от Интернета. Если компьютеры подсоединены к локальной сети, то вылеченный компьютер необходимо подключать обратно к локальной сети лишь после того, как будут вылечены все компьютеры, находящиеся в сети.
3. Скачать текущую версию утилиты Dr.Web CureIt! ссылка на неинфицированном компьютере, перенести ее на инфицированный и просканировать все диски, тем самым произведя лечение системы.
4. Для профилактики распространения вирусов рекомендуется отключать на компьютерах автозапуск программ со съёмных носителей, использовать автоматическое обновление Windows, не применять простые пароли входа в систему.

На заметку.

При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.

Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.

Вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению буфера. В результате данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP.

Так же возможно отключение доступа к общим каталогам и прочим сетевым службам.

P.S. я использовал первый метод защиты (лечения), но повторно проверял так же и утилитой Dr.Web CureIt! от «Доктора Веб» ссылка.

Дополнительно можно почитать:
от компании «Доктор Веб» — ссылка
от Вирусной Энциклопедии — ссылка
от Лаборатории Касперского — ссылка

Ключевые слова: скачать утилиту kidokiller | kidokiller v3.zip | kidokiller v3 | worm.32.kido.hf | net-32.kido | kidokiller скачать

Добавлено 02.03.09 (для тех у кого не работают сайты касперского и микрософт, файлы для лечения с нашего сервера)
Обновленная утилита лечения от Касперского KidoKiller_v3.3.2.zip
Критическое обновление для Windows XP — WindowsXP-KB958644-x86-RUS.exe

Добавлено 03.03.09
Критическое обновление для Windows Server 2003 Service Pack 1 и Windows Server 2003 Service Pack 2 — WindowsServer2003-KB958644-x86-RUS.exe (очень рекомендую не забывать обновлять сервера, спешить конечно тоже не стоит и накатывать всё на все, но и не забывайте! ;-) )

Добавлено 11.03.09
По непроверенным данным kido не трогает машины, на которых установлена украинская раскладка клавиатуры.

Добавлено 14.03.09
Разработчики антивируса BitDefender также сделали утилиту для удаления Kido или как они его называют Win32.Worm.Downadup.Gen, скачать можно с ссылка
А так же у них есть «The 30-second Antivirus Scan: BitDefender QuickScan Beta» (30 секундное антивирусное он-лайн сканирование ПК)
P.S. зараженных машин под рукой не было, поэтому эффективность инструмента мной не проверена, но продукты BitDefender штука не плохая.

Добавлено 01.04.09
Это не первоапрельский прикол, действительно уже появился KidoKiller версии 3.4.3 — KKiller_v3.4.3.zip

Добавлено 09.04.09
Обновилась утилита KidoKiller уже версия 3.4.4 — KKiller_v3.4.4.zip

Сегодня обнаружил такой факт — если запустить кидокиллера с пользовательскими правами (т.е. работая под учетной записью с правами Пользователь), то утилита работает секунд 5-10 и вылетает с ошибкой! (обратите на это внимание и не забывайте!)

Добавлено 14.04.09
Еще признаки kido
1. Создает на съемных носителях (также на сетевых дисках если доступно на запись) файл autorun.inf и файл RECYCLED\{SID}\random_name.vmx
2. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\sfefs.dll
3. Прописывает себя в сервисах со случайным именем, состоящим из латинских букв, например gfjdsnk.
4. Атакует компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.

Добавлено 16.04.09
Новая версия — KidoKiller 3.4.5 скачать

Добавлено 20.04.09
Нашел утилиту скачать (утилита разработана компанией Positive Technologies)

С помощью этой утилиты системные администраторы смогут быстро и легко выявить уязвимые системы и установить соответствующие исправления. Для корректной работы утилиты на системе должен быть установлен .NET Framework.

Внимание! Утилита работает в режиме тестирования на проникновение, в связи с чем, не имеет возможности обнаружить узлы, зараженные червем Conficker.B, поскольку червь устраняет уязвимость MS08-067. Для проверки зараженных систем необходимо использовать механизмы аудита системы MaxPatrol или XSpider.

После последнего посещения вышеуказанных страниц с заплатками, мне показалось что у Микрософт, что-то наверчено и толком по тем ссылкам скачать не получается, вообщем я нашел у них все что нужно и добавляю информацию тут:

Критическое обновление для системы безопасности (заплатки от уязвимости MS09-001):

— Windows XP (SP2, SP3) (KB958687) (MS09-001) — WindowsXP-KB958687-x86-RUS.exe

— Windows Server 2003 (SP1, SP2) (KB958687) (MS09-001) — WindowsServer2003-KB958687-x86-RUS.exe

Критическое обновление для системы безопасности (заплатки от уязвимости MS08-068):

— Windows XP (SP2, SP3) (KB957097) (MS08-068) — WindowsXP-KB957097-x86-RUS.exe

— Windows Server 2003 (SP1, SP2) (KB957097) (MS08-068) — WindowsServer2003-KB957097-x86-RUS

Критическое обновление для системы безопасности (заплатки от уязвимости MS08-067):

— Windows XP Rus (SP2, SP3) (KB958644) (MS08-067) — WindowsXP-KB958644-x86-RUS.exe

— Windows Server 2003 Rus (SP1, SP2) (KB958644) (MS08-067) — WindowsServer2003-KB958644-x86-RUS.exe

уязвимость описанная в MS08-065
Если у вас Microsoft Windows 2000 с пакетом обновления 4 (SP4), то обратите внимание!

Не подвержено уязвимости:
Windows XP с пакетом обновления 2 (SP2) или 3 (SP3)
Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2)
….

Была проблема (в самом начале эпопеи) — появилась на одном из сетевых дисков папка RECYCLER (типа корзина), но на самом деле не корзина, а создал ее кидо, сразу было видно кто создал (так как на сервере доступ был с паролями), пользователь был почищен и пропатчен, а вот папка не удалялась. Чтобы ее удалить нужно:

1. Войти в ту папку (лучше с коммандера FreeCommander, Total Commander, только не проводником, чтобы не вдруг не активизировать заразу) найти файл, который был не доступен к удалению даже администратору (там было что-то типа jwgkvsq.vmx), на него нужно добавить полный доступ Администратору, остальные можно удалить и можно сменить владельца на Администратор (это все если вы работаете под Администратором и тогда файл получится удалить.
2. Директории я удалил командами типа
rmdir /s /q «./S-5-3-~1»
rmdir /s /q RECYCLER
(до этого я тоже добавил доступ к директориям Админу)

Добавлено 22.04.09
Новая версия — утилита для удаления вируса Kido — KidoKiller 3.4.6 скачать

Начиная с версии 3.4.6 в утилиту KK.exe добавлены коды возврата (%errorlevel%):

3 — Были найдены и удалены зловредные потоки (червь был в активном состоянии).
2 — Были найдены и удалены зловредные файлы (червь был в неактивном состоянии).
1 — Были найдены зловредные задания планировщика или перехваты функций (данная машина не заражена, но в этой сети могут находиться зараженные машины — администратору следует обратить на это внимание).
0 — Ничего не было найдено.

P.S. В сети где используется домен(ы) нужно в первую очередь лечить контроллеры домена и компьютеры, на которых залогинены пользователи, входящие в группы «Administrators» и «Domain Admins» в домене. Иначе, лечение бесполезно — все компьютеры, входящие в домен, будут постоянно заражаться.
P.S.S. Смотрим ключи KK

Добавлено 05.05.09
Новая версия утилиты для удаления вируса — KidoKiller 3.4.7 скачать

Добавлено 19.05.09

Ключи для запуска утилиты KK.exe из командной строки:

Параметр
Описание
-p < путь для сканирования> Cканировать определённый каталог
-f Cканировать жёсткие диски, сканировать переносные жесткие диски
-n Cканировать сетевые диски
-r Cканировать flash-накопители
-y Не ждать нажатия любой клавиши
-s «Тихий» режим (без чёрного окна консоли)
-l < имя файла> Запись информации в лог-файл
-v Ведение расширенного лога (параметр -v работает только в случае, если в командной строке указан также параметр -l)
-z Восстановление служб
· Background Intelligent Transfer Service (BITS),
· Windows Automatic Update Service (wuauserv),
· Error Reporting Service (ERSvc/WerSvc)
Восстановление возможности показа скрытых и системных файлов
-a Отключение автозапуска со всех носителей
-m Режим мониторинга потоков, заданий, сервисов
-j Восстановление ветки реестра SafeBoot (при ее удалении компьютер
не может загрузиться в безопасном режиме)
-help Получение дополнительной информации об утилите

Добавлено 22.10.09
Новая версия утилиты для удаления вируса Kido — KidoKiller 3.4.13 скачать

Добавлено 01.02.2011
Оказывается тема кидо еще актуальна, добавляю последнюю версию
KidoKiller 3.4.14 скачать

Ключи использовании версии KidoKiller 3.4.14
запускаем cmd в каталоге где у нас лежит антикидо или прописываем к нему путь при запуске kk
и выполняем
kk -j -t -a -r -f

подробнее о ключах можно узнать выполнив kk --help


1 звезда2 звезды3 звезды4 звезды5 звезд (39 оценок, в среднем: 4,85 из 5)

Расскажи всему миру

Ещё похожие заметки:


372 комментария

КашЫч
Фев 21, 2009 at 0:02

Спасибо огромное! Всё работает отлично!


 
Павел
Мар 2, 2009 at 18:15

Товарищи! Не забывайте: этот вирус блокирует ВСЕ сайты типа kaspersky.ru freedrweb.ru и других противовирусников! Ну нафига тогда, спрашивается, вы даете ссылку для скачивания с этих сайтов??? Залили бы на левый хост, хоть на рапиду — цены б вам не было!!!


 
Antonio
Мар 2, 2009 at 21:18

Павел, я как-то особо не задумывался, так как у меня в запасе несколько компов :-).
Хотя наверное перезалью и размещу ссылку у себя.

Спасибо за отзыв!


 
M00nL
Мар 4, 2009 at 10:57

достаточно интересная ситуёвина.
Дело в том, что все симптомы у меня от кИдо.
но:
1. до тех пор пока не включается какой-то комп, вся сеть работает без проблем.
2. Заплатка на 2003 серв Энтерпрайз есть?)
3. после установки заплатки на компы с ХР, ХР видит сеть, но после прохождения Киллером, оказывается что нифига нетути. оО втф?


 
M00nL
Мар 4, 2009 at 11:01

Кстати, вопрос проще — в вин 2003 серв СП2, закрыта ли эта дырка?


 
Malice
Мар 4, 2009 at 13:18

пасиб огромное за кидокиллера.
я и не думал что у мну столько побитых файлов будет (


 
Antonio
Мар 4, 2009 at 23:24

M00nL, заплатка не дает вирусу пролезть на компьютер используя уязвимость в Windows, а антикидо уже убивает его. Желательно антикидо выполнить до заплатки, потом поставить ее, перезагрузиться и прогнать антикидо еще разок.
Для Windows Server 2003 SP1 и SP2 добавил явную ссылку на скачивание заплатки.

Malice, пожалуйста ;-), а вообще спасибо за него Лаборатории Касперского :-).


 
MoonL
Мар 5, 2009 at 19:35

спасибо за инфу ) серваки уже обновил и всё почистил. нашёл разносчика в сети))
убил)


 
Antonio
Мар 6, 2009 at 0:28

;-)


 
M00nL
Мар 6, 2009 at 11:30

Кстати, мы Тёски) сейчас вообще сижу довольный, поставил Сервак. сделал 1с Терминалом))) бухи радуются)))


 
Antonio
Мар 6, 2009 at 23:05

M00nL :-)

бухам нравиться работать в терминале?
или у вас слабые компы?
или стало намного быстрее?


 
cableman
Мар 9, 2009 at 18:48

Вопрос на засыпку, плохо ли я искал но кидокиллера на сайте касперского найти не смог, там утилиты серединой прошлого года заканчиваются…


 
cableman
Мар 9, 2009 at 18:59

нашел тулу у касперского поиском, в явном виде она не выложена… ))
сейчас другую проблему решать буду — сервер wsus сети установлен был на виртуалке vmware сервера. не единственный заметьте, но к нему единственному у меня полностью пропал доступ, сама вмварь и недает с ним ничего делать и в него внутрь залогинится немогу, легче снести новый поставить, так как сервак недавно поднял и ни бакапов ни снапшотов еще не делал.


 
Antonio
Мар 9, 2009 at 19:04

В середине статьи (2-й пункт решения, есть прямая ссылка на сайт касперского с утилитой, правда есть уже версия новее (ниже в статье ссылка))
Действительно поиск рулит :-)

Существуют разные модификации вируса кидо, возможно твоя вмварь подверглась нападению какой-нибудь мутации.


 
Antonio
Мар 9, 2009 at 19:06

Про бэкапы не стоит забывать, хотя если сервант простой и не сильно важный иногда проще действительно переставить, чтобы не забывать как это делается ;-).


 
cableman
Мар 10, 2009 at 17:52

При детальном исследовании выяснилось (или просто не обратил внимание в описаниях вирусов), что заражение происходит с помощью дос атаки, и любой мальский собственный антивирусный фаирвол становится непреодолимым препятствием. вот и способ лечения большой сети — выключаем сеть, лечим, ставим антивирус с интернет секьюрити, смотрим логи дос атак — идем к следущему клиенту.


 
Antonio
Мар 10, 2009 at 21:04

еще проще способ — включаем виндовский фаервол, антикидо, потом патчим и снова антикидо


 
Данила
Мар 14, 2009 at 23:01

Спасибо просто приогромное
очочоч помогло))


 
Павел
Мар 15, 2009 at 0:07

О, так намного лучше!


 
migalich
Мар 16, 2009 at 17:17

точно подцепил когда с хохляндией соединение было не знаю что делать док и касперыч не видит а атаки идут


 
Antonio
Мар 16, 2009 at 18:41

migalich, в статье указан ряд процедур для избавления от вируса.
и главное они работают!


 
uzr
Апр 1, 2009 at 11:42

у мну трабла такого плана сеть с актив директори(445 порт нельзя совсем отключить) этот кибо разбушевался адски просто ВСЕ станции заражены сношу эту пакость на 1 машине патчу, а через час кибо опять на месте, поменял все пароли от старых учеток на машине на извращенские непомогает, вопрос что делать? (сканю и кибокиллером от каспера и виндовой тулзой и гмером сверху проверяю сносится легко но возвращается быстро)


 
Antonio
Апр 1, 2009 at 12:54

uzr, а ты пробовал сервак лечить?
похоже он как контроллер домена опять все заражает (с его полномочиями — это не проблема)


 
podonak
Апр 1, 2009 at 14:54

здрасте, странно win vista sp1 home premium + kis2009 чем тока не сканил киллер 3.4.1 нифига невидит др.веб тоже и каспер после обновы тож ничё ненашёл, а обновления недоступно и на сайты фиг залезеш, засел дето сволоч, как быть , Help.


 
Antonio
Апр 1, 2009 at 18:05

podonak,
а что в файле C:\WINDOWS\system32\drivers\etc\hosts — лишнего в отличии от
127.0.0.1 localhost
ничего нету?, если есть оставь только эту строку и попробуй снова.
А как вообще на другие сайты заходит, может проблема в ДНС?


 
podonak
Апр 1, 2009 at 18:29

Antonio,
кроме 127.0.0.1 localhost больше ничего нету, на другие сайты заходит отлично, проблем с DNC не наблюдалось,по описаниям всё подходит под KIDO, но ничего найти так и несмог,при запуске винды закрывается служба SERVISE и ещё кой какие системные проги( от ноутбука ASER), переодически отключается мышка на 2-5 секунды. При попытке автоматического обновления выдаёт ошибку (КОД 8х80190196), зайти на сайт майкрософт чтобы расшифровать немогу, непускает.


 
Antonio
Апр 1, 2009 at 21:02

podonak,
ошибка похоже говорит что потеряна связь с сервером обновлений, что довольно верно, ведь доступа к определенным сайтам нету.
попробуй обновленную утилиту от сегодняшнего числа, скачать можно по ссылке в статье (ищи Добавлено 01.04.09)


 
podonak
Апр 2, 2009 at 4:09

antonio/
Большое спасибо за киллера 3.4.3, у себя ничего не нашёл зато на сервакееееееее который инет шарит:) там попался,появился доступ к сайтам:) буду качать заплатки огромное спасибо за помощ.


 
Antonio
Апр 2, 2009 at 9:56

:-), оказалось все глубже.
рад, что помогло


 
Дима
Апр 2, 2009 at 12:05

Спасибо большое за программу. Не обновлялся касперский не было выхода на сайты касперского, щас всё отлично.


 
Mitrokov
Апр 3, 2009 at 15:33

Спасибо!


 
Алексей
Апр 8, 2009 at 21:20

скачал кидокилера, но он толком не запускается — вылезает окшечко на секунду и закрывается.. Что делать??


 
Antonio
Апр 9, 2009 at 6:39

Попробуйте скачать и запустить обновленную утилиту (KKiller_v3.4.4), может вирус уже мутировал и стал умнее.
Если вдруг не получится. Скопируйте утилиту, например, на диск С, разархивируйте, запустите консоль (для этого нужно набрать команду cmd в Пуск — Выполнить) и после этого в консоли перейти в папку кидокиллера и запустить утилиту, тогда можно будет увидеть хоть что пишут после запуска.


 
Сис Админ
Апр 17, 2009 at 8:26

Спасибо за проги ))) не заражен, но все же скачал для сетки… с 4 апреля заметил очень сильные и непрерывные Дос Атаки … если инет работает с утра до вечера, примерно 900 атак. Поставил Детектор Атак на макс. Наблюдаю постоянное сканирование портов с одних IP… и атаки с других IP… Kido — не плохо гуляет по поутинке….


 
Garry-fm
Апр 18, 2009 at 13:32

Обалдеть что твориться. с понедельника буду свои сети чинить. Спасибо за инфо.


 
Dark Soulbringer
Апр 18, 2009 at 14:27

На моём компе налицо все признаки присутствия Kido, но KidoKiller (v.3.4.5) ничего не находит. Недавно обновил Windows до SP3 (если я правильно понимаю, он уже включает в себя заплатку MS08-067). Причём KidoKiller ничего не находил как до установки обновления SP3, так и после. Что делать в такой ситуации? Все знакомые компьютерщики в недоумении от такой ситуёвины.


 
Antonio
Апр 20, 2009 at 12:55

Dark Soulbringer, попробуй скачать загрузочный диск с антивирусом Доктор Веб (ссылки есть выше) или для начала просто их утилиту CureIt!.
Вообщем, качай антивирусники, качай заплатки, отключайся от сети проверь антивирусником, поставь заплатки что не установлены (проверь утилитой что добавлена сегодня) соответственно где нужно перезагружайся. Если делать внимательно, я думаю все получиться!


 
Garry-fm
Апр 20, 2009 at 17:07

Привет всем. Сегодня проверил компы утилитой КК. Практически все были заражены. После попробовал еще раз. показал ниличие вирусов, но уже в меньшем количестве после 3-й проверки вирус исчез, но на одном из компов все также через 60-80 минут пропадает сетевое окружение, хотя компы пингуються. а к нему доступа нет. Может еще какая то дрянь сидит или уже сетевуху надо менять. (После перезагрузки все работает, но потом опять пропадает.)
Может есть какие нибудь мысли по этому поводу?
Спасибо


 
YaKuT
Апр 20, 2009 at 17:20

Я так и не понял на зараженном компе можно антивирус установить и удалить вирус?


 
Antonio
Апр 20, 2009 at 18:15

Garry-fm, патчи наложил? Утилитой проверь (см. выше ссылку), действительно ли компьютер защищен. Вирус может выбивать сетевую службу.

YaKuT, на зараженном компьютере необходимо выполнить процедуру лечения описанную выше.


 
YaKuT
Апр 20, 2009 at 20:37

не знаю почему но у меня КК и доктор веб разные вирусы находят. причем Кк при каждом новом запуске все равно находит вирусы заплатку установил


 
Андрей
Апр 21, 2009 at 7:22

Добрый день!
Все вышеуказанные заплатки и даже SP3 не в состоянии самостоятельно справиться с червем. В нашем случае, после лечения червя утилитой от Касперского v.3.4.5 сам червь был найден и удален, затем все проверили Dr.Web CureIt! вроде бы все пропало, установили заплатки от Майкрософт, однако комп не отключался от сети, сеть доменная. Через несколько часов вирус появился вновь. Следует вывод, что заплаты, выпущенные Майкрософтом дыру не закрывают (как и было написано на некоторых сайтах, посвященных этой проблеме), либо вирус использует другую дыру в системе, либо плодится в сети используя локальные доменные пароли (на этот вывод наводит то, что в между собой в одну сеть соединены 2 домена, если в первом начиналась эпидемия, то на втором даже упоминания о черве нет).
Но, главное, что хотел сказать, заметил, что NOD32 успешно справляется с данной угрозой. В нашем случае червь звался Konfiсer.AA, Каспер сам его пропустил, а вот мною любимый NOD задержал и не впустил в систему. Все машины в сети с обновлением баз хотябы до 3 апреля справлялись с угрозой. Ни одна из них не заражена. Кстати, и выявлена проблема была на ранних стадиях, когда сначала начались сбои с соединением в 1С-ке, Нод по внутренней почте уведомил об активности червя в локальной сети.
Эта заметка не является одой Ноду, но просто перерыли очень много всего, а способ защиты оказался под носом. В большой сети это наиболее легкий и пока (Слава Богу) результативный вариант.


 
Antonio
Апр 21, 2009 at 10:30

У нас пропатчена масса компьютеров, заражений нет.
Только что очищал компьютер от кидо (был без заплаток и заражен был давно, прямой выход в интернет отключен, проблем никаких не доставлял).
Методика в двух словах:
1. Запустил kidokillera, он нашел процессы и почистил их, авира очухалась и начала кричать вирус!, разрешил ей его удалить.
2. Поставил заплатки (3 шт.)
3. Перезагрузился
4. Еще раз кидокиллером — чисто.


 
Antonio
Апр 21, 2009 at 10:33

P.S. НОД не использую с тех времен, когда был массовый вирус, а НОД его не видел (уже не помню какой). Да и касперского купить проще (есть всегда у наших поставщиков).

Авира бесплатная на паре компов как раритет, одно время рулила, а потом началось, что видит вирус, уже когда система серьезно заражена.
Вообщем, KAV 2009 — рулит!


 
Андрей
Апр 21, 2009 at 12:31

Еще наткнулся на интересный материал: http://bishop-it.ru/2009/03/вопросы-и-ответы-conficker-и-1-апреля/
Вычитал, что заплаты защищают компьютер от заражения червём только, если угроза идет из интернета. Однако, вирус может попасть в ПК и через сменные носители. Тогда только заплаты уже не помогут, вирус разгуляется по вашей внутренней сети. Наилучшим вариантом советуют установить антивирусы с последними обновлениями и отключить автозапуск всех сменных носителей (флешки, диски и т.п.).


 
Alex
Апр 21, 2009 at 14:08

Та же проблема.Залез к нам 2 дня назад этот kido.В домене vista sp1. обновлений(kb) не было.Первое что заметили на висте, грохнулась раскладка клавы в трее, исчезла и язык не переключается, если вручную запустить ctfmon все появ-ся и раскладка работает.Ctfmon упал из-за того,что kido отрубил Планировщик заданий и еще несколько служб(журнал событий, маршрутизация и удал.доступ).Прошлись kidokeeler-ом и еще естьот symanteca прога Symantec W32.Downadup Removal tool , установили все kb(32 шт.с момента выхода vist-ы),все чисто. Но не знаем что делать с завалеными службами,не стартуют ни в какую. Эта дрянь похоже в реестре меня значения. Может кто сталкивался?


 
Dark Soulbringer
Апр 22, 2009 at 0:23

Вот-вот, у меня подобная ситуация была: раскладка клавы в трее исчезла и язык не переключался. Но у меня ещё хуже было — при запуске ctfmon вручную можно уже было переключать язык, но значок языка не появлялся (в параметрах языковой панели все 4 опции — отображать языковую панель на рабочем столе, дополнительный значок на панели задач и т.д. невозможно было отметить флажком из-за того, что эти опции не подсвечивались). Приходилось переключать по памяти, запоминая очерёдность установленных у меня языков — английский, македонский, польский, русский, сербский, хорватский, словацкий. Изматеришься весь, пока до нужного языка доберёшься.
А потом как-то всё само собой восстановилось.
А маршрутизацию и удалённый доступ Kido у меня тоже завалил, только они сами собой восстанавливаться не желают. Тоже не знаю, что делать. Все знакомые компьютерщики только репу чешут.
И ещё вот такой вопрос (может кто сталкивался) — у меня падение сети предваряется тем, что панель задач из голубой на мгновение становится серой (как в Миллениуме), а потом опять голубой, после чего не только локалка исчезает, но и невозможно открыть видео или аудиофайлы (пишет, что нужные аудиоустройства и аудиокодеки не установлены). Это тоже Kido шалит или ещё какая-нибудь дрянь?
P.S. Блин, руки бы оторвать по самую голову тому, кто этот вирус написал!!!!!!


 
Antonio
Апр 22, 2009 at 12:47

Честно говоря, я бы просто переставил систему, так как не люблю каличные поврежденные системы, и на выяснение проблемы и устранение может уйти в несколько раз больше времени, чем на установку и настройку как нужно (со всеми патчами и антивирусниками) системы (которая будет работать быстрее и приятнее).

На важных системах я периодически делаю архив состояния системы встроенной программой ntbackup, но лучше не доводить до восстановления и быть «на гребне волны» :-).


 
YaKuT
Апр 23, 2009 at 5:58

у меня при запуске веба круелта комп рестартится, в чем может быть причина?


 
razor
Апр 25, 2009 at 14:19

таг скачал анти кидо,запустил чтото он там просканировал,комп перезагружаю запускаю антивир каспер произвожу анализ папки виндоус и снова найден кид…что делать !?или мож я чтото упустил?


 
YaKuT
Апр 25, 2009 at 19:58

все вроде заработало. отрубил свитч, поставил 5 заплаток на каждый комп и лечил Кк, потом прогнал еще круелтом от доктора веба. вроде все заработало. поживем увидим.
Вопрос только как быть с 98 и 95 виндой. кидокиллер на них не пашет


 
Antonio
Апр 26, 2009 at 14:56

Касперский говорит: «Операционные системы MS Windows 95 и MS Windows 98 не подвержены заражению данным сетевым червем»


 
Antonio
Апр 26, 2009 at 15:00

razor, комп не в домене случайно?
патчи поставил?


 
YaKuT
Апр 26, 2009 at 17:40

Antonio это хорошо что не заражает 95 и 98. Но данная бяка у меня положила сервак с АСУ. надеюсь больше такого не будет. Кстати терь данный вирус еще на паре фирм блуждает и в милиции)


 
YaKuT
Апр 26, 2009 at 17:44

razor кстать кидо вроде не только в папке винды, System Volume Information сюда тоже залазит. Отрубай сетку, ставь заплатки на каждый комп и врубай КК, потом проверяешь еще раз касперским или круелтом от доктора веба. на 1 комп уходит минут 30. после этого врубаешь сервак и подрубаешь остальных к сети


 
YaKuT
Апр 26, 2009 at 17:46

зы. версия кидо 3.4.6 была у меня


 
Antonio
Апр 26, 2009 at 19:08

Та вирус везде, где нету заплаток (а этих мест похоже немало)


 
YaKuT
Апр 26, 2009 at 21:45

ну как я заметил он в двух папках сидит. System Volume Information и system32


 
Андрей
Май 2, 2009 at 17:26

Доброго дня, вот уже третьи сутки восстанавливаем сеть, раз 15 переустанавливали винду на АД. На серваке который хранит базу данных, упали сетевые службы(api.net не восстановилась даже после переустпновки фремворка)соответственно не запускается SQL. Хелп!!!! ((((((


 
YaKuT
Май 2, 2009 at 22:47

Андрей, компы от сетки отрубай и лечи каждый комп по отдельности. только когда все вылечишь тогда сеть подрубаешь. заплатки не забудь поставить


 
Antonio
Май 3, 2009 at 9:21

Андрей, винду прежде чем пускать в сеть нужно пропатчить!
Хотя мы лечили пару компов не отключая от сети и все было в порядке.
Методика: лечим, патчим, лечим, перезагружаемся, лечим.
И в первую очередь лечить компы с высшим приоритетом (серверы КД, серверы, рабочие станции).


 
Андрей
Май 3, 2009 at 16:45

Спасибо! сейчас сидим на работе ( все компы с утра отрубили от сетки…и «лечим». Кстати! Банальной переустановкой винды он не лечится т.к. заражены все локальные диски,т.е. если в системе два диска на одном С система а на втором или третьем D,E… файлы, он всё равно там сидит в скрытой папке RECICLE. В общем зараза ещё та! Сегодня зашёл в один из магазинов ИОН, походу там тоже KIDO поработал )))


 
YaKuT
Май 3, 2009 at 17:28

хм, не замечал что он сидит в других дисках. Может поумнел. Запусти КК в командной строке kk.exe -f -r , он просканирует все жесткие диски и флешки. при запуске exe файла он сканит только диск где находится винда


 
Aleksei
Май 5, 2009 at 20:51

Здравствуйте друзья, вот столкнулся с такой проблемой, с КИДО, вообщем эта дрянь по сети рассползлась везде. Скачал кидокиллера 3,4,6 на котроллере домена запустил, при проверке диска С:\ выдает: program crashed KidoMD5Detect. Не могу найти что, это??? На некотрых серверах такая же фигня.


 
YaKuT
Май 5, 2009 at 21:28

отрубай свитч и лечи компы по отдельности


 
Antonio
Май 5, 2009 at 21:52

Aleksei, под Администратором запускаешь?
попробуй запустить с источника недоступного для записи

попробуй новую версию KK_v3.4.7


 
Aleksei
Май 6, 2009 at 11:01

Свитчи отключены, под администратором. использовал утилиту 3.4.7. эффекта нет. Написал в суппорт каспера, жду ответа


 
Antonio
Май 6, 2009 at 12:11

Aleksei, пробовал утилиту Dr.Web CureIt! ?
А триального или лицензию касперского KAV 2009 ставил? (хотя для сервера проще первый вариант или другой KAV)


 
Андрей
Май 6, 2009 at 13:39

Мы сервера в итоге переформатировали, т.к. КК нашла его вроде как удалила, но сетевые службы так и не заработали в полном объёме, да и ВИНДУВС уже тормозить начал. Локальные машины 90% вылечили. Те машины на которых утилита КК ничего не нашла, но визуально есть папки с этой «сранью», мы переформатировали. Сейчас всё супер, админ отдыхает после трёх суток проведённых на работе с 30 апреля по 2 мая )))))


 
Aleksei
Май 6, 2009 at 21:18

К сожалению и куреит ничего не нашол, так же пробовал fix…(как-то) от саймантека, на файловыйх серверах нашел и прибил, что же касается контроллера, такая ошибка осталась. Тех. поддержка Касперского не отписалась :(
В общем, что в итоге: контроллер плохо работает, точнее служба dhcp, dns новые станции в домен крайне тежко заходят. Поясняю, новые станции айпи адреса через дхсипи не получают, вводим вручную из зоны дхсипи пытаемся зайти в домен, а в ответ не найден или не существует такой домен. Но, что самое странное после того как подавляющая часть клиентских компов была выключена, новые станции стали получать адреса автоматически и нашли домен.
Могу посоветовать прогу для поиска инфицированных станций (по типу — снифера) ConfickerScanner.exe, и обязательно закрывайте порты 445 и 139 на входящий трафик реально спасает. исходящий (с инфицированных станций) уходит по разным портам, не обязательно по выше упомянутым портам.


 
Aleksei
Май 7, 2009 at 11:28

утилита nslookup показала след:
с компьютера который в сети (домене) видит имя домена и его адрес
с компьютера который не в домене видит адрес только, имя домена и контроллера не видит
Подскажите, как исправить?


 
Blondecoder
Май 7, 2009 at 11:57

Спасибо большое. Так понятно, испытываю гордость что сама справилась)


 
Аноним
Май 7, 2009 at 20:12

Помогите! Я тоже столкнулся с этим вирусом! Я просто хотел уточнить, после выполнения этой инструкции ХР работать будет? Мне всего 12 лет а у меня в компе этот вирус…


 
Antonio
Май 7, 2009 at 22:18

Aleksei, странная ситуация, может какие-то службы повредились или отключены?
Не встречал такого.

Blondecoder, ;-)

Анонимно, не бойся хуже уже не будет :-) (если конечно все делать правильно)


 
Лас
Май 8, 2009 at 18:50

Спасибо))) уважаю)))


 
Aleksei
Май 9, 2009 at 20:26

Проблему решил созданием новых групповых политик и переустановкой дхсипи сервера. Kidomd5detect решил отключением точек восстановления и очисткой временных файлов. пока на серверах все корректно.
На рабочих станция (в доменной политике) прописал при завершение работы прогонять утилиты klwk.com /s /y и KK.exe -f -z -a -j. Думаю поможет. в вотроник напишу


 
Valja
Май 15, 2009 at 22:54

Спасибо огромное, комп чист. А на флэшке антивирус показывает всё тот же вирус, но удалить не может. Как с помощью кидокиллера почистить флэшку? :))


 
Antonio
Май 17, 2009 at 22:15

Valja,
Ключ для запуска утилиты KK.exe из командной строки:
-r сканировать flash-накопители


 
GEO
Май 19, 2009 at 15:30

Можно по-подробнее, как заполнить командную строку ? Префиксы..


 
GEO
Май 19, 2009 at 15:37

Вот это да ! КК помог !!! Но как насчёт флешки ? С уважением.


 
Antonio
Май 19, 2009 at 21:35

GEO, добавил таблицу с ключами

Пример сканирования системы + флешеки

c:\KK_v3.4.7>kk -r


 
GEO
Май 20, 2009 at 17:44

Не получается… Может знаки другие ? Сделал копию проги, переименовал, поставил на С:…. Может я — лох какой ?


 
GEO
Май 20, 2009 at 17:49

Кстати ! Отремонтировал комп у подруги вчера. Тоже не могла вылезти на сайты. Самое интересное, что у меня сегодня всё снова повторилось после сетки, и опять пришлось запускать КК..:(


 
Antonio
Май 20, 2009 at 20:28

GEO, оно с начала сканит систему, а потом флешку,
проще вручную удалить да и все, если есть подозрения
см. таблицу с ключами, вроде бы все просто

включи фаейволл, стандартный виндовый вполне поможет и
заплатки поставил?


 
Андрей
Май 21, 2009 at 8:40

Заплатки, порты, и обновить антивирус.


 
GEO
Май 22, 2009 at 21:00

Пытаюсь обновить антивирус, ставлю последнюю версию вебера от 19 мая, но система его не ставит. Ставлю от 17 декабря — ставит, но ничего не определяет. Замкнутый круг… Вперемешку с со способами выхода в интер. КК постоянно включаю , и он даёт одни и теже результаты — комп заражён, комп был вылечен… Забавно, но не весело !


 
Antonio
Май 23, 2009 at 9:33

GEO, в статье и комментариях указаны способы, которые позволяют вылечить компьютер в 99.99%, если это конечно кидо.

Попробую посоветовать еще поставить последнего касперского, хотя бы с временной лицензией.

И заплатки 3 шт — это важно!


 
GEO
Май 23, 2009 at 9:46

Я в ИНТЕРЕ недавно, поэтому не знаю, что такое — заплатки. Выхожу через телефон = всё нормально. Через сеть — сразу подхватываю вирус. Никому, кроме вебера не доверяю. Каспер очень систему весит. Нод — не всё проверяет. Адинф — только на старте.Про нортон — вообще молчу. Может посоветуете что-то ещё?


 
Antonio
Май 23, 2009 at 10:41

GEO, заплатки — это обновления для ОС (в данном контексте).

смотри в статье

Критическое обновление для системы безопасности (заплатки от уязвимости MS09-001):
— Windows XP (SP2, SP3) (KB958687) (MS09-001) — WindowsXP-KB958687-x86-RUS.exe
…..

скачивай 3 шт. и устанавливай — это обязательно

а вообще читай внимательно, все уже написано больше чем по несколько раз

P.S. может касперский и тормозит систему — зато проверяет!
если у тебя не совсем слабая машина, все должно быть в порядке


 
GEO
Май 23, 2009 at 11:18

Систему от майкро не обновляю по следующим причинам: обновления сказываются очень плохо по многим программам. Многие стоят собственные — крякнутые. Многие — от сам лаб. Но, спасибо за поддержку !!! Всё- таки можно у вас узнать ключ для флэшки ? С уважением GEO


 
GEO
Май 23, 2009 at 11:36

Привет! Хотел бы с тобой связаться онлайн ! Но по аське — не получилось ! Мне хотелось бы у тебя поучиться всяким премудростям. Вижу, что ты — человек хороший, со своими тараканами. Как поместить свою фото на твой блог ? Я живу в ВОЛОГДЕ. У меня 6 детей. Но как они уснут, я забегаю в ИНТЕР. Мне всё интересно. Хотелось бы просвятиться у знающего человека. Огромное спасибо за поддержку!!!


 
Antonio
Май 23, 2009 at 12:55

GEO, обновления безопасности от Microsoft для Windows не должны влиять на лицензии! Это им не выгодно, так как они понимают, что в мире установлено много нелицензионных ОС Windows и если их не будут патчить в плане безопасности, то будет очень плохо (еще большие бот-нет сети, потери личной информации, крахи систем), а это в свою очередь будет вызывать еще больше негатива на ОС Windows.

В общем, обновления безопасности нужно устанавливать. (это грубо говоря как обновлять базы антивируса, иначе его эффективность падает и через некоторое время он уже будет просто не нужен)

Честно говоря учителя из меня не выйдет, так как не люблю объяснять простые вещи (только могу это делать директорам, которые платят зарплату :-)

Для обучения существуют книги, форумы, статьи…

Да и чтобы не объяснять это каждому лично люди и делают иногда форумы и блоги. Еще плюс этого в том, что в интернете при решении проблемы, когда она излагается открыто могут помочь советами и другие пользователи.

Скажу кратко, можно писать тут, по мере возможностей я буду помогать.
И мои советы будут общедоступными и возможно помогут кому-то еще.

По поводу аватарок — это просто — ключевое слово в google — «gravatar lecactus» (без кавычек) и будет подробнейшая статья как это сделать


 
majestik
Май 28, 2009 at 15:39

Networm.win32.kido всех модификаций.
Господа не парьте пожайлуста народ. Патчи от мелкософта не помогаю устранить уязвимость. Упаковщик как подсаживался так и подсаживается на комп-жертву. Также подсаживается процесс в оперативную память. Резко возрастает размер процесса svhost. После чего начинается атака на остальные машины в сети. При использовании виндового домена, сетевые ресурсы становятся недоступными из-за того, что блокируются все учетные записи.
Забудьте про доктора веба, кидокиллер + каспер 6 или кисюня 2009 (KIS2009) вам в помощь


 
GEO
Май 28, 2009 at 18:15

Новый Кидо рушит не только возможность доступа к страницам обновления сайтов Microsoft и антивирусников, он запрещает видимость скрытых файлов системы и стирает файл NTLDR в корневой папке системного диска, чем вызывает ошибку \"missing\". Восстановить можно только через загрузочный диск или, перезаписывая данный файл с другого носителя. В чем я только что удостоверился… Пробовал через реаниматор. Потом дошло… Восстанавливаем загрузочную запись диска. Все идет!!! Проверяем на Kido вашей утилитой. Удалений целая куча!


 
Antonio
Май 28, 2009 at 22:09

Народ, где вы их (вирусы) умудряетесь находить?
Как поставили обновления на все машины, проблем никаких.


 
Antonio
Май 28, 2009 at 22:09

Ну и KAV 2009 самособой..


 
GEO
Май 29, 2009 at 18:19

Сетка постоянно подключена, а она заражена !


 
АльТаиР
Июн 11, 2009 at 22:00

Все прочитал, много раз улыбнулся, пару раз задумался…
По порядку … (мы на предприятии бодались в январе и в самом начале эпидемии)
1. Отключить все компы одновременно от сети можно в случае небольшой сети, но когда у тебя 7 серверов и 300 рабочих станций — вручную сами понимаете …
2. КидоКиллер удачно вкручивается в KasperskyAdministationKit, и собственно одновременная проверка всех 300 компов результат очень даже приносит.
3. Очень помогает Фаервол KWS6.0, по крайне мере атаки точно не пропускает.
4. Очень хотелось бы Каспера, хотя бы 6-го, хотя бы чисто антивирь на каждую машину, но реально есть места в сети (машин 10) — куда установка Каспера равнозначна помещению компа на свалку (а эта печатная машинка как всегда критически важна для производственных нужд).
5. Вариант WSUS + KidoKiller из AdmKit + Полная проверка всего парка KWS6.0 приводит к 90% вычищению заразы из сети.
6. Хорошо помогают от сетевой перегрузки управляемые коммутаторы второго и выше уровней.
7. во время войны в январе выжило 10 компов с интересными симптомами (KidoKiller ничего не находит, патчи стоят, полная проверка ничего не показывает) примерно раза 3 в сутки на каждой машине из ниоткуда материализуется тушка кидо и тут же мочится Каспером. Жить не мешает, просто логи сервера администрирования портит, уже и так и сяк и как только не пробовали. В конечном итоге пришли к выводу, что эти 10 машин тупо форматнем. Просто сам факт интересен, что жить не мешает, но и вынести удаленно не получается.


 
Antonio
Июн 12, 2009 at 20:41

АльТаиР, правильно для каждого случая свои решения,
спасибо что описал свои методы для решения в крупной сети.

Хочу сказать, в большинстве случаев достаточно даже включения штатного фаервола Windows.

А такие компы с разными интересными симптомами почти всегда легче и быстрее переформатить (а заодно почистить и смазать, а может даже и добавить ОЗУ), тем более что они потом после этого лучше работают

P.S. судя до фото и описанию вашей команды (с вашего сайта) складывается впечатление что она у вас хорошая, повезло вам :-)


 
Аноним
Июн 13, 2009 at 10:21

Что за вирус Sector 17 ?


 
GEO
Июн 13, 2009 at 10:22

Что за вирус Sector 17 ?


 
GEO
Июн 13, 2009 at 10:24

Почему разница во времени 2 часа ? между нами ?


 
Antonio
Июн 14, 2009 at 19:50

GEO, привет, ты о чем?


 
Antonio
Июн 14, 2009 at 20:56

GEO, увидел, действительно на час назад выдает, нужно проверить часовой пояс

добавлено:
при детальном рассмотрении оказалось вордпресс не переводит время автоматом,
так и написано «К сожалению, при переходе на летнее время вам придётся вручную обновить это значение. Да, неудобно, в будущем мы это исправим»

поставил UTC +3 теперь будет порядок
спасибо


 
Antonio
Июн 14, 2009 at 23:07

Что за вирус Sector 17 ?


 
АльТаиР
Июн 15, 2009 at 7:07

Antonio, на самом деле штатный файервол у Винды несколько неудобен, опять же в условиях большой сети. Он блокирует все и вся, особенно недолюбливает средства удаленного мониторинга и управления. В случае файервола KWS, существует возможность централизованного управления списком исключения, что существенно упрощает задачу поимки зверька.
Машинки на самом деле форматирование любят … но тоже возможность есть далеко не всегда, например у меня есть машинка с такими симптомами у ТехническогоДиректора, а он суровый мужик, и лишний раз на глаза ему лучше не попадаться … а если еще про вирус заикнуться … ну нафиг, уж лучше удаленно извратиться как нить, или забить …
А за команду спасибо … стараемся …


 
GEO
Июн 15, 2009 at 19:50

Добрый вечер ! Как ты обошёлся с Sector 17 в сетке ? Не могу удалить !


 
GEO
Июн 15, 2009 at 19:52

Там появляются постоянно его модификации, причём Sector 5 — основная !….


 
Antonio
Июн 15, 2009 at 23:16

GEO, везде пропатчили системы и поставили касперского 2009.
Пока никаких Секторов не видно.

Завтра буду смотреть, что к чему, навскидку — лечение с загрузочного CD.


 
Инна
Июн 17, 2009 at 15:21

Уважаемый Аntonio ! Хочу выразить Вам искреннюю, глубокую признательность
за помощь! Только благодаря Вашему сайту я поправила свой компьютер.
Все работет,открываются антивирусные сайты и можно восстановить систему. Мне 40 лет, я женщина и ко всему блондинка , и Ваш компьютерный язык для меня всеравно, что птичий. Одним словом — я Чайник. Но даже до меня дошло, что нужно сделать,чтобы исправить положение.
Еще раз огромное спасибо !


 
Елена
Июн 17, 2009 at 17:11

Здравствуйте Antonio!
Большое спасибо за информацию! Неделю назад начались проблемы с этим самым червем. У нас в сети 19 компов, т.ч. проблемы с сетевым окружением были серьезные. Единственное «но» — это то, что вирус вроде бы как лечится, удаляется. А через пару дней опять обнаруживается. Я предполагаю, что в случае, если компы лечить практически одновременно, НО не отключая от локальной сети, толку не будет. Если я права, то придется выделять день на лечение всех машин. Но лучше бы получить подтверждение от Вас. Заранее спасибо!


 
GEO
Июн 17, 2009 at 18:20

Antonio !!! C ,большим уважением к Вам ! Может быть попробуем всю сетку пролечить ? Извините, но мне не очень наравится, когда я комп по нескольку раз на дню пролечиваю, заодно и свой, а мне постоянно высказывают.. » вирус сектор17 присутствует» Может можно пролечить сетку, будь я юзером ? Или всё-таки на сервер отправляться ? И их ругать, что они ничего сделать не могут ?


 
GEO
Июн 17, 2009 at 18:24

Да, правда, Елена ! Ничего без отключения не выйдет ! Прости, Antonio , за совет, но, может я не прав ?


 
Antonio
Июн 20, 2009 at 10:51

Инна, спасибо за ваш хороший отзыв.
Рад, что у вас все получилось :-)


 
GEO
Июн 20, 2009 at 11:04

ANTONIO ! А Вы не знаете способов восстановления информации с флешки — MicroSD? Возникла проблема — не могу восстановить файлы, возможно некогда стёртые. Пытаюсь восстановить с помощью Total Commander 5.53 Ericsson limited
Recovery, но ничего не получается. Выдаёт неверный формат файлов jpeg. Помогите, если сможете.


 
Antonio
Июн 20, 2009 at 11:26

Елена, GEO, извините что не ответил более оперативно
я проводил лечение не отключая ничего, методику я описывал несколько раз кратко в комментариях. Это помогло. Давно уже никаких симптомов и жалоб.

Но мы это проводили быстро и как бы в самом начале когда было заражено машин 6 и похоже одной из первых модификаций.

Чистим — Чистим — Патчим — Проверяем чистим — Перезагружаемся — Проверяем чистим

Эта методика меня не подводила.

НО! Если заражен сервер (контроллер домена и компы в домене)!, то это все не поможет так как заражение будет происходить опять!
Или у вас слабые Админские пароли на сервере или компьютерах пользователей — в таком случае тоже зараза пройдет.

GEO, а админ(а)(ов) нужно пинать в любом случае, опять же пользователь не может знать всех фишек настройки ПК и конкретной сети


 
Antonio
Июн 20, 2009 at 11:47

GEO, как бы тема у нас про кидо,
но ладно,
информацию не восстанавливаю, так как стараюсь не допускать ее уничтожения (например, контролем за своими действиями и дублированием)

поиск выдал такую интересную программку — CardRecovery, попробуй


 
GEO
Июн 21, 2009 at 9:27

Спасибо !


 
Елена
Июн 22, 2009 at 8:24

Спасибо за ответ! Мы выбрали один день и проверили все компы по Вашему методу. Пока ничего не появлялось. Будем надеяться, что _звери_ не вернуться :)


 
SergKras
Июн 26, 2009 at 17:12

Проблема в 2000 с Kido. Все решения предложенные не помогли. Большая локальная сеть в организации. На ХР заплатки вроде бы держат, а на 2000 пропатченные компы не держат. Замедляется трафик очень сильно. Если кто нашел решение пусть сообщат на этой странице или по адресу kharkov-ddu@yandex.ru


 
АльТаиР
Июн 26, 2009 at 22:39

SergKras, попробуй скачать с Сервера касперского KWS 6, и Kaspersky Administration Kit, поставить Каспера на все 2000-е хотя бы с демо ключем, скачать отсюда последнюю версию КидоКиллера и вкрутить ее в адм-кит, после чего полный одновременный прогон всей сети КидоКиллером, после полный прогон всей сети файловым антивирусом со свежими базами. Перед началом массовой проверки включи на всех клиентах Сетевой экран … Сразу увидишь в отчетах о сетевых атаках кто именно больше всего бузит, и на время полной проверки при включенном сетевом червяк не сможет отползти в сторону. Групповыми политиками отключи все автозапуски и по возможности отключи все флешки, до пока с заразой борешься. По идее должно помочь. Теретически все вышеописанное можно сделать не вставая с места. Совсем плохие машины вышибаешь из сети (блочишь в AD или сносишь ntdetect) и они сами попадают к тебе на стол (на что ты резонно замечаешь, что вирусы пожрали). Их уже в ручную перелопачиваешь с отключенной сетью. Если совсем клиника — форматЦевтика тебе поможет.


 
Antonio
Июн 26, 2009 at 22:40

SergKras, попробую предположить — Windows 2000 полностью поставлены обновления?


 
Аноним
Июл 11, 2009 at 23:11

у меня не реагирует KK на нажатие клавиши r, не могу удалить кид с флеш накопителя, касперский находит эти вирусы но лечить или удалять отказвыается. я уже в отчаянии.


 
Antonio
Июл 12, 2009 at 19:07

имелось ввиду, что запускать нужно с ключом -r

kk.exe -r


 
Шымкент
Июл 13, 2009 at 21:48

Мне тож помогите, у меня на комп-е тож такой вирус, но не могу удалить. Че делать а?


 
Antonio
Июл 13, 2009 at 22:02

Шымкент, читай и да прибудет с тобой сила :-)


 
АльТаиР
Июл 14, 2009 at 7:02

Еще одно интересное действие вируса. На Серваке стоит Каспер 6-й (для файл серверов), то есть всю файлу держит в поряке, но в сети 15 машин, под завязку забитых Кидошкой. И каждая считает своим долгом пострелять, и конечно же в сервак в том числе. Вредоносной файлы не появляется, Каспер держит, а вот в Шедулер (назначенные задания) задачка прописывается. По расписанию запускается rundll и вывешивается в процессах. Я работал с сервером, у которого было 120 заданий на запуск Кидо, так вот он вывешивался на вторые сутки тупо отдавая все ресурсы randll’ам, которых в процессах под 200 штук набиралось за сутки-двое.


 
Ольга
Июл 14, 2009 at 9:30

сетка всего 15 машин но дело в том что невозможно отключить одновремено все . .Так как стоит 1С в терминальном режиме и завод работает круглосуточно.
Впринципе вашим методом вылечились все машины не отключаясь от сетки. Кроме 1. Но эта 1 теперь занимается тем что рассылает Кидо повторно. по всей сетке. ЕЕ от сети отключила и все протестила. После перезагрузки вирус всеравно находится.


 
Antonio
Июл 14, 2009 at 23:20

Ольга, мы проблем с вирусом не встречали, методика описанная выше помогала нам всегда. Но если уж что-то совсем плохое, то накатить новую систему да и все. Делов-то на пол дня (трогая машину пару раз в час в лучшем случае, главное не забыть за нее совсем :-).

Сегодня был на семинаре Микрософт, они рассказывали как быстро и удобно устанавливать виндовс по сети :-), так что если такое организовать вообще красота будет.

А я на днях себе Windows 7 с флешки поставил, кто не боится рекомендую попробовать :-) (для домашнего использования)


 
Гадж
Авг 3, 2009 at 16:03

Работаю на заводе пока и.о. сис админа (сам инж-электроник) как побороть кидо на серваке (2003винда)? В сети 110 машин проблемы разные методику описаную сдесь и спользую ток ставлю Security_preSP4_9.7.15 ну и кидо килер и от доктор вэба прогой тож гоняю и есчё от майкрософта софтиной Windows-KB890830-V2.12,
но есть проблема слетает учётная запись в домене на некоторых машинах и помогает ток перезагрузка и то невсегда небыло ли у кого таких проблем и пути решения их? Заранее спс


 
Гадж
Авг 4, 2009 at 16:14

И есчё вопрос как с сп1 быть виндой только переставить?


 
Antonio
Авг 6, 2009 at 23:59

Гадж, может пора ее обновить до SP3?


 
Гадж
Авг 7, 2009 at 9:07

Ну как бы обновить непроблема ток нет гарантии что с sp1 до sp3 поставиться шансов маловато а эт комп главной в отделе кадров и писчит что пока работает пусть работает типа нелезь.


 
Antonio
Авг 7, 2009 at 23:57

Гадж, если не хочешь обновлять, попробуй поставить патчи на свою систему.
Вроде кардинальных отличий там нет.
Если что в любой момент можно удалить.
А лучше если винда лицензионная (как и должно быть :-))
не забывать использовать Windows Update, пусть не постоянно, но иногда это делать.


 
Сицилиец
Авг 13, 2009 at 15:49

А у меня такая вот проблема: вирусы поудалял на всех станциях, но вот некоторые станции \\&quot;потеряли сетевую видимость\\&quot; — т.е. с них в сеть доступ есть а к ним зайти невозможно. Видно только имя компьютера и он пингуется, а при входе на него соосбщение \\&quot;Нет доступа к \\\\\\\\Имя_компа. Вход в систему не произведен: выбраный режим входа для данного пользователя на этом компьютере не предусмотрен\\&quot;. Вход выполняю администратором домена со всеми правами. Все необходимые сетевые службы на станциях запущены. Переставлять систему трудновато, т.к. на этих станциях есть программы инсталляция которых потребует вызова специалистов из головного офиса предприятия.


 
Анатолий
Авг 13, 2009 at 23:35

Сегодня нашел у себя Net-Worm.Kido!sd6 это что разновидность червя Net-Worm.? Как лечить PS Tools internet securiti необновляется и ни на один антивирусный сайт незайдеш.похоже с работы на флешке домой припер.как только ее вставил антивирь ругнулся и все на флешку не пустил. я сканировать начал нашел 8 червей опасных червей или троянов х.з.( вчера запланированное сканирование невыявило ничего)вроде вылечил но сам антивирь сцуко обновлятся неможет кто то тепускает его в инет.Только на ваш сайт зайти смог.Что делать?


 
Antonio
Авг 15, 2009 at 12:44

Анатолий, если дело запущено — проще переставить.
Если хочется экспериментов, то антивирус Зайцева и KAV 2010 (на английском сайте Касперского) тестовая месячная версия.


 
Antonio
Авг 15, 2009 at 12:47

Сицилиец, а зачем заходить на рядовые компьютеры сети?
Точно все службы включены?
Перезагрузись и посмотри сообщения об ошибках в системном журнале,
может найдется служба которая «падает»


 
Андрей
Авг 24, 2009 at 11:56

Здравствуйте!!! Вопрос такого плана: проверил несколько раз KK.exe весь комп со всеми параметрами-ничего. но симентек постоянно ловит кидо в файлах с рандомным именем и разных разшираниях, таких как .kpe, .bmp, .png и ещё какой-то(не помню)… но симантек туповатый и поэтому файлик этот не даёт себя удалить и перепрятывается, антивирь бедный замучался бегать за ним. машина в сети…. касперского ставить неохота. Подскажите что-нить? ктритич.обновления стоят. СПСИБО ЗАРАНЕЕ!!!


 
Сицилиец
Авг 25, 2009 at 9:55

Antonio, заходить на рядовые компьютеры сети необходимо по работе (обновить рабочие программы или настроечные файлы, или обычные пользовательские файлы забрать и т.д.).
А проблему разрешил — вирус (возсожно и не кидо, были и другие вирусы) отключил все типы учетных записей в локальной политике безопасности в разделе «Локальные политики—Назначение прав пользователя—Доступ к компьютеру из сети». По умолчанию там прописаны «Все,Администраторы,Пользователи,Опытные пользователи,Операторы архива»


 
Antonio
Авг 27, 2009 at 23:24

Андрей, ответы в статье и комментариях давал уже раз 10.
Нового ничего не могу сказать.

Сицилиец, интересное, но не совсем понятно почему работающее решение вопроса :-)


 
malish78
Сен 5, 2009 at 9:37

Андрей почитайте (ссылка удалена, на той странице было много «взрослых баннеров») возможно только это поможет, ну а если вручную не удастся удалить то только сносить ОС


 
alex
Сен 18, 2009 at 14:43

Я простой юзер,прочитал Ваши отзывы,заметки и пр.Может подскажете как удалить данный вид вируса с компа НЕ из сети?Рекомендации выполнены в120% объёме,но Format всё не подходит…


 
GEO
Сен 19, 2009 at 9:08

был заражён около 3 недель . Ничего не мог сделать. Догадался вчера поставить DR WEB Live CD но только в режиме без оболочки, сегодня утром включился, был на проверке часов 16, и, о — радость — всё работает !


 
Antonio
Сен 20, 2009 at 23:23

alex, в статье как раз и говориться как вылечить компьютер, ну а сеть собственно состоит из компьютеров и если ПК в сети нужно лечить как правило и другие компьютеры. И что за format не подходит? чем он не подходит?

GEO, интересный ход, а что с оболочкой лайв сд не находил ничего? или утилитка антикидо?


 
Андрей
Сен 21, 2009 at 10:00

Доброго дня всем! Вижу кидо «живее»всех «живых»…. P.S. Какой хороший вирус, «молодцы» кто его сделал. Как личит и восстанавливать об этом написано выше. Если выполнять последовательно все действия всё лечится. (Однако сервер SQL нам всё равно пришлось переустанавливать)


 
psiho
Сен 21, 2009 at 13:00

спс — за инфу
да и передайте эту \"хрень\" антивирусным компаниям — нод например до сих пор не находит


 
Андрей
Сен 21, 2009 at 14:12

НОД её \\\"хрень\\\" отлавливает на стадии автозагрузки с флешкарт.


 
alex
Сен 22, 2009 at 15:33

Домашний комп)супруга на дипломе)потому и не форматирую)данных много.два винта.Может ли исходник вируса крепится к файлам .jpg).doc).txt).rtf).ppt).xcl ??Я поступил след образом:скачал и записал заплатки и каспера с базами на CD.Выдернул сетевой шнур.Провёл последовательно все процедуры,рекомендованные на сайте Касперского(кроме-удалить исходный файл вируса!-где он??).Проверил лайфом веба-рез сканирования-0.Отформатировал винт с системой )поставил установку)при первой же загрузке слетели дрова аудио-кидо во всей красе!отключил винт с базой отформатировал 1-й винт заново)поставил систему)антивирус и латки с СD.Всё ОК.Воткнул 2-й винт и опять всё по новой)правда система устояла)но кое-чего нет(не отображаются сетевые подключения,исчезла звуковая панель)По существу всё…


 
Antonio
Сен 25, 2009 at 16:50

alex, есть такие вирусы что пишутся в скрытые папки System Volume Information, $Recycle.Bin и в таком духе, а есть что и разным форматам цепляются.

Странное дело, что после форматирования и установки чистой системы, подключение второго винта вызвало проблемы, ведь антивирусник должен был поймать вирусы.

Такого не встречал, может вирусы сильно новые или базы старые?
Что за антивирусник кстати?


 
Скептик
Окт 4, 2009 at 20:12

Это наверно самая полная и лучшая статья по удалению этого подлого вируса Kido.
Спасибо, я наконец удалил его.


 
Uri
Окт 7, 2009 at 10:17

а где взять заплатки (если они есть) на Вин2000 Сервер?


 
Дима.Sk
Окт 21, 2009 at 23:42

Использовал по этой ссылки (Добавлено 05.05.09
Новая версия утилиты для удаления вируса — KidoKiller 3.4.7 скачать) + Kaspersky.
Удалил этого вируса Kido, но проблема перестал работать Media Player Classic.
Устанавливал и переустанавливал , а он всё равно не работает!!!
ПОДСКАЖИТЕ ЧТО МОЖНО СДЕЛАТЬ ?????????????????????


 
Александр
Окт 22, 2009 at 15:27

не могу активировать касперского, пишет, что нет доступа к серверу, скачал патчи, но они не обновляются, говорит, что обновление не применимо к этой системе, запускаю КК, он ничего не находит…что делать???
Заранее спасибо за помощь


 
Antonio
Окт 23, 2009 at 2:05

Uri, вин2000 сервер проще обновить всем чем есть и это будет правильнее,
если крайне надо именно их и все, то поиском находится на майкрософте без проблем.

Дима.Sk, как именно не работает плеер?, а другой работает какой-нибудь?
попробуй переставить кодеки, например, k-lite megapack

Александр, проверь файл c:\Windows\System32\drivers\etc\hosts
по-умолчанию строчки начинаются с # (обозначение комментария), если это не так очисти его полностью.

P.S. кстати, раз тема еще актуальна, закачал нового кидокиллера — уже версия 3.4.13 (ссылка в конце статьи)


 
Дима.Sk
Окт 23, 2009 at 21:42

Кодеки переставлял и плеер тоже (K-Lite Mega Codec Pack 5.0.0.0 ; Media Player Classic — Home Cinema или Media Player Classic) ни чего не помогает, плеер не работает. Он не работает так: вся система видит плеер , то есть плеер установлен всё ОК!!! — НО ПРИ ОТКРЫТИИ ПЛЕЕРА ИЛИ ВИДЕОФАЙЛА САМ ПЛЕЕР НЕ ОТКРЫВАЕТСЯ (НУ НИ ЧЕГО НЕ ПРОИСХОДИТ, ДАЖЕ НЕТ РАМКИ ПЛЕЕРА).
Установлен и дугой плеер Light Alloy , он работает как и работал до KidoKiller.


 
Antonio
Окт 23, 2009 at 23:28

Дима.Sk, нужно попробовать переустановить (обновить) сам Windows Media Player, например, до WMP 11.
Или просто использовать другие плееры, раз они работают.

Можно попробовать выполнить команду
sfc /SCANNOW
(Проверка целостности всех защищенных системных файлов и восстановление, по возможности, проблемных файлов.)


 
Дима.Sk
Окт 24, 2009 at 18:51

СЕГОДНЯ:

Обновил Windows Media Player (WMP 11) — Ни каких результатов.

Выполнял команду «sfc /SCANNOW» — Ни каких результатов.

Переустанавливал K-Lite Mega Codec Pack — Ни каких результатов.

Media Player Classic — Home Cinema — ВСЁ РАВНО НЕ РАБОТАЕТ.
Теперь просто использую другой плеер — Результат такой, приходится его терпеть.

Скоро буду переустанавливать всю систему, так как другого выхода нет
(главное не забыть установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001).


 
Antonio
Окт 25, 2009 at 23:21

Дима.Sk, такое бывает, возможно был не только кидо. Печально, конечно.
Но систему иногда нужно переставлять — лучше будет работать.
Рекомендую попробовать Windows 7, правда незнаю можно ли сейчас ее легально и бесплатно скачать и использовать (скорее всего уже нет), но найти по-идее можно.

Я себе ставил еще вроде в августе RC, когда она была бесплатно доступна с сайта микрософта. Кстати классно ставиться с флешки :-).


 
Anna
Окт 26, 2009 at 11:35

Спасибо за статью, наиболее подробной и актуальной информации я не нашла даже на сайте касперского!:)


 
Anna
Окт 26, 2009 at 12:16

Еще с марта, у нас стоят на всех серверах и клиентах необходимые патчи, остановлены службы планировщика заданий (правда только на одном из серверов пришлось данную службу оставить), регулярно загружаются свежие базы касперского, периодически прводим запуск утилиты kidokiller. Приходим сегодня в офис и все сервера заражены, правда каспер тут же удалил все вирусы kido, но потом машины опять перехватили его друг у друга. Скажите пожалуйста может необходимы еще какие-нибудь security update или другие способы по устранению этого kido? Заранее благодарю


 
Андрей
Окт 26, 2009 at 18:16

Доброго всем времени суток! Анна, самый надёжный и верный способ: ПОМЕНЯЙТЕ СВОЕГО СИСТЕМНОГО АДМИНИСТРАТОРА. Ведь это его вопрос, и почему он до сих пор ничего не сделал для того чтобы этого КИДО больше небыло в вашем офисе.


 
Андрю
Окт 26, 2009 at 20:09

Большое спасибо!


 
Antonio
Окт 26, 2009 at 21:52

Спасибо за отзывы :-)!

Anna, очень странная ситуация, похоже что-то у вас пропущено (недосмотрено) базовое, типа слабозащищенная учетная запись администратора или вирусы на его ПК, может доступ ненадежных лиц к управлению серверами.

Искать причину в данном случае непросто, но нужно взять и провести анализ инфраструктуры в целом.

Похоже Андрей прав (надеюсь сисадмин не вы :-))


 
kkongo
Окт 29, 2009 at 16:41

На днях киндеры не могли войти Вконтакт . Пишет- для разовой регистрации отправь смс на 7722. Отнеситесь мол с пониманием и подпись Павел Дуров. (основатель контакта). Не хотелось верить, что он на это пойдет. Выяснил в инете, что смс стоит 346 рубликов на 7722. в C:\WINDOWS\system32\drivers\etc hosts блокнотом открываешь и удаляешь строки с контактом (подмена IP адреса на другой). И чьих это рук дело??? У одноклассника сына та же беда, но так хотел поиграть, что смс отправил и влетел на 346 руб. Таких воров (все равно что домушников или форточников) не ловят что ли? Не только руки бы оторвал. Видимо троян залез (на Кидо не похоже). КК ничего не обнаружил , стоит Касперский.


 
Antonio
Окт 30, 2009 at 0:38

kkongo, как правило это SpyWare ( ru.wikipedia.org/wiki/Spyware ),
очень жаль что касперский не поймал заразу, хотя как правило он вполне себя оправдывает.
Стоит провести полное сканирование ПК.
Возможно стоит попробовать утилиту от доктора веб (бесплатная) — ссылка есть выше в статье.
Если не поможет нужно искать какую-нибудь Anti SpyWare программу.


 
Antonio
Окт 30, 2009 at 0:42

Насчет наказания согласен, единственное достоверно определить автора не просто, да и суммы по отдельности маленькие, это нужно какую-то коллективную жалобу оформлять.

Но кому это нужно? Кто раз, два попал на таком, уже не поведется и будут, надеюсь, в следующий раз осторожнее.


 
Ворона
Ноя 2, 2009 at 0:06

Огромное спасибо, оч помогло :-*


 
Дима.Sk
Ноя 2, 2009 at 10:25

УРА !!! УРА !!! УРА !!!
21.10.09г. Использовал KidoKiller + Kaspersky.
Удалил этого вируса Kido,
!!! но проблема перестал работать Media Player Classic !!!
23.10.09г. Переустанавливал Кодеки — Плееры , ни каких результатов.
28.10.09г. Сделал обновления антивируса, потом проверку.
Нашол троян который еле как удолил.
29.10.09г. У меня всё заработало — MPC-HomeCinema, GSpot Codec Information.
УРА !!! УРА !!! УРА !!!


 
Antonio
Ноя 3, 2009 at 1:14

Дима, молодец одолел ты его (их)! :-)


 
macarena
Ноя 5, 2009 at 11:43

блин… всё проделал как тут написано.. поставил все обновления на win2000serv (штук семь) а вирусы всё равно на серверах возникают (касперский информирует про нахождение их в winnt/system32)….

мож какие ещё заплатки нада ставить?

ЗЫ: win2000serv sp4 + Rollup 1
заплатки:
Windows2000-KB885250-x86-ENU.EXE
Windows2000-KB914389-x86-ENU.EXE
Windows2000-KB921883-x86-ENU.EXE
Windows2000-KB923414-x86-ENU.EXE
Windows2000-KB957097-x86-ENU.EXE
Windows2000-KB958644-x86-ENU.EXE
Windows2000-KB958687-x86-ENU.EXE


 
Мирам
Ноя 8, 2009 at 20:48

У меня на внешнем жёстком диске (объём 200 гигов) на Autorun.inf висит net-worm.win32.kido.ir. Что только не делал и чистил этой утилитой KK.exe версии 3.4.13 и удалял всевозможными удаляторами и утилитами, но ничего не помогает. Подскажите пожалуйста, что мне сделать, если честно я уже замучался.


 
OLEGPL
Ноя 10, 2009 at 19:44

Мужики, вы реально творите добро. СПАСИБО.
Даже не верю, что нашел выход от этого вируса..два дня маялся..думал нигде в инете ничего про него толком неговориться..спасибо)


 
lolipop
Ноя 13, 2009 at 16:38

кк грохнул винду на двух компах .На еще одном типа удалил.
при перезагрузке все паразиты на месте.
все компы друг от друга изолированы.
Он не эффективен.


 
Muse
Ноя 13, 2009 at 16:38

большое спасибо, Вам!


 
casper
Ноя 15, 2009 at 13:45

У меня кидо! Перебробовал всё! кидокиллера, докторвебовскую прогу, AVZ, Gmer, ставил заплатки, ничего не помогает! кидо находит только каспер, удалить не может, только сообщает что он у меня есть…
Что делать незнаю… Подскажите как еще можно эту сучечку с компьютера выгнать…

*windows 98
**всегда стоял последний kis с максималной защитой, как эта гадина пролезла на комп хз.


 
casper
Ноя 15, 2009 at 13:49

сори опечатался! у меня windows XP


 
Дима.Sk
Ноя 15, 2009 at 16:02

Как вирус называется (полное имя).
Попробуй подключится к интернету.
При подключином интернете произвести проверку и удаление вирусов.
!!!При подключином интернете!!!.


 
Мирам
Ноя 15, 2009 at 17:14

Всё перепробовал и каспера, которым уже лет 5 пользуюсь и всякого рода кидокиллеров и тому подобного, но всё это оказалось бесполезно. Вдруг случайно наткнулся на авиру, с которым если честно раньше не был толком знаком, так как был поклонником каспера. После установки опробовал его и удивился скорости его проверки и вообще по многим параметрам он намного превосходит каспера и обновляется через инет без проблем и ключа не просит, и всех кидо и всякого рода троянов и червей разогнал без проблем.К нему сприцепом идет программа USB Disk Security . Короче они вместе сделали то, что каспер и кидокиллер не смогли и близко сделать и отправил я каспера напару с кк на свалку. Если честно что-то после авиры у меня к другим антивирусам интерес пропал!


 
Дима.Sk
Ноя 15, 2009 at 18:12

Мирам — ДА-ДА ДА!

Kaspersky + KidoKiller + SalityKiller + Dr.Web CureIt + USBDiskSecurity + Зоркий глаз(USB)
+ отключение автозапуска = вот так мы и живём!!!


 
Antonio
Ноя 17, 2009 at 0:21

прочитал последние отзывы, вопросы, ответы
попытаюсь вставить свои пять копеек :-)

на раритетах W98 и W2000 на практике с кидо не боролся, теоретически должно помогать — заплатки, антивирусники, на практике может получиться чего-то забыли, не доставили и в таком духе. Не забываем про фаервол!

Насчет авиры — неплохой антивирусник, пользовался и им тоже, как-то было время перешел с касперского на него, но потом вернулся на касперского. Хотя можно и использовать авиру, главное с умом (не лазить по явным зараженным сайтам и не запускать вирусы :-) ).

А самое главное следить за состоянием антивирусной программы и за обновлениями баз. Если выходите в интернет через локалку используйте аппаратные роутеры — это тоже как вариант защиты от вирусных атак.


 
Максим
Ноя 24, 2009 at 1:06

Спасибо, помогло


 
Денис
Ноя 30, 2009 at 18:52

входят ли указанные патчи в win xp sp3? если да, то какие патчи надо поставить?
в целом процесс лечения понятен, хоть и геморой! Желательно ответить на почту, адрес которой скинул, если не трудно, спасибо Вам за Ваш труд!


 
falcon
Дек 3, 2009 at 1:45

Всем привет.
К телу, т.е. к делу )
АВП не использую лет 5
Использую firewall один маленький, но надежный (стоит как служба), официальные фиксы ОС и WWDC (Windows Worms Doors Cleaner). Эта утиль закрывает на выбор некоторые уязвимые порты, а именно: 135 445 137 139 5000 и messenger с функцией обратного восстановления дефолтовых настроек. Кстати, эта утиль сейчас стоит денег (40 $), хотя раньше была freeware.

Вот нашел в сети ссылку на эту полезную утиль: (ссылка удалена — пишите название, кому надо, тот найдет..)

Да, вирусов не видел уже как 5 лет, хотя айпи — \"белый\", и в сети — десятки тысяч ПК. Оставил открытыми лишь необходимые порты, остальное закрыл.
Спам с \"интересными и нужными\" вложенными файлами не выписываю.
Брожу по достоверным источникам. Иногда использую текстовой браузер, т.е. без поддержки графики.

Все спокойно. Все тихо. Все в порядке.
Горе от ума, но и счастье от ума.

А теперь отвечаю на ваш вопрос.
Зашел сюда, потому что у племянницы эта дрянь.
Поеду завтра руками ее ковырять.

Всем ума и любви.
Этот рецепт универсален, и сильнее его нет ничего.


 
SlaGu
Дек 4, 2009 at 7:24

Symantec Endpoint Protection решил ВСЕ проблемы с Кидой. Безальтернативно для последнего. Без отключения компов от сети. Без отключения авторана. Вот так закончилась моя 2х месячная эпопея борьбы с этой вредной какашкой.


 
NekitOz
Дек 4, 2009 at 13:14

Это очень гадкий вирус.Он может называться по другому-HEUR:Trojan.Win32.StartPage,Kido.Способ удаления(или хотябы зло-кода)
1).Устанавливаем Антивирус Касперского 2009,обновляем базы.
2).Вытаскиваем кабель от интернета,блокируем порты.
3).Выключаем автозапуск флешек и жестких дисков.
4).Заходим в настройки и включаем всю зашиту и поиск на Глубокий(максимум)
5).Выполняем полную проверку.Ждем.
6).У меня нашел HEUR:Trojan.Win32.StartPage
7).Если нашел,а удалить не может-Это ничего,важно что нашел!Удачи!


 
Antonio
Дек 5, 2009 at 0:01

Денис, все описано в статье…
Ребята, спасибо за свои комментарии.
В который раз убеждаюсь что каспер рулит :-)


 
falcon
Дек 6, 2009 at 19:04

Рулит не KAS и не ESET
Рулят мозги


 
Antonio
Дек 7, 2009 at 22:53

falcon, с этим тяжело поспорить :-)


 
viktor
Дек 8, 2009 at 0:45

После кидокиллера,вируса нет но вылазит ошибка винхост32 и отрубает аудиоустройства после 15 минут работы после запуска системы(причем не на одной тачке).Я не знаю че делать,помогите пожалуйста.


 
falcon
Дек 8, 2009 at 4:46

Ув. Виктор, сначала нужно понять в чем проблема, так сказать «возреть в корень» на системном уровне.
Я имею ввиду «этиологию» («причину заболевания»)
То ли это аппаратный уровень, то ли программный, то ли «гацкий» (viruses, trojans, etc), то ли мозговой (no comments) то-ли смешанный (как правило, «гацко» — мозговой) :)
В общем, Вам нужно определить сначала с чем Вы имеете дело.
Для начала предлагаю поработать с вариантом «гацкий», т.е. сделать сканирование ПК каким-либо достойным АВП или специальными АВП утилитами.
Вариантов массу: от тояна до переполнения буфера svchost.exe по причине атак зараженных ПК.


 
xmonster
Дек 8, 2009 at 18:10

Я балдею от комментов, сложилось впечатление что здесь одни детишки делятся опытом с другими из соседней песочницы, параллельно восхваляя божественную компанию, именованной микрософт — «да спасет нас великий Билл и пророк его Джобс, и да будет имя твое благославенно, — Женя — во веки веков»
Мальчики!, а вы не задумывались, что вам еще уроки надо делать, а компьютеры только по вечерам включать чтобы погамиться в домашней сетке
П.С. Увиденные каменты, как бы похоже являются скрытой рекламой шестерки женьки кашперского
П.С. Прокрался в сетку один кидо, через флешку на машину, единственная которая была без антивиря (по той причине, что будь там антивирус, то кроме него никакая прога не смогла бы работать), так когда этот гаденыш пытался на другие пролезть, то все предательски тыкали в нее пальцем, причем остальные оснащены были (????, что бы вы подумали), не kis и не kas и не гав и не мяу, а древнючий нод


 
Antonio
Дек 9, 2009 at 0:53

xmonster, если с первыми комментами более-менее понятно, то последний не понятен. Что за история? из жизни, просто так догадки, фантазии?

А насчет советов, мне кажется все так начинали и продолжают, у людей разный уровень подготовки и для кого-то простые вещи, которые знает специалист — это уже большие знания. Ведь никто не разбирается очень хорошо во всех жизненных вопросов. Как правило идет перекос в одну сторону (сторону увлечений человека) или общие знания (поверхностные) по многим вопросам, но этих знаний не хватит решить проблему среднего уровня..

В общем как и всегда, я спрашиваю — Зачем писать такие комменты?
Чтобы показать свою крутость?


 
viktor
Дек 9, 2009 at 15:26

falcon
Спасибо,что кто-то откликнулся на мою просьбу.Перед этим прогнал кисом7 3 раза машину нашло 300 вирусов все на диске С в папке систем волюминформейшен. А один вирус показывал кис7 при запуске но когда я нажимал удалить, то он писал объект не найден.Прошелся кидом удалил но вылазит теперь тая беда с ошибкой винхост и отрубается звук.

Antonio полностью с тобой согласен

xmonster Знаешь пословицу каждый думает по мере своей распущенности. Так она про тебя как раз.


 
TOJI9IHbI4
Дек 10, 2009 at 19:13

Здравствуйте, у меня такая проблема:
Был у меня на компе BRONTOK-WORM, я с ним пропарился месяц пытаясь излечится но в оконцове переустановил виндовс форматируя диск,поставил новый виндовс,все отлично…
Но вот недавно стали появлятся такие же симптомы заражения а именно:
Не запускает на сайты kaspersky.ru freedrweb.ru и других противовирусников.
И вот сегодня что то новенькое, меня не впускает на сайты (RAMBLER YANDEX VKONTAKTE odnoklassniki и еще некоторые) что самое интересное что вместо содержимого этих сайтов вилазиет такая херня(Вы можете купить программу для избавления от вируса:)все это большими красными буквами…
Будучи имея хороший опыт по борьбе с BRONTOK-WORM, я обзовелся сильным софтом сразу после установки виндовса
1)AVAST! home edition 4.8
2)AnVir Task Manager
3)сразу поставил обновы по устранению уязвимости(сначала я мог зайти на любой сайт,будь то майкрософт или касперский лаб)
ВОПРОС: Что же у меня за вирусяра такой
Как от него избавится
И как он попал ко мне на комп(есть 1 версия:что он уже присутствует на загрузочном диске с виндовсом)
Буду ждать помощи,расчитываю на вашу помощ
На всякий случай…
Мой Skype:cpy6ypaiiika
ICQ:408996038


 
Antonio
Дек 12, 2009 at 0:45

viktor, у вас я так понимаю повредились или изменились системные файлы, можно продолжать лечить умирающую систему, но в данном случае, мне кажется, проще переставить

TOJI9IHbI4, что за вирус такой вам должна подсказать антивирусная программа :-)
сейчас можете попробовать скачать доктора веба cureit и просканить, может что найдет, у меня как-то был негативный опыт при использовании аваст, а потом НОД32, после этого я их не люблю и предпочитаю касперского, скачайте себе последнюю версию с сайта, например, KAV 2010 и можете ее использовать месяц в полнофункциональном режиме.. мне кажется должно найти заразу


 
TOJI9IHbI4
Дек 12, 2009 at 5:13

Antonio,большое спасибо,ща попробую=)
Потом отпишусь о результате.


 
viktor
Дек 12, 2009 at 16:25

Antonio спасибо конечно,но если б было бы все так просто, таких компьютеров у меня много.
А возможен вариант какуюто заплатку поставить или как то что то доставить с диска виндовса?


 
кристина
Дек 13, 2009 at 17:06

здравствуйте.я почти не разбираюсь в компах, и поэтому ничё не поняла чё здесь написано. не знаю как удалить этого Net-Worm.Win32..скажите самый лёгкий и доступный способ. наверно переустановить винду?


 
кристина
Дек 13, 2009 at 17:08

у меня стоит касперский.он вирус поймал а вылечить не может(


 
Antonio
Дек 14, 2009 at 23:31

Viktor, заплатка называется обновление виндовс :-)
и обновляться нужно до заражения, так как после даже лечения особенно от других вирусов система может начать работать не стабильно. После лечения кидо почти всегда все работало нормально, хотя было пару случаев когда пришлось переставлять.

Кристина, специально есть утилита — запускаем, сканим, лечим и должен наступить порядок http://nemcd.com/wp-content/uploads/2009/10/KK_v3.4.13.zip


 
Игорь
Дек 18, 2009 at 11:05

Патч MS08-067 не устанавливается, выдает вы не имеете разрешения выполнять обновление win XP, оьратитесь к админу. У меня права админа. Что делать?


 
Чёш
Дек 24, 2009 at 0:25

Antonio, здавствуйте! а если у меня стоит Касперкий Ативирус, нужно ли установливать KidoKiller 3.4.7, касперский с подобными вирусами справляется?
Спасибо за ответ!


 
Unnamed_Playaa
Дек 24, 2009 at 4:05

Спасибо за откровенно радостный и что самое главное умный сайт. Я, как профессиональный чайник, 4 часа искал лекарства от кидЫ. Ну и натолкнувшись на ваши выкладки был, просто, запредельно счастлив…


 
Максим
Дек 24, 2009 at 15:00

Помогите, таже проблемма(( Ккилер последней версии ничего не находит, каспер находит, но не лечит( У меня виндовс 7, заплатки эти не устанавливаются(( Заранее спасибо!)


 
Максим
Дек 24, 2009 at 21:00

Antonio, подскажите пожалуйста как мне быть…


 
Вадим
Дек 25, 2009 at 9:03

Доброго времени суток. Помогите со следующей проблемой. Есть одноранговая сеть. В ней к одному ПК подключен ВПН-интернет. Этот комп раздает инет посредством общего доступа к впн-подключению. Остальные машины автоматически получают IP-адрес и адерс шлюза. В сетевом окружении клиентских машин появляется подключение к интернету….НО интернета на этих машинах нет..хотя на шлюзовой есть и вроде бы доступ открыт. Подскажите где может быть проблема?


 
Вадим
Дек 25, 2009 at 9:04

Забыл добавить.. в сети был Кидо..был вроде как вылечен КК. Однако проблема осталась.


 
Александр
Янв 11, 2010 at 19:13

у меня стоит касперский 7.0.1.325 ,будет ли кидокиллер работать вместе с ним, у меня виста


 
Antonio
Янв 14, 2010 at 16:33

КидоКиллер — это отдельная (самостоятельная) утилита,
ей можно проводить лечение когда вообще не установлен антивирусник!

Запускать кидокиллера нужно с правами администратора!
Используйте последнюю версию утилиты.

Для виндовс 7 проще установить все обновления и жить спокойно.

Вадим, если выполнить команду на тех машинах что в сети
ping -t 217.69.128.43
будет ли «идти» пинг?


 
Antonio
Янв 14, 2010 at 16:33

Вадим и раньше вообще ваша связка работала?
Или она сломалась после вируса?


 
Антон
Янв 17, 2010 at 10:08

Здравствуйте, отличный мануал!
ПО описанию у меня вроде Kido, но вот найти я его не могу.Проверял и так как тут написано и по другому, чисто.
Тем неимение антивирус не обновляется и нельзя зайти на сайты антивирусов.. подскажите, что делать? Винда XP


 
алексей
Янв 18, 2010 at 22:53

я хочу проверить есть у меня вирусы или нет,я незнаю как и иза чего


 
Antonio
Янв 18, 2010 at 23:11

попробуйте утилиту CureIt! от Доктора Веба,
ссылки в статье


 
алексей
Янв 18, 2010 at 23:15

а можно попроще


 
алексей
Янв 18, 2010 at 23:35

и напиши пожалуйста эту ссылку


 
алексей
Янв 18, 2010 at 23:52

у меня обнаружана 2 уязвимости в системе в файле system32/framedynos.dll и в браузере-cookies/virusxkontkte.ru помаги пожалуйста я не знаю чё делать


 
Antonio
Янв 19, 2010 at 1:26

я не вижу проблем найти эту ссылку самому,
она есть точно я проверил (подсказка — можно использовать поиск по странице)

кто или что говорит об обнаружении уязвимостей?


 
Вадим
Янв 19, 2010 at 8:13

На счет неработующей раздачи интернета в сеть. Связка компьютеров работала отлично. Но после заражения Кидо слетела. Похоже на то, что слетела таблица натирования, мог ли Кидо так повредить систему?


 
Антон
Янв 19, 2010 at 9:47

To Вадим
Да мог, столкнулся с той же проблемой + закрытие многих портов! Восстановление файлов и восстановление системы не помогло!
Вирус удалён а симптомы остались, вчера форматировался!


 
roa211
Янв 20, 2010 at 17:43

Добрый день,
помогите пожалуйста одолеть заразу:
проблема в том, что не могу зайти на ряд сайтов, в числе которых Dr.Web, virusinfo.info, kaspersky.ru и т.д.!
Что уже сделал: скачал на другом комп. Dr.Web CureIt, Virus Removal Tool, Nod32 On-Demand Scanner, KK.exe, Spybot, AVZ(без обновления – блокируется), – все проверки результат не принесли, хоть и что-то вылавливали. В файле C:\WINDOWS\system32\drivers\etc\hosts прописано только 127.0.0.1 localhost.
Очень надеюсь на Вашу помощь. За ранее спасибо…
P.S.: какая на сегодняшний день последняя версия КК?


 
Виталий
Янв 20, 2010 at 22:01

Огромное спасибо, проблема решена- Kido больше не беспокоит. Я уже думал предстоит переустанавливать Винду.


 
Antonio
Янв 21, 2010 at 0:06

пожалуйста!

roa211, последняя версия утилиты kido killer — 3.4.13

есть еще отличный коммерческий продукт — Webroot Spy Sweeper, находит даже такую дрянь которую не видит Касперский и прочие


 
Псих
Янв 23, 2010 at 9:05

у меня касяк заключается в том что флэшка после инфицирования заблокировалась от записи и я ничем не могу его оттуда выгнать и флэшку разблочить тож не могу….


 
Antonio
Янв 26, 2010 at 23:47

Может попробовать на другом компе форматнуть?


 
Сергей
Янв 29, 2010 at 11:44

Подскажите пож. в файле C:\\WINDOWS\\system32\\drivers\\etc\\hosts кроме 127.0.0.1 localhost. выше есть еще два ip их нужно стереть?


 
Pendeho
Янв 31, 2010 at 19:18

Товарищи подскажите!Ситуация похожа на многие, но ничего не помогает! Суть вот в чем:
Не заходит на сайты касперского, доктор веб и так далее, на простые вроди заходит! На компьютере установлен KIS 8 базы самые последние, один раз с утра на что то ругнулся, вылечил или удалил и все! В общем сейчас касперский не находит ничего! программа KK тоже ничего не находит! Не знаю что и делать, не хочеться переставлять ОС!


 
Antonio
Фев 2, 2010 at 0:02

Сергей, файл hosts по-умолчанию содержит лишь одну строку

127.0.0.1 localhost

Pendeho
есть еще отличный коммерческий продукт — Webroot Spy Sweeper, находит даже такую дрянь которую не видит Касперский и прочие


 
света
Фев 11, 2010 at 12:20

cookies/virus.xkontkte.ru System32/framedynos.dii вирус на компике что делать помогите пожалуста


 
Вячеслав
Фев 11, 2010 at 14:21

благодарю за большую проделанную работу,помощь.


 
Игорь
Фев 17, 2010 at 20:32

как прописать ключ


 
Андрей
Фев 23, 2010 at 12:59

завелся кидо, ничем неубиваеться КК тупо его невидет а папки RECYCLER, до астрономических размеров, доступ к сайтим антивирусов нережет но трафик жрет безбожно, каспе доктор веб его невидят заплатки ставил но толку ноль.к томуже если RECYCLER можно еще удолить через в тотале через shift+delete ,то System Volume Information недает снести невкакую, яб переустановилбы винду но учитывая шо вирус на всех дисках толку с етого врядле будет, а формотнуть все нельзя есть инфа нужная


 
Игорь
Фев 23, 2010 at 15:58

каспер эту хрень не находит, а если находит, то не может удалить. я ставил заплатки и проверял с помощью Dr.Web Сканер для Windows
cureit
качаем бесплатную версию.
Заплатки:
WindowsXP-KB885250-x86-RUS
WindowsXP-KB921883-x86-RUS
WindowsXP-KB923414-x86-RUS
WindowsXP-KB957097-x86-RUS
WindowsXP-KB958644-x86-RUS
WindowsXP-KB958687-x86-RUS
после каждой перезагружать комп.
сейчас вируса нет, но сетевые атаки вылетают.
Вот такие:Intrusion.Win.NETAPI.buffer-overflow.exploit


 
Игорь
Фев 23, 2010 at 16:01

сразу будет быстрая проверка. останавливаем и выбираем полную


 
Игорь
Фев 24, 2010 at 17:33

вернее утилита cureit от Доктора Веб


 
Antonio
Фев 24, 2010 at 21:45

кому не помогли различные способы, повторюсь
попробуйте отличный коммерческий продукт — Webroot Spy Sweeper,
находит даже такую дрянь которую не видит Касперский


 
SlaGu
Фев 24, 2010 at 22:20

Уже писал, проблемы ВСЕ прекратились после установки SEP v11.0….


 
Fariz Huseynov
Фев 27, 2010 at 13:31

Tak lyudi dobriye… etot Net-Worm.Win32.Kido dastal menya kak i vsex vas. prochel vse to chto vi napisali. sdelal vse tak kak nado. No… nicheqo ne poluchilos… Daje Symantec removal tool ne pomoq. No nado je kak to reshit etu problemu. ya zametil na saytax symantec i kaspersky chto etot vrednonositel polzuyetsa saytami dlya opredeleniya IP nashix PC (http://www.getmyip.org, http://getmyip.co.uk, http://checkip.dyndns.org). i tut zadumalsa a mojet blokirovat eti sayti… No kak? Snachalo poproboval IE security. Ne pomoqlo… (k schastiyu) reshil na kaspersky internet security blokirovat… (oy ya je ne znayu kak eto delayetsa) reshil v internete iskat. zapros bil tokoy… kak blokirovat url?… okazivayetsa u nas na kompe sidit file pod imenim hosts (c:\windows\system32\drivers\ect) kotoriy «HOSTS, используемый Microsoft TCP/IP для Windows.» koqda ya otkril etot fayl udevilsa. tam spisok tex saytov na kotorix ya ne moq popast… Udalil vse. vot takaya istoriya… nadeyus pomojet vsem…


 
Игорь
Фев 28, 2010 at 19:21

почему мои сообщения исправлены. нет ссылок :(


 
Дима
Мар 1, 2010 at 23:01

В Win7 нечего ненаходят, стоит Аваст , но постояно происходит дисконект.
Оператор говорит что с моей стороны обрывы. И все время советуют искать этот чёртов Kido


 
Antonio
Мар 2, 2010 at 22:00

Игорь, слежу за исходящими ссылками с сайта.
Да и се-таки написанного выше вполне достаточно для решения вопроса.

Дима, Аваст может ничего и не найти.
Прочитайте выше есть ряд эффективных инструментов для борьбы с kido.
Хотя это может быть совсем не kido — есть масса других вирусов.


 
Вадим
Мар 3, 2010 at 6:25

Вообще, при заражении ПК кидой :) первым делом проверял систему KidoKillerom. Часть компов оживала. Некоторые компы же оставались зараженными и ни одна антивирусная программа особо не помогала. Тогда как вариант запускаемся с загрузочного диска и делаем восстановление windows: все файлы, программы и настройки сохраняются а вот системные файлы заменяются на стандартные. После этого запускаемся с любого liveCD типа dr web liveCD или Windows XPE и опять сканим все файлы KidoKiller и всякими сторонними сканерами типа curreit и avz. Этот вариант практически безотказен. На практике только один компьютер я не смог реанимировать, на нем слетела таблица NAT и ком не раздавал интернет в сеть, как это исправить ответа не нашел.


 
виктор
Мар 12, 2010 at 14:48

добрый день
у меня установлен DR.WEB ,но я не могу зайти на его сайт ,хотя обновление идёт
постоянно .заплатки для win xp не подходят установлена win xp sp3,скачал КК,
просканировал -ничего не нашёл ,cureit тоже ничего не нашёл ,live CD dr.web пока
не пробовал.у меня уже было такое ,но тогда ни один сайт с антивирусами не открывался. переустановил ОС на новый винчестер и всё стало нормально.
касперский сейчас открывается
извините если не в тему.


 
Shamann
Мар 12, 2010 at 21:14

Всем доброго времени суток.
Все вниматочно прочитал…. потерял уйму времени…
отсканил все KK (он сканит только диск С) — так и должно быть? (прошу учесть что могу переустановить только крякнутую версию виндовс путем дедукции)))))
вопчем я нуб))
Вир Net-Worm.Win32.Kido.ir просто режет по нервам)) вроде ничего от него плохого) но и ничего хорошего не вижу) вот спустя полгода решил всетаки его удалить)
одним словом, просканил всеми версиями KK предложенные вами, сканился только диск С и ничего ненашлось (виир всетаки сидит) а нашему сисадмину все по лампочке….
как мне всетаки поступить?(((
раз уже взялся за это… то дойду доконца… винду сносил 2 раза и безрезультатно…
хэлп
кстати, Касп показывает что вир сидит на диске D и E но удалить не может….


 
Shamann
Мар 12, 2010 at 22:24

К слову…
рядом стоит машина, так же подключенная к сетке… но на ней нет кида…
странно даж…
часто пропадает сама по себе связь…на соседней машине все гуд а у меня нет связи и все… опосля 2-3 минут появляется…


 
Вадим
Мар 13, 2010 at 8:04

У утилитки КК есть параметры.
-p Cканировать определённый каталог.
-f Cканировать жёсткие диски.
-n Cканировать сетевые диски.
-r Cканировать flash-накопители, сканировать переносные жесткие диски, подключаемые через USB и FireWire.
-y Не ждать нажатия любой клавиши.
-s «Тихий» режим (без чёрного окна консоли).
-l Запись информации в лог-файл.
-v Ведение расширенного лога (параметр -v работает только в случае, если в командной строке указан также параметр -l).
-z Восстановление служб
-х Восстановление возможности показа скрытых и системных файлов.
-m Режим мониторинга для защиты от заражения системы.
-a Отключение автозапуска со всех носителей.
-t Удаление из реестра сервисов, оставшихся после лечения сетевого червя продуктами Лаборатории Касперского.
-j Восстановление ветки реестра SafeBoot (при ее удалении компьютер не может загрузиться в безопасном режиме).
-help Получение дополнительной информации об утилите.


 
Shamann
Мар 13, 2010 at 10:10

читал в начале))) «Ключи для запуска утилиты KK.exe из командной строки:»
а как их запускать??
простите уж за столь не скромный вопрос)) хоть в двух словах…


 
Вадим
Мар 13, 2010 at 10:15

Для удобсва кидаешь КК на диск С, потом заходишь в меня \"выполнить\" (кнопки windows + R) и там пишем C:\\KK -f ну или другой нужный параметр.


 
Shamann
Мар 13, 2010 at 13:55

Вадим, большое человеческое спасибо, все просканил…результат 0 -ничего не найдено…
есть другие варианты? кроме как покрасить и сжечь винт?


 
Вадим
Мар 13, 2010 at 14:08

Если Касперский находит зараженные файлы, но удалить не может, значит вирь прицепился к системному процессу. Можно попробовать вычислить к какому именно. Установи программу unlocker, найди файл на который ругается Касперский и через эту прогу посмотри какой процесс в памяти блокирует этот файл. Раз файлы зараженные не на системном диске, то черех эту прогу можно разблокировать и смело удалить их — они не системные. И кстати попробуй найти в инете старые версии КК, один раз стокнулся с тем, что КК последней версии не находит Кидо, а более ранний — находит.


 
Shamann
Мар 13, 2010 at 15:15

D:\\\\AUTORUN.INF и E:\\\\AUTORUN.INF
как их найти? их невидно((
блокирующих процессов всего 2
разблокировал все, а вир удалить так и немогу…
может все разблокировать и удалить?)))))
авось пронесет))


 
SlaGu
Мар 13, 2010 at 15:48

в безопасном режиме запускаем КуреИт, полная проверка.
в нормальном режиме устанавливаем Symantec Endpoint Protection 11 или 12.
забываем про кидо :о) я забыл -1 год и 2 месяца назад.


 
Shamann
Мар 13, 2010 at 17:33

Вадим, большое спасибо за помощь и за терпение))) KK 1 справился)))
удачи вам в нелегком деле!!!


 
SlaGu
Мар 13, 2010 at 17:52

на долго ли?


 
Shamann
Мар 13, 2010 at 18:05

SlaGu — попинаю сисадмина, пусть он всетаки этим займется, а на первое время (пусть даж на недельку) хватит) надеюсь за недельку он всетаки управится (я полгода кидо не трогал, но тут дела принципа) в моем компе живет а налоги не платит)


 
Antonio
Мар 13, 2010 at 21:49

Shamann, вообще-то это работа сисадмина, пусть разбирается
тем более он давно уже должен знать что делать
вирусу уже больше года

У кого что не получается читаем комменты, тут сказано ОЧЕНЬ много нужно,
и не забываем что есть и другие вирусы — не только кидо!
поэтому методы лечения могут отличаться.

вот эта связка Webroot Spy Sweeper + KAV
лечит практически все


 
SlaGu
Мар 13, 2010 at 21:58

хватает полчаса.
если кидо доберется до админа AD мало не покажется. И КК и DW точно будут отдыхать — кидо будет жить в сети пока все компы от сети не отключить, и после этого лечить. А если сеть из 8 филиалов, 300 компутеров,по всему миру размазана :о) , гемор тот еще.
Symantec Endpoint Protection гасит активность этой какашки сразу, механизм хитрый. тому кто понимает очень понравится.


 
Shamann
Мар 14, 2010 at 1:08

Антонио — с самого начала не стал геморозится кк а скачал прогу предложенную вами, у меня касп 9 — результат 0…
в сети 40-50 компов, забодали постоянные атаки… сис свою машину держит в чистоте а на остальных накакулить) в общих чертах))


 
Вадим
Мар 14, 2010 at 8:50

Вообще Кидо на зараженной машине не проявляет никаких вредоносных действий) он как раз атакует сетевые компутеры. Т.е. если есть сеть, то она будет постоянно падать, даже если ваш комутер не заражен Кидой. КИС вообще просто блокирует ИП атакующего компьютера, и если это оказывается шлюзовая машина, то и интернета вам не видать)


 
Antonio
Мар 14, 2010 at 12:56

Shamann

кидокиллером прогнать по машине — это святое дело!
без этого никуда

Вадим, это да


 
SlaGu
Мар 14, 2010 at 13:27

ощющение мои посты не замечают или они невидимы. а по почте извещения регулярно получаю.
Shamann поставm SEP забудешь про кидо

>Antonio<
///кидокиллером прогнать по машине — это святое дело!///
че это оно вдруг святым стало?


 
Николай
Мар 14, 2010 at 17:26

По ходу дела словил я эту гадость Кидо. Натравил я Кидо Киллер, ноль эмоций. Травлю ДокторВебовской утилиткой, пока тот же результат.
Что предпринять посоветуете?


 
Вадим
Мар 14, 2010 at 17:29

Для начала, расскажите, какие сиптомы ? есть несколько похожих на Кидо пакостей.


 
Николай
Мар 14, 2010 at 17:33

Симптомы? Не обновляются базы AVG 8.5 Free Edition, не удается войти на сайты Касперского, Dr.Web, AVG, Avira.


 
Вадим
Мар 14, 2010 at 17:36

Возможно у Вас и не Кидо, ибо такие симптомы характерны для многих вредоносных программ, например, для того же Салити. Посмотрите, доступны ли диспетчер задач, редактор реестра и возможность просматривать скрытые файлы… и как себя ведет сеть или интернет? не отваливается ?


 
Николай
Мар 14, 2010 at 17:42

Вадим, реестр задач работает, скрытые папки могу просматривать, сеть работает нормально.


 
Николай
Мар 14, 2010 at 17:54

Пардон, диспетчер задач ;)


 
Вадим
Мар 14, 2010 at 18:01

Надо все же убедиться, что это именно кидо. Попробуйте из безопасного режима просканировать компьютер более ранними версиями прораммы КК, это иногда помогает. Проверте файл HOSTS в папке C:\WINDOWS\system32\drivers\etc , есть ли в нем какие-нибудь записи, кроме 127.0.0.1 localhost
И скачайте утилитку AVZ она даст возможность избавиться от блокировки сайтов. http://z-oleg.com/avz4.zip


 
Antonio
Мар 14, 2010 at 20:09

SlaGu, а чего б и не прогнать кидокиллером?
это как зубы почистить :-)


 
Николай
Мар 14, 2010 at 20:30

Вадим, проверил файл hosts, все чисто. Утилитку сейчас натравлю.


 
SlaGu
Мар 14, 2010 at 20:47

Antonio
потому что бесполезно.
и хост файл ему не нужен совсем, он сам перехватывает запросы к сайтам.
первый признак — autorun.inf на флешке.


 
Николай
Мар 14, 2010 at 21:38

Натравил я AVZ, снес несколько вредоносных файлов, но на сайты каспера, др.веба и иных антивиров не заходит.


 
Shamann
Мар 14, 2010 at 21:55

…кстати, попробовал на других компьютерах и такой расклад, отсканил все курейтом, он поместил файлы в карантин, поставил нод 4, нод увидела файлы курейта которые находились на карантине и бесцеремонно их удалил))
поставил кас — все чисто)
незнаю насколько это все прошло безопасно…


 
Вадим
Мар 14, 2010 at 22:02

Кидо перехватывает только список доменных имен, а если заходить по IP то спокойно заходит, т.е. использует что-то вроде парсера. Дважды сталкивался с тем, что КК не находил зараженных файлов ни в памяти ни на жестких. в первом случае помог АВЗ, во втором — восстановление винды с загрузочного диска (не путать с виндовым восстановлением системы) т.е. замена системных файлов, вход сразу из под безопасного режима и прогон всеми версиями КК. Кстат из множества случаев борьбы с Кидо др Веб Куррейт не помог ни разу :)


 
Вадим
Мар 14, 2010 at 22:23

Можно попытаться отыскать тело вируса вручную. Если доступ к редактору реестра открыт залазим в ключик HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs и ищем там любую ссылку на файл с расширением .dll таких записей не должно быть в этом ключе. Имя у файла будет случайно и лежать он будет в system32 .. как я понимаю это и есть тело вируса. Строку на указание файла из реестра можно удалить… но только строку эту строку :) еще ркуомендуют удалять весь раздел netsvcs в ключе HKLM\SYSTEM\CurrentControlSet\Services\ …


 
Antonio
Мар 15, 2010 at 0:12

Что ж у вас там за мутанты такие, где вы из берете? :-)


 
Николай
Мар 15, 2010 at 8:17

Вадим, с dll вроде бы нет, лежат там три файла спокойненько.
Ерунда какая-то выходит.


 
Вадим
Мар 15, 2010 at 8:24

Странно тогда, может это не Кидо а червяк какой-нибудь с похожим действием на систему. Ну чтобы исключить кидо посмотрите вот на сайте http://www.confickerworkinggroup.org/wiki/pmwiki.php/ANY/RepairTools есть большой выбор программ от разных разработчиков для удаления Кидо. Если они не помогут то скорее всего это не Кидо.


 
Валерия
Май 9, 2010 at 21:36

Антонио,помогите, пожалуйста, советом — что-то творится с моим компом.Сначала не могла заходить на сайты -антивирусов,вконтакте и т.д ,где надо вводить пароли,пришлось чистить реестр-помогло. Но все равно что-то творится-комп глючит то могу заходить в «контакте» то нет(это ведь не нормально).Касперский офиц. ничего не находит,КуреИт тоже , программы Кидо,Салити запускала — executed registry scripts:1 выводит(что это значит).Может успокоиться уже?


 
Antonio
Май 10, 2010 at 9:31

Валерия, ничего нового сказать не могу, так как кидо сейчас мне не попадался уже полгода точно, да и как-то другие вирусы «успокоились». В этот период встречал пару вирусов которые не понимал Касперский 2010, один из них определял он-лайн сканер Доктора Веб. Я отправил экземпляр в Лабораторию Касперского, на этом все и закончилось даже через неделю вирус при проверке не определялся, что печально. Но он был какой-то никакой, т.е. не плодился не тормозил и прочее, это я к чему рассказываю, к тому что на ум еще приходит хорошая антивирусная и антиспай утилита — Webroot Spy Sweeper.

Это я уже писал выше, обязательно стоит попробовать и ее.
Описанные выше симптомы это ее профиль.


 
Светлана
Май 11, 2010 at 15:20

Спасибо большое!!! Помогло)))


 
Alexandr
Май 13, 2010 at 12:48

Привет Всем! У меня такая проблема. В локальной сети 6 машин и на всех стоит Касперский 6WS(базы обновляются каждую неделю). На трех машинах касперский словил Kido и удалил. После этого зайти на розшареные папки этих машин не возможно(хотя раньше заходил). Пишет что у вас нет доступа и обратитесь к админу.
Подскажите пожалуйста как можно восстановить доступ?
Мне ка житься я все перепробовал.


 
Antonio
Май 18, 2010 at 0:02

Alexandr, проблему решают путем поиска различных симптомов и применения соответствующих микстур, если они не помогают, то — матрица-перезагрузка (переустановка ОС) точно поможет.


 
Илья
Май 18, 2010 at 17:19

Antonio, скачал и установил все данные вами обновки для ХР, прошелся кидокиллером, др. веб cure it нашел 29 троянов и 1 винлокер. Но скачать обновленный с др веба не могу, чистил версией марта. А на сайты антивирей не пускает и нод при установке не обновляется (((( ХЕЛП :(


 
Antonio
Май 18, 2010 at 21:45

Мой совет — такой зверинец вирусов уничтожить на корню — форматирование и перестановка. Но если охото терять время и работать с возможными глюками, то нужно экспериментировать..


 
Анна
Май 27, 2010 at 23:44

У меня тоже оно вроде каспером нашлось, почистилось, не вылезает(winpatrol детектировал попытки прописаться в автозагрузке), обновления винды установились, но всё равно не открываются сайты антивирей, а так же почему-то diary.ru. Устала уже.(


 
Kit
Май 28, 2010 at 20:04

Здраствуите.. У меня проблема поимал вирус кидо но я неуверен что он,Так как Касперский 10 не находит его
и кодо Килер тоже. А на сайты антивирусов все ровно не заходит. Подскажите мне что делать пожалуиста?


 
Вадим
Май 28, 2010 at 20:43

Похожие на «кидо» сиптомы имеет еще и вирь «салити», проганите так же компьютер программкой «sality remover» или «sality off», а воостановление доступа к сайтам антивирусов можно провернуть через AVZ там есть специальная функция для этого.


 
SlaGu
Май 28, 2010 at 23:05

в безопасном режиме куреИТ запускаем,
после этого ставим СЕП (SEP) End_point_protection
и наступает счастье навсегда/ 2 года без гемороя это очень много


 
Maxlan
Июн 10, 2010 at 10:31

Антонио привет! Вашем сайте я многое узнал, вот только один вопрос— Webroot Spy Sweeper где ее скачать?, если можно дайте плиз прямую ссылку.
В сети я нашел Webroot Spy Sweeper. но они просят лицензии при обновлении, и можно ли ее установить вместе с KIS9?


 
юзер
Июн 23, 2010 at 17:53

господа, а что делать в том случае, если червь блокирует не только доступ к сайтам антивирусников, но и запуск приложений, нацеленных на его искоренение?

по остальным параметрам ноут работает внешне абсолютно беспроблемно, инет летает, все сайты открываются регулярно и в полном объёме. я бы и не стал беспокоиться, но есть одно неудобное проявление Net-Worm.Win32.Kido.ir: при переносе информации через флешки ноут их заражает и создаёт autorun.inf. приходится перед тем, как отдавать флэшку с ноута на сторону прогонять через комп с антивирусником, чтобы не заражать других юзеров. это очень неудобно, а иначе люди шарахаются (вполне резонно), поэтому решил от червя избавиться, но — увы!!!
все попытки запустить на заражённом компе КК, CureIT, установить Каспера и т.д. привели к полному фиаско: при запуске exe файла на полсекунды открывается окно командной строки, которое тут же схлопывается. запуск программ в безопасном режиме системы к ощутимому результату не привел. запускаю проги я под учётокой администратора, с правами всё вроде бы в порядке. делать формат Ц пока не спешу, может кто-то рецепт избавления даст? что-нить в реестре подкрутить?

заранее сообщаю, что данную тему прочитал полностью. ПОВТОРЯТЬ промоутерские рецепты \»поставь такой-то продукт и не парься\» не прошу, из программ по ссылке confickerworkinggroup.org/wiki/pmwiki.php/ANY/RepairTools попробовал не всё, но какая хрен разница, если любой инструмент требует запуска *.exe, с которым проблема. прошу дать рецепт, как разблокировать этот запрет червя, если кто-то знает способ. спасибо.


 
Antonio
Июн 24, 2010 at 0:49

юзер, не совсем понял, пробовали в безопасном режиме сканить DrWeb Cure IT и AVZ?
какой антивирусник стоял до заражения?
как вариант снять жеский диск и проверить на другом компьютере


 
юзер
Июн 24, 2010 at 7:54

до заражения не стояло никакого антивирусника вообще.
операционку ставили до продажи ноута, покупался он уже с установленой системой.
вирус был замечен примерно через месяц после покупки, но возможно, что он сразу был ещё при продаже.

чтобы сканить операционку и диски с помощью DrWeb Cure IT и AVZ, их надо на заражённом ноуте запустить. этого сделать не получается ни в обычном, ни в безопасном режиме. они просто «вылетают» — окно схлопывается, процесс блокируется вирусом.
возможно, что в паре с Net-Worm.Win32.Kido.ir сидит ещё какое-то зверьё.

снять винт и просканить с другого компа как вариант принмиается. думал уже о нём. но прежде чем разбирать ноут (который теоретически ещё на гарантии) хочу попробовать побороться софтом и мозгами.

мозги рулят, но моих знаний явно не хватает, поэтому жду ещё советов.
может есть способ как-то загрузиться с чего-то незаражённого, запустить какую-то простую операционку, которая с флешки может быть загружена или типа того?


 
Antonio
Июн 24, 2010 at 23:41

Странно что в безопасном режиме не работают утилиты, так как обычно в этом режиме ничего лишнего не прогружается.

Я бы не морочил голову и восстановился с установочных дисков в чистую систему.
Поставил бы касперского и жил спокойно.

Диски есть разные загрузочные, уже давно такого не использовал.

Если система важная — стараюсь вирусов не допускать, если не очень — то удаление всех дисков и пересоздание сначала (так быстрее и в конечном счете лучше для пользователя, так как меньше всякого мусора)

Хотя себе иногда лень переставлять, но если малейшее подозрение на вирус, то формат! (конечно же с бекапом важных данных)


 
Вадим
Июн 25, 2010 at 6:22

юзер, попробуй поменять расширение запускаемых программ с .exe на .com и переименовать имена программ… может поможет


 
ек
Июл 4, 2010 at 1:00

почему когда открываю оперу все становиться размазанным
:-!


 
123
Июл 4, 2010 at 2:08

«По непроверенным данным kido не трогает машины, на которых установлена украинская раскладка клавиатуры.»
По проверенным данным kido трогает машины, на которых установлена украинская раскладка клавиатуры ((


 
Antonio
Июл 4, 2010 at 15:34

возможно это было изначально или уже доработали


 
SlaGu
Июл 5, 2010 at 1:04

куреит прекрасно запускается в безопасном режиме. прямо с флешки. если что то и мешает его запуску надо с фтп скачивать файл со странным именем.
У меня дома , сетка из 5 компьютеров. На работе вагон. Если эта гадость попала — все только убивают процесс и файло. Какашка через какое-то время оживает обратно. После прогона куреитом, устанавливаем СЕП 11. Забываем про проблему. неужели непонятно.


 
Илья
Июл 10, 2010 at 20:13

ЛЮДИ ПОМОГИТЕ! =-O
Заражён чем-то до боли напоминающим Kido, но при этом что-то не сходится…
Прикладываю скриншот со своего рабочего стола:
downloads.lux-d.ru/cs/Kido-Or-Not.JPG
На нём видно прогон KidoKiller’a из ссылок на этой странице, до этого прогонял последней версии с сайта Касперского, результат идентичный — 0 заражённых файлов, при этом папки Recycler на всех логических дисках… И явные симптомы, что комп заражён и сейчас…

Винду установил вчера (переустанавливал именно из-за этой вирусятины), ЛИЦЕНЗИЯ с последними обновлениями! Сразу после установки Винды отрубил автозапуск с любых дисков в gpedit.msc, чтобы с других неотформатированных дисков не подцепилась… и всё-равно «друг» со мной… *CRAZY*

Облазил уже весь инет… что делать не знаю…
Вирусятина пробивает NOD32, Agnitum Outpost, Norton Symantec 2010 с последними обновлениями…. CureIt ничего не находит.

Посоветуйте чё-нить!?!
Походу продвинутый Kido у меня какой-то…

Каким и где разработчикам антивирусов можно заслать, чтобы тоже голову поломали?


 
reh
Июл 12, 2010 at 7:13

доктор веб 6 + ключ(keys)
drweb-600-win-x64 берем отсюда:
…. (отредактировано — просьба не писать ссылки на загрузку)


 
Marsel'
Июл 13, 2010 at 10:25

День добрый!
Такая жеитуация и у меня. Что делать провёл всё что выше описано ничего не получается. Тоже самое что и было.
Подскажите плз как его грохнуть?


 
SlaGu
Июл 13, 2010 at 11:28

xxxx! еще раз объясняю, если в сетке есть кидо… то вы точно от него избавитесь прочитав мОИ посты. да…да…


 
rewi
Июл 14, 2010 at 18:15

не помогает, у меня тоже ничего не помогло, видать на темной стороне тоже не дремлют


 
Марко Р.
Авг 2, 2010 at 11:49

Сам столкнулся с данным вирусом и лечил его очень долго,
компьютеры не давали полностью отключить от рабочего процесса
(обычный бич сисадмина :( ) пришлось все делать на лету и по живому.
Днем лечил, и замедлял его деятельность, ночью удаленно лечил.
Ну и сил и нервов он у меня съел.
А сейчас к наблюдениям:
— Не все компьютеры удалось восстановить лечением и заплатками, некоторые так и остались уязвимы после накатывания апдейтов, прирчем говорю про обычные рабочие станции windows xp.
— Где-то прочитал и склоняюсь верит что это так. Если зайти с зараженной машины с административными правами на другую машину, или сервер домена — пиши пропало. С этой машины атака уже идет не хакерскими методами, тоесть вроедоносным кодом который може перехватить на пример nod32, касперский и тп. Атака в таком случае уже происходит от процесса (программы) созданного полиморфным кодом вируса НО вполне легальным путем, используя права и учетку пользователя с правами администратора, или администратора домена.
Подчеркну, компьютер может быть уже перезагружен, на нем работают уже с учеткой обычного пользователя, но с него будет вестись атака выше упомянутым способом.
С 100% уверенностью не могу сказать что это так, но по косвенным признакам и анализируя трафик в сети, а доходило уже и до снифериня сети, думаю это так.
В любом случае всем кто столкнулся с данным вирусом желаю удачи, особенно сис.админам, и удалить его с наименьшими потерями.


 
Antonio
Авг 2, 2010 at 20:37

Спасибо, вам тоже быстрее и целее выходить из боев :-)!


 
Noobochok
Авг 15, 2010 at 22:17

Я вот почитал комменты, просканил всем чем предложено и задумался, кидо ли это? Ибо ничего не помогло…
Симптомы — блокировка серверов антивирей (в частности не обновляется смарт секьюрити, не заходит на сайты касперского, есета и прочих фирм ), стал криво работать смарт секьрити, кроме проблем с антивирём и сайтами, и появление кучи мелких заразёнков за рекордные сроки проблем не обнаружил, разве что иного умирает explorer.exe однако прекрасно рестартуется вручную…
Подскажите что следует делать (на секунду забудем об инструкции наверху)


 
Ярик
Авг 20, 2010 at 19:13

Огромное спасибо! Сколько парился — зашел к вам на сайт, скачал кидокиллер и все заработало!!!!!!!! =)


 
Antonio
Авг 21, 2010 at 1:03

Noobochok, в комментах выше я советовал антивирусные пакеты и варианты, ничего нового посоветовать не могу. Те вещи что описаны и так хорошо работают.

Ярик, очень рад что у вас все получилось!


 
Екатерина
Сен 14, 2010 at 22:38

Здравствуйте! На моем компьютере сейчас установлен Касперский, нашел как раз этот злостчастный net-worm.win32.kido.ir
Попыталась последовать вашим рекоменданциям и скачать кидокиллер. К сожалению, ни одна ссылка не открывается…пишет,что невозможно найти удаленный сервер..до этого пробовала dr web curent…та же самая ситуация(((
Подскажите пожалуйста, что можно сделать в таком случае?
ЗАРАНЕЕ СПАСИБО!!!


 
SlaGu
Сен 15, 2010 at 11:25

скачай cureit на другом компе. перегрузись. в безопасном режиме запусти. полная проверка. установи нормальный антивирус типа SEP11 или 12. все.

на всякий случай
Переименуй файл HOSTS в NOHOSTS
в папке C:\WINDOWS\system32\drivers\etc


 
Бубль
Сен 22, 2010 at 19:02

=) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =) =)


 
Генадий
Окт 1, 2010 at 13:37

Здравствуйте! У меня тоже эта проблема. Не могу зайти на сайты типа доктора Веба и Касперского…. .заплатки на Windows установил, програмку запустил….никакого результата. На вышеобозначенные сайты как не мог попасть тпк и не смог. В чем проблемма?
С уважением


 
Antonio
Окт 2, 2010 at 0:46

Геннадий, вам возможно поможет очистить файл
c:\WINDOWS\system32\drivers\etc\hosts

и оставить там только одну строку

127.0.0.1 localhost


 
Геннадий
Окт 2, 2010 at 7:12

Antonio
Спасибо, попробовал…. на Касперского уже получается зайти на Веба и Нод по прежнему не пускает
С уважением


 
Antonio
Окт 2, 2010 at 18:06

Можно попробовать скачать и установить последнюю ознакомительную версию касперского и провериться им (он будет работать в течении 30 дней, так же функционально), а дальше уже решить покупать его или поставить, например, бесплатную авиру..


 
Геннадий
Окт 6, 2010 at 10:53

Спасибо еще раз за советы, запустил програмку несколько раз….и чудо…с 4 попытки он его (вируса) выловил….выход на антивирусные сайты открылся!!!
С уважением


 
Antonio
Окт 6, 2010 at 23:55

Рад, что помогло :-)


 
Edovich
Окт 25, 2010 at 17:39

Меня спасло лишь это:
Идем в меню выполнить (в меню Пуск). Пишем: regedit. Открывается реестр. Идем по адресу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\Tcpip\Parameters\PersistentRoutes. Стираем там все, кроме строчки «(по умолчанию)». Закрываем реестр
Антонио, добавь это в свой список и этот совет)


 
Аноним
Ноя 9, 2010 at 11:20

спасибо за утилитку — теперь качаю спокойно демо-антивирус


 
Евгения
Ноя 22, 2010 at 14:16

Добрый день!
Судя по описанию поймала именно эту зверушку. Сделала все, что предложено вами как лечение. Еще прогнала AVZ. Результата — никакого. Никакого вируса ни утилиты, ни Авира не находят. Единственно положительное — после установки критических обновлений стали запускаться утилиты Касперского. Но выйти на антивирусные сайты по прежнему никак.
Что еще можно попробовать? Просто уже не знаю что делать.


 
Вадим
Ноя 22, 2010 at 14:23

А файл, localhost проверяли? чистый?


 
Евгения
Ноя 23, 2010 at 9:55

Проверяли. Чистый :(


 
Вадим
Ноя 23, 2010 at 11:40

Тогда посмотрите реестр. Забейте в поиск адрес какого-нибудь сайта, на который вы не можете зайти. Встречал как-то раз такую блокировку входа на сайты.


 
SlaGu
Ноя 23, 2010 at 12:30

куреит в безопасном режиме уберет то что нужно.
в реестре нет нифига, зараза сама умеет трафик перехватывать.
скачать другим компьютером.
поставить SEP 11 (Symantec Endpoint Protection) в нем есть замечательная штука Proactive Threat Protection
забыть про вирусы
Писал про это неоднократно, почему все такие толстокожие.


 
АЛЕКСЕЙ
Ноя 30, 2010 at 15:52

Я ВСЁ ДЕЛАЮ КАК ОПИСАНО В ИНТЕРНЕТЕ И У ВАС И НЕ МОГУ ПРОВЕРИТЬ СЪЁМНЫЙ ДИСК.ПРОВЕРЯЕТСЯ ТОЛЬКО С И D В ВЛЖУ КЛЮЧИ А ОН ПИШЕТ ЧТО НЕ ЯВЛЯЕТСЯ КАКИМ ТО КАТАЛОГОМ?????????????????


 
Евгений
Дек 20, 2010 at 11:49

Спасибо за файлы по убийству этого вируса, всё сработало.


 
SlaGu
Дек 20, 2010 at 13:00

надолго ли?


 
КостО
Янв 4, 2011 at 2:46

Вопрос….а заплатки если эти на винду пиратскую поставить не появится проверка подлинности? :-D


 
Antonio
Янв 4, 2011 at 22:37

Алексей, если не получается проверить, то как вариант перенести важные данные и отформатировать, не помешает в любом случае или внимательно посмотреть ключи запуска программы.

КостО, нет за проверку подлинности отвечает другое обновление, макрософту в любом случае не охото подрывать авторитет своего детища всякими кидо =)


 
Dmitriy
Янв 22, 2011 at 15:28

Антонио, а Вы случайно не в курсе что может быть за проблема когда пропадает пинг….самое главное что проблема непосредственно в компьюетере, потому как с другого все работает ровно. когда-то была проблема с вирями, нашел кидокиллер на Вашем блоге, запустил помогло. ща вот просканировал — все чисто. где собака зарыта?


 
Т111
Янв 22, 2011 at 23:16

=) О ЛЮДИ ВЫ БОГИ! =)
Спасибо огромное стёр тут же и мигом!как всё легко то!
Косяки статьи:
1.Правдо оч глуппо сыли на сайты каспера и тд.не пускает но за здешние СПС
2.побольше о пользовании кидокиллером(хотя мож я дурак не дочитал)
А в остольном СПС!!!


 
Рома
Янв 31, 2011 at 22:17

Хз не могу удалить кидо утилитой пробую она просто закрывается через некоторое время…..Что делать посоветуйте а ОС менять не охота!!!!


 
Antonio
Фев 1, 2011 at 1:13

Т111, ссылки на другие сайты, так как я предполагаю что у вас как у меня не один комьютер, т.е. хоть еще один не зараженный компьютер, или еще не заражен и вы хотите его защитить :-). про использования кидокиллера, мне кажется вполне описано в его встроенном хелпе kido

добавил последнюю версию и написал ключи, которые стоит попробовать


 
Алексей
Мар 1, 2011 at 16:41

Вышеописанные действия и антивирус касперского помогает отчасти. В папке корзины точно вирус остался, не удаляется никак. Проверка ничего не показывает. Устанавливаю Symantec ..


 
Юзер
Мар 3, 2011 at 14:24

Докладываю о прлоделанной работе по удалению Кидо, может кому поможет (например Роме).
Итак, напомню, что было: нетбук заражен (ХР), сайты антивируса заблокированы, при обмене флешками черьвь пишет себя на них, идет лишний траффик в инете.
КК, CureIT и другие антивирусники не запускаются ни в простом, ни в безопасном режиме, просто схлопывается окно и прога не идет.
С момента моей публикации 24 Июня 24, 2010 конкретного способа обойтись без формата винта тут так никто и не посоветовал! :( а в конце января 2011 мне конкретно приспичило почиститься, поэтому я пошёл в направлении указаным Антонио: загружаться с внешнего носителя и чистить винт. Проблема была в том, что нетбук не имеет дисоквода, надо было грузиться с загрузочной флэшки, которую для начала надо было создать, а это тоже не совсем просто (в сети есть много материалов на этут тему). Я в этом деле так и не преуспел, но наконец, среди моих знакомых нашёлся любитель профессионального уровня, который мне сделал такую флэшку, причем под Linux и записал туда DrWeb и ККiller. Загрузка под Линуксом и последовательное применение указанных средств позволило вычистить основную дрянь. После этого уже при обычной загрузке был установлен Касперский, применение которого позволило отловить ещё кучу «дремлющих копий» червя, которые пропустили Др.Вэб и КК. Может это были просто «мертвые» кусочки кода, но на всмякий слкчай удалил их тоже нафик!
Пока сижу на Каспере, пробная версия на 30 дней, после окончания срока буду или покупать на него лицензию, или ставить Симантек (SEP 11 «Symantec Endpoint Protection»), как тут советуют.


 
Victor
Мар 30, 2011 at 11:24

Скажите пожалуйста уязвима ли ОС Windows 7 ultimate для kido?


 
Antonio
Мар 30, 2011 at 23:13

если система обновлена всеми заплатками, то нет


 
Victor
Мар 31, 2011 at 14:05

Где взять эти заплатки под мою ОС win 7?


 
Antonio
Мар 31, 2011 at 22:40

Так нужно просто обновить операционную систему стандартным образом, установиться все что нужно. Или вообще включить уведомление о новых обновлениях и подтверждать установку в ручном режиме (у меня так включено)


 
Денис
Апр 5, 2011 at 14:14

Подскажите, может это тоже дело рук такого же или этого вируса? Вобщем с недавнего времени, а точнее с субботы, мой компьютер стал не послушным, и даже очень. Дело касается интернета. Опишу подробней. Подключаюсь к интернету, захожу в браузер или куда либо еще, что касается интернета, и в течении 5 минут я успешно вылетаю в локальную сеть моего провайдера, Дальнейшие попытки связи с провайдером по средством телефона установили то что при попытке подключения мой компьютер зачем то начинает создавать второе или повторное подключение и в связи с этим вылетает из сети, Все попытки по телефону решить эту проблему привели к тому, что консультант провайдера поставил диагноз смены операционной системы (виндовс ХР ) что я с успехом уже сделал без помощи консультанта, после установки всех драйверов, в том числе и сетевого драйвера от материнской платы, и создания нового подключения я успешно и без проблем вновь окунулся в дебри рунета. Вчера все было замечательно, но сегодня началось все заново. Я хотел спросить знающих людей, кто возможно знает в чем проблема и как её грамотно решить. За ранее благодарю за вашу помощь. Если нужны еще подробности то я сообщу, только спросите.


 
Antonio
Апр 6, 2011 at 21:33

Денис, вы не написали были ли установлены обновления для операционной системы и какая антивирусная программа используется.


 
SILAEV-SAN
Апр 17, 2011 at 18:09

«»АЛЕКСЕЙ Ноя 30, 2010 at 15:52 Я ВСЁ ДЕЛАЮ КАК ОПИСАНО В ИНТЕРНЕТЕ И У ВАС И НЕ МОГУ ПРОВЕРИТЬ СЪЁМНЫЙ ДИСК.ПРОВЕРЯЕТСЯ ТОЛЬКО С И D В ВЛЖУ КЛЮЧИ А ОН ПИШЕТ ЧТО НЕ ЯВЛЯЕТСЯ КАКИМ ТО КАТАЛОГОМ????????????????? «»

+1 *HELP*

СЪЁМНЫЙ ЖЕСТКИЙ ДИСК 500ГБ.НА НЁМ БЕСЦЕННАЯ ИНФА И ФАЙЛЫ.
ТО ЖЕ ЧТО И У АЛЕКСЕЯ… ПРОБОВАЛ ВСЁ ВЫШЕ ОПИСАННОЕ, ОБЛАЗИЛ ВЕСЬ НЕТ… ]:-> НИЧЕГО НЕ ПОМОГАЕТ.
ВЫЛЕЧИЛ ДВЕ МАШИНЫ А ПЕРЕНОСНОЙ ВСКРЫТЬ НЕ МОГУ. У КОГО БУДЕТ КОНКРЕТНОЕ РЕШЕНИЕ ПРОБЛЕМЫ ОТБЛАГОДАРЮ


 
Antonio
Апр 17, 2011 at 23:24

так к слову — некрасиво писать большими буквами, обычно такие сообщения хочется просто удалить..

а по делу — набор ключей в этой команде должен так же чистить и на съемных дисках вирус

kk -j -t -a -r -f

вот какую рекомендацию по удалению вируса на съемных дисках дает Лаборатория Касперского

Удалить следующие файлы со всех съемных носителей:
:\autorun.inf
:\RECYCLER\S-< %d%>—< %d%>-%d%>-%d%>-%d%>-%d%>-%d%>\.vmx,
установить все обновления, провериться нормальным антивирусником со свежими базами..


 
SILAEV-SAN
Апр 18, 2011 at 13:06

Уважаемый Антонио. ключи безсмысленны и касперский тоже
про авторан и рециклед я и сам в курсе. дело в том что в отличие от машин жесткий диск блокируется из нутри и показывает: свободно 0 занято 0 при проверке НОРМАЛЬНЫМИ антивирусами (других не держим) пишет файлов проверено 0 инфицированных 0. в дереве машины показывает съёмный диск Е с путыми данными. естественно не представляется возмыжным пролезть к авторанам и рецикледу. использовал антивиры: Каспер. Аваст. Дровеб. Симантек. Нод. все в последних обновах +лицензия (есть у меня такая возможность), более того использовал все утилиты рекомендуемые для борьбы с этим «конфакером» описанных в нэте. и все заплатки и обновления на системе тоже стоят. система экс пи проф. по этому мои машины в полной безопасности. моментально опевещают и удаляют сраный кидо, а вот «500гб» в глухой обороне и к себе никого не пускают…

борьба продолжается пятый день… пока тщетно…

пы сы. прошу простить за большие буквы. просто накипело и хотелось орать. :-[


 
Antonio
Апр 19, 2011 at 23:23

Не представляю такой блокировки, точнее тяжело представляю,
а пробовали подключать винт на машину без антивирусника?
Если там он видится нормально, просто перелить данные и отформатировать.
Это можно безопасно сделать если у вас есть какой-нибудь Linux или Unix (что не столь важно). Ну или на крайняк с винды, а потом по сети, на ваш комп, а форматнуть можно каким-нибудь устройством. Нужен просто творческий подход. Если что стучите в аську, ваш случай если все действительно так — интересный =)


 
SILAEV-SAN
Апр 20, 2011 at 10:58

пробился к файлам, но пока не даёт их вытащить. чусвствую финал.
«рецептом» поделюсь если одна идейка прокатит. *YAHOO*


 
Сергей
Апр 21, 2011 at 19:45

Доброго времени суток! Есть проблема… Поймали KIDO на сервак. Пролечили всё и поставили защиту на всё, кроме рентгена и компьютерного томографа ( дело в клинике происходит). Эти установки не имеют выхода в инет, только на сервак. Рентген был пролечен KK, а вот томограф…На нём стоит Windows 2000, файрвола по определению нету, юсб нету, есть только карман под дискеты:) и сидюки, которые отключены по причине запрета Тошибы как автора сего продукта(типа, чтоб никто не лазил туда). KK не запустился, так как спецы от Каспера не предусмотрели вариант для 2000, а курайт не влазит на 1.4М…Есть шанс пролечиться не останавливая томограф? Заранее спасибо за любую помощь.


 
Antonio
Апр 26, 2011 at 21:45

Сергей, как вариант — снять винт и проверить его на другой машине, еще можно скачать антивирусник по сети (у вас ведь есть доступ по сети к серверу), странно что у вас не запускается кидокиллер. с 2000-й очень давно не работал, но фаервол там должен быть это ведь серверная винда.

В общем нужно пробовать, так как вариантов масса.


 
Сергей
Май 9, 2011 at 19:16

Мне блин, ничего не помогло!!! Что делать ? ? ?


 
Сергей
Май 9, 2011 at 19:21

Мне ничего вышеописанное не помогает, может что ещё можете посоветовать ?


 
Сергей
Май 9, 2011 at 21:20

Короче, кому не помогло, можете сделать «откат», мне помогло!


 
Админ
Июн 7, 2011 at 4:26

Здравствуйте! у меня следующая проблема — на серваке появ-сь собщение Generic Host Processes for Win 32 Services обнаружена ошибка, приложение будет закрыто, потом сервак начал из сети вылетать, пока его не перезагрузишь, а потом и вовсе перестал пинговаться. Ладно, отключил сервак, увезли в управление, там будут разбираться, сейчас перевел на старый сервак все спец. проги, все ужасно тормозит. На компах обнаружены в Tasks задания At1….и т.д. проверяю КК пишет что обнаружены эти джобы и удаляет их, доктор веб ничего не находит. Явно кидо не находит. Что у меня — Кидо? И что мне делать?


 
Antonio
Июн 7, 2011 at 20:58

Советую внимательно прочитать статью и ВСЕ комментарии сказано по кидо и подобному очень много, я приводил комментарии и люди делились опытом, в процессе чтения нужно брать пациента, осматривать его и пытаться лечить.

Как правило я больные машины просто переставляю, накатываю все обновления и в плаванье, как правило это более надежный вариант, чем потом разгребать последствия жизнедеятельности вирусов и глюки системы..

Удачи в этом нелегком деле!


 
Сергей
Авг 11, 2011 at 11:06

Вирус очень прост, как говорят Европейские специалисты что он пришел 90% из Украины, и его заблокировать достаточно трудно потому что он ежедневно создаёт кучу сайтов с фейковыми айпи и атачит комп, это так — да но на компе он лежит в папке систем32, под файлами 32,75,46.exe, их можно удалить и всё и атаки можно заблочить хорошим фаерволом типо Outpost firewall 7.5 pro и все… кстате умелым пользователям фаервол заменят все эти антивирусы которые впринципе не нужны)


 
Antonio
Авг 11, 2011 at 12:13

Сергей, вы правы в плане файервола, но все-таки он не заменит хороший антивирусник, ведь вирусы еще могут грузить процессор, блокировать вход в систему, шифровать и удалять файлы и многое другое..


 
Юзер
Авг 11, 2011 at 12:49

Я конечно ламер, но совет «умелым пользователям фаервол заменят все эти антивирусы которые впринципе не нужны» мне кажется очень странным, учитывая, что вирус КИДО передаётся через флэшки и прочие съемные носители.
Я бы этот совет не советовал воспринимать всерьез, особенно если вы часто имеете дело с чужими флэшками, никакой файрвол вам не поможет избежать заражения.


 
Blacklife
Сен 23, 2011 at 19:19

Вообще-то когда у вас этот вирус, то на сайт майкрософта и касперского не попадете… и каким же извеняюсь образом нам скачать для лечения??!??!?! %)


 
Antonio
Сен 24, 2011 at 17:32

Все что нужно для лечения — это кидокиллер, его можно скачать с моего сайта, читаем внимательно.
Ссылки на Касперского и Микрософт даны для того чтобы компьютер не заразился и для профилактики и сейчас уже редко у кого дома один компьютер, да и например, есть друзья, знакомые, на работе в конце концов. Мы же не в каменном веке.

Если это действительно необходимо могу скачать и разместить у себя. Многим людям эта статья уже помогла — выбор за вами.


 
алена
Окт 13, 2011 at 13:04

%) хелп ми….
подхватила эту дрянь. Муж переустановил вчера винду и полез в инет, а антивирь не был установлен еще… *CRAZY*

Скачала кидокиллер. Запускаю — вылазит окошко черное.. и… дальше что??? :(


 
алена
Окт 13, 2011 at 13:29

Меня спасло лишь это:
Идем в меню выполнить (в меню Пуск). Пишем: regedit. Открывается реестр. Идем по адресу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\Tcpip\Parameters\PersistentRoutes. Стираем там все, кроме строчки “(по умолчанию)”. Закрываем реестр
_______________________________________

а у меня там только по умолчанию строчка :P


 
алена
Окт 14, 2011 at 10:34

=) ура. скачала самую последнюю версию кидокиллера. все сделал сам за 5 минут.

Теперь авастом проганяю %) — — куча зараженных файлов..


 
Павел
Ноя 9, 2011 at 19:40

А что делать если после удаления Кидо перестал работать интернет (не подключается локальная сеть), хотя с вирусом никаких проблем не было.


 
Охотник
Ноя 10, 2011 at 2:02

алена зачем в реестр лезть, если можно выполнить команду route -f


 
tsaga
Ноя 22, 2011 at 9:22

А если собака в сети, и постоянно создаются запланированные задачи в виде at0 и так по возрастающей. KK спасает только от этих задач (в моём случае), есть ли варианты, предложения, как грохнуть эту собаку в сети? Компьютеров очень много, и отключать от сети не вариант. Где то стоит XP, где-то Win7.


 
tsaga
Ноя 22, 2011 at 9:26

А если собака в сети, и постоянно создаются запланированные задачи в виде at0 и так по возрастающей. KK спасает
только от этих задач (в моём случае), есть ли варианты, предложения, как грохнуть эту собаку в сети? Компьютеров
очень много, и отключать от сети не вариант.


 
Sla Gu
Ноя 22, 2011 at 11:14

>tsaga< если у тебя сеть — поможет только SEP, ставишь на все компьютеры, наблюдаешь как эта хрень умирает — занятное зрелище.
ЗЫ: Если SEP не ставится — предварительно отключить сеть, прогнать CUREIT — замечательно помогает


 
Antonio
Ноя 22, 2011 at 12:51

tsaga, раньше кидо помогал и в сети,
нужно на ключи запуска внимательно смотреть
и патчить компьютеры, включать брандмауеры
в общем работать с каждым ПК индивидуально
это как раз есть повод навести порядок (если за него отвечаете вы)


 
deimon
Ноя 29, 2011 at 8:58

вот и я на работе столкнулся с этим вирусом, прочитал всю статью, первое что успел сделать это прогнать Kidokillerом, не особо помогло, в общем что хочу спросить, помимо способа как на сайте касперского есть и другие варианты, комуто помогают кому то нет, подскажите какой способ саммый эффективный. 8 станков ЧПУ с ХР, соединнные сеткой + офисные компы в этой же сетке, на компах антивирусы стоят, а на станках нет…


 
Саня
Мар 19, 2012 at 11:45

Кто распространяет вирусняки убил бы не задумываясь, пох сел бы но убил честное слово!!! >:o


 
Жека
Апр 10, 2012 at 14:49

большое спасибо за статью и советы…
после установки заплаток и прогонки КК всех компов и кюреитом серваков сеть сначала не очистилась… после отключения свитча, повторно прогнал КК — уже нет признаков заражения. Заметил, что восстанавливалось заражение после перегрузки контролера домена.


 
Antonio
Апр 11, 2012 at 9:50

Пожалуйста =)
конечно контроллер доменов нужно лечить в первую очередь, ну и на время лечения отключать сеть


 

Написать


Копирование информации с сайта возможно только с указанием прямой ссылки - https://nemcd.com