Вирус Net-Worm.Win32.Kido , лечение Kido
Сегодня столкнулся с вирусом Net-Worm.Win32.Kido или просто Kido.
Когда на одном из серверов остановилась служба Сетевой вход и Сервер и пропал доступ к его расшаренным папкам (такого не было никогда ранее). Мне сразу показалось что-то тут не чисто. Службы были перезапущены и все пошло своим путем. А позже я занялся изучением и поиском виновника.
Рассмотрим противника:
Net-Worm.Win32.Kido поражает Windows 2000 и более поздние версии, вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет постоянно видоизменяющийся (полиморфный) упаковщик, что затрудняет его анализ.
I. На сайте Касперского предлагается решение по обнаружению и удалению вирусов семейства Net-Worm.Win32.Kido
Решение:
1. Скачать и установить патч от Microsoft, который закрывает уязвимость MS08-067 ().
2. Скачать и запустить утилиту KidoKiller.exe из архива KidoKiller_v3.zip ()
3. Общая рекомендация. Не забывать обновлять операционную систему высокоприоритетными обновлениями.
II. Компания «Доктор Веб» информирует о широком распространении опасного сетевого червя Win32.HLLW.Shadow.based (известного также под именем Conficker.worm, Downadup и Kido) и предлагает метод лечения :
1. Установить патчи, указанные в следующих информационных бюллетенях Microsoft:
MS08-067 ;
MS08-068 ;
MS09-001 ;
2. Отключить компьютер от локальной сети и от Интернета. Если компьютеры подсоединены к локальной сети, то вылеченный компьютер необходимо подключать обратно к локальной сети лишь после того, как будут вылечены все компьютеры, находящиеся в сети.
3. Скачать текущую версию утилиты Dr.Web CureIt! на неинфицированном компьютере, перенести ее на инфицированный и просканировать все диски, тем самым произведя лечение системы.
4. Для профилактики распространения вирусов рекомендуется отключать на компьютерах автозапуск программ со съёмных носителей, использовать автоматическое обновление Windows, не применять простые пароли входа в систему.
На заметку.
При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
Вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению буфера. В результате данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP.
Так же возможно отключение доступа к общим каталогам и прочим сетевым службам.
P.S. я использовал первый метод защиты (лечения), но повторно проверял так же и утилитой Dr.Web CureIt! от «Доктора Веб» .
Дополнительно можно почитать:
от компании «Доктор Веб» —
от Вирусной Энциклопедии —
от Лаборатории Касперского —
Ключевые слова: скачать утилиту kidokiller | kidokiller v3.zip | kidokiller v3 | worm.32.kido.hf | net-32.kido | kidokiller скачать
Добавлено 02.03.09 (для тех у кого не работают сайты касперского и микрософт, файлы для лечения с нашего сервера)
Обновленная утилита лечения от Касперского KidoKiller_v3.3.2.zip
Критическое обновление для Windows XP — WindowsXP-KB958644-x86-RUS
Добавлено 03.03.09
Критическое обновление для Windows Server 2003 Service Pack 1 и Windows Server 2003 Service Pack 2 — WindowsServer2003-KB958644-x86-RUS.exe (очень рекомендую не забывать обновлять сервера, спешить конечно тоже не стоит и накатывать всё на все, но и не забывайте! 
)
Добавлено 11.03.09
По непроверенным данным kido не трогает машины, на которых установлена украинская раскладка клавиатуры.
Добавлено 14.03.09
Разработчики антивируса BitDefender также сделали утилиту для удаления Kido или как они его называют Win32.Worm.Downadup.Gen
А так же у них есть «The 30-second Antivirus Scan: BitDefender QuickScan Beta» (30 секундное антивирусное он-лайн сканирование ПК)
P.S. зараженных машин под рукой не было, поэтому эффективность инструмента мной не проверена, но продукты BitDefender штука не плохая.
Добавлено 01.04.09
Это не первоапрельский прикол, действительно уже появился KidoKiller версии 3.4.3 — KKiller_v3.4.3.zip
Добавлено 09.04.09
Обновилась утилита KidoKiller уже версия 3.4.4 — KKiller_v3.4.4.zip
Сегодня обнаружил такой факт — если запустить кидокиллера с пользовательскими правами (т.е. работая под учетной записью с правами Пользователь), то утилита работает секунд 5-10 и вылетает с ошибкой! (обратите на это внимание и не забывайте!)
Добавлено 14.04.09
Еще признаки kido
1. Создает на съемных носителях (также на сетевых дисках если доступно на запись) файл autorun.inf и файл RECYCLED\{SID}\random_name.vmx
2. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\sfefs.dll
3. Прописывает себя в сервисах со случайным именем, состоящим из латинских букв, например gfjdsnk.
4. Атакует компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
Добавлено 16.04.09
Новая версия — KidoKiller 3.4.5 скачать
Добавлено 20.04.09
Нашел утилиту скачать (утилита разработана компанией Positive Technologies)
С помощью этой утилиты системные администраторы смогут быстро и легко выявить уязвимые системы и установить соответствующие исправления. Для корректной работы утилиты на системе должен быть установлен .NET Framework.
Внимание! Утилита работает в режиме тестирования на проникновение, в связи с чем, не имеет возможности обнаружить узлы, зараженные червем Conficker.B, поскольку червь устраняет уязвимость MS08-067. Для проверки зараженных систем необходимо использовать механизмы аудита системы MaxPatrol или XSpider.
После последнего посещения вышеуказанных страниц с заплатками, мне показалось что у Микрософт, что-то наверчено и толком по тем ссылкам скачать не получается, вообщем я нашел у них все что нужно и добавляю информацию тут:
Критическое обновление для системы безопасности (заплатки от уязвимости MS09-001):
— Windows XP (SP2, SP3) (KB958687) (MS09-001) — WindowsXP-KB958687-x86-RUS.exe
— Windows Server 2003 (SP1, SP2) (KB958687) (MS09-001) — WindowsServer2003-KB958687-x86-RUS.exe
Критическое обновление для системы безопасности (заплатки от уязвимости MS08-068):
— Windows XP (SP2, SP3) (KB957097) (MS08-068) — WindowsXP-KB957097-x86-RUS.exe
— Windows Server 2003 (SP1, SP2) (KB957097) (MS08-068) — WindowsServer2003-KB957097-x86-RUS
Критическое обновление для системы безопасности (заплатки от уязвимости MS08-067):
— Windows XP Rus (SP2, SP3) (KB958644) (MS08-067) — WindowsXP-KB958644-x86-RUS.exe
— Windows Server 2003 Rus (SP1, SP2) (KB958644) (MS08-067) — WindowsServer2003-KB958644-x86-RUS.exe
уязвимость описанная в MS08-065
Если у вас Microsoft Windows 2000 с пакетом обновления 4 (SP4), то обратите внимание!
Не подвержено уязвимости:
Windows XP с пакетом обновления 2 (SP2) или 3 (SP3)
Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2)
….
Была проблема (в самом начале эпопеи) — появилась на одном из сетевых дисков папка RECYCLER (типа корзина), но на самом деле не корзина, а создал ее кидо, сразу было видно кто создал (так как на сервере доступ был с паролями), пользователь был почищен и пропатчен, а вот папка не удалялась. Чтобы ее удалить нужно:
1. Войти в ту папку (лучше с коммандера FreeCommander, Total Commander, только не проводником, чтобы не вдруг не активизировать заразу) найти файл, который был не доступен к удалению даже администратору (там было что-то типа jwgkvsq.vmx), на него нужно добавить полный доступ Администратору, остальные можно удалить и можно сменить владельца на Администратор (это все если вы работаете под Администратором и тогда файл получится удалить.
2. Директории я удалил командами типа
rmdir /s /q «./S-5-3-~1»
rmdir /s /q RECYCLER
(до этого я тоже добавил доступ к директориям Админу)
Добавлено 22.04.09
Новая версия — утилита для удаления вируса Kido — KidoKiller 3.4.6 скачать
Начиная с версии 3.4.6 в утилиту KK.exe добавлены коды возврата (%errorlevel%):
3 — Были найдены и удалены зловредные потоки (червь был в активном состоянии).
2 — Были найдены и удалены зловредные файлы (червь был в неактивном состоянии).
1 — Были найдены зловредные задания планировщика или перехваты функций (данная машина не заражена, но в этой сети могут находиться зараженные машины — администратору следует обратить на это внимание).
0 — Ничего не было найдено.
P.S. В сети где используется домен(ы) нужно в первую очередь лечить контроллеры домена и компьютеры, на которых залогинены пользователи, входящие в группы «Administrators» и «Domain Admins» в домене. Иначе, лечение бесполезно — все компьютеры, входящие в домен, будут постоянно заражаться.
P.S.S. Смотрим ключи KK
Добавлено 05.05.09
Новая версия утилиты для удаления вируса — KidoKiller 3.4.7 скачать
Добавлено 19.05.09
Ключи для запуска утилиты KK.exe из командной строки:
| -p < путь для сканирования> | Cканировать определённый каталог |
| -f | Cканировать жёсткие диски, сканировать переносные жесткие диски |
| -n | Cканировать сетевые диски |
| -r | Cканировать flash-накопители |
| -y | Не ждать нажатия любой клавиши |
| -s | «Тихий» режим (без чёрного окна консоли) |
| -l < имя файла> | Запись информации в лог-файл |
| -v | Ведение расширенного лога (параметр -v работает только в случае, если в командной строке указан также параметр -l) |
| -z | Восстановление служб · Background Intelligent Transfer Service (BITS), · Windows Automatic Update Service (wuauserv), · Error Reporting Service (ERSvc/WerSvc) |
| -х | Восстановление возможности показа скрытых и системных файлов |
| -a | Отключение автозапуска со всех носителей |
| -m | Режим мониторинга потоков, заданий, сервисов |
| -j | Восстановление ветки реестра SafeBoot (при ее удалении компьютер не может загрузиться в безопасном режиме) |
| -help | Получение дополнительной информации об утилите |
Добавлено 22.10.09
Новая версия утилиты для удаления вируса Kido — KidoKiller 3.4.13 скачать
Добавлено 01.02.2011
Оказывается тема кидо еще актуальна, добавляю последнюю версию
KidoKiller 3.4.14 скачать
Ключи использовании версии KidoKiller 3.4.14
запускаем cmd в каталоге где у нас лежит антикидо или прописываем к нему путь при запуске kk
и выполняем
kk -j -t -a -r -f
подробнее о ключах можно узнать выполнив kk --help
Спасибо огромное! Всё работает отлично!
Товарищи! Не забывайте: этот вирус блокирует ВСЕ сайты типа kaspersky.ru freedrweb.ru и других противовирусников! Ну нафига тогда, спрашивается, вы даете ссылку для скачивания с этих сайтов??? Залили бы на левый хост, хоть на рапиду — цены б вам не было!!!
Павел, я как-то особо не задумывался, так как у меня в запасе несколько компов :-).
Хотя наверное перезалью и размещу ссылку у себя.
Спасибо за отзыв!
достаточно интересная ситуёвина.
Дело в том, что все симптомы у меня от кИдо.
но:
1. до тех пор пока не включается какой-то комп, вся сеть работает без проблем.
2. Заплатка на 2003 серв Энтерпрайз есть?)
3. после установки заплатки на компы с ХР, ХР видит сеть, но после прохождения Киллером, оказывается что нифига нетути. оО втф?
Кстати, вопрос проще — в вин 2003 серв СП2, закрыта ли эта дырка?
пасиб огромное за кидокиллера.
я и не думал что у мну столько побитых файлов будет (
M00nL, заплатка не дает вирусу пролезть на компьютер используя уязвимость в Windows, а антикидо уже убивает его. Желательно антикидо выполнить до заплатки, потом поставить ее, перезагрузиться и прогнать антикидо еще разок.
Для Windows Server 2003 SP1 и SP2 добавил явную ссылку на скачивание заплатки.
Malice, пожалуйста ;-), а вообще спасибо за него Лаборатории Касперского :-).
спасибо за инфу ) серваки уже обновил и всё почистил. нашёл разносчика в сети))
убил)
Кстати, мы Тёски) сейчас вообще сижу довольный, поставил Сервак. сделал 1с Терминалом))) бухи радуются)))
M00nL
бухам нравиться работать в терминале?
или у вас слабые компы?
или стало намного быстрее?
Вопрос на засыпку, плохо ли я искал но кидокиллера на сайте касперского найти не смог, там утилиты серединой прошлого года заканчиваются…
нашел тулу у касперского поиском, в явном виде она не выложена… ))
сейчас другую проблему решать буду — сервер wsus сети установлен был на виртуалке vmware сервера. не единственный заметьте, но к нему единственному у меня полностью пропал доступ, сама вмварь и недает с ним ничего делать и в него внутрь залогинится немогу, легче снести новый поставить, так как сервак недавно поднял и ни бакапов ни снапшотов еще не делал.
В середине статьи (2-й пункт решения, есть прямая ссылка на сайт касперского с утилитой, правда есть уже версия новее (ниже в статье ссылка))
Действительно поиск рулит
Существуют разные модификации вируса кидо, возможно твоя вмварь подверглась нападению какой-нибудь мутации.
Про бэкапы не стоит забывать, хотя если сервант простой и не сильно важный иногда проще действительно переставить, чтобы не забывать как это делается ;-).
При детальном исследовании выяснилось (или просто не обратил внимание в описаниях вирусов), что заражение происходит с помощью дос атаки, и любой мальский собственный антивирусный фаирвол становится непреодолимым препятствием. вот и способ лечения большой сети — выключаем сеть, лечим, ставим антивирус с интернет секьюрити, смотрим логи дос атак — идем к следущему клиенту.
еще проще способ — включаем виндовский фаервол, антикидо, потом патчим и снова антикидо
Спасибо просто приогромное
очочоч помогло))
О, так намного лучше!
точно подцепил когда с хохляндией соединение было не знаю что делать док и касперыч не видит а атаки идут
migalich, в статье указан ряд процедур для избавления от вируса.
и главное они работают!
у мну трабла такого плана сеть с актив директори(445 порт нельзя совсем отключить) этот кибо разбушевался адски просто ВСЕ станции заражены сношу эту пакость на 1 машине патчу, а через час кибо опять на месте, поменял все пароли от старых учеток на машине на извращенские непомогает, вопрос что делать? (сканю и кибокиллером от каспера и виндовой тулзой и гмером сверху проверяю сносится легко но возвращается быстро)
uzr, а ты пробовал сервак лечить?
похоже он как контроллер домена опять все заражает (с его полномочиями — это не проблема)
здрасте, странно win vista sp1 home premium + kis2009 чем тока не сканил киллер 3.4.1 нифига невидит др.веб тоже и каспер после обновы тож ничё ненашёл, а обновления недоступно и на сайты фиг залезеш, засел дето сволоч, как быть , Help.
podonak,
а что в файле C:\WINDOWS\system32\drivers\etc\hosts — лишнего в отличии от
127.0.0.1 localhost
ничего нету?, если есть оставь только эту строку и попробуй снова.
А как вообще на другие сайты заходит, может проблема в ДНС?
Antonio,
кроме 127.0.0.1 localhost больше ничего нету, на другие сайты заходит отлично, проблем с DNC не наблюдалось,по описаниям всё подходит под KIDO, но ничего найти так и несмог,при запуске винды закрывается служба SERVISE и ещё кой какие системные проги( от ноутбука ASER), переодически отключается мышка на 2-5 секунды. При попытке автоматического обновления выдаёт ошибку (КОД 8х80190196), зайти на сайт майкрософт чтобы расшифровать немогу, непускает.
podonak,
ошибка похоже говорит что потеряна связь с сервером обновлений, что довольно верно, ведь доступа к определенным сайтам нету.
попробуй обновленную утилиту от сегодняшнего числа, скачать можно по ссылке в статье (ищи Добавлено 01.04.09)
antonio/
Большое спасибо за киллера 3.4.3, у себя ничего не нашёл зато на сервакееееееее который инет шарит:) там попался,появился доступ к сайтам:) буду качать заплатки огромное спасибо за помощ.
:-), оказалось все глубже.
рад, что помогло
Спасибо большое за программу. Не обновлялся касперский не было выхода на сайты касперского, щас всё отлично.
Спасибо!
скачал кидокилера, но он толком не запускается — вылезает окшечко на секунду и закрывается.. Что делать??
Попробуйте скачать и запустить обновленную утилиту (KKiller_v3.4.4), может вирус уже мутировал и стал умнее.
Если вдруг не получится. Скопируйте утилиту, например, на диск С, разархивируйте, запустите консоль (для этого нужно набрать команду cmd в Пуск — Выполнить) и после этого в консоли перейти в папку кидокиллера и запустить утилиту, тогда можно будет увидеть хоть что пишут после запуска.
Спасибо за проги ))) не заражен, но все же скачал для сетки… с 4 апреля заметил очень сильные и непрерывные Дос Атаки … если инет работает с утра до вечера, примерно 900 атак. Поставил Детектор Атак на макс. Наблюдаю постоянное сканирование портов с одних IP… и атаки с других IP… Kido — не плохо гуляет по поутинке….
Обалдеть что твориться. с понедельника буду свои сети чинить. Спасибо за инфо.
На моём компе налицо все признаки присутствия Kido, но KidoKiller (v.3.4.5) ничего не находит. Недавно обновил Windows до SP3 (если я правильно понимаю, он уже включает в себя заплатку MS08-067). Причём KidoKiller ничего не находил как до установки обновления SP3, так и после. Что делать в такой ситуации? Все знакомые компьютерщики в недоумении от такой ситуёвины.
Dark Soulbringer, попробуй скачать загрузочный диск с антивирусом Доктор Веб (ссылки есть выше) или для начала просто их утилиту CureIt!.
Вообщем, качай антивирусники, качай заплатки, отключайся от сети проверь антивирусником, поставь заплатки что не установлены (проверь утилитой что добавлена сегодня) соответственно где нужно перезагружайся. Если делать внимательно, я думаю все получиться!
Привет всем. Сегодня проверил компы утилитой КК. Практически все были заражены. После попробовал еще раз. показал ниличие вирусов, но уже в меньшем количестве после 3-й проверки вирус исчез, но на одном из компов все также через 60-80 минут пропадает сетевое окружение, хотя компы пингуються. а к нему доступа нет. Может еще какая то дрянь сидит или уже сетевуху надо менять. (После перезагрузки все работает, но потом опять пропадает.)
Может есть какие нибудь мысли по этому поводу?
Спасибо
Я так и не понял на зараженном компе можно антивирус установить и удалить вирус?
Garry-fm, патчи наложил? Утилитой проверь (см. выше ссылку), действительно ли компьютер защищен. Вирус может выбивать сетевую службу.
YaKuT, на зараженном компьютере необходимо выполнить процедуру лечения описанную выше.
не знаю почему но у меня КК и доктор веб разные вирусы находят. причем Кк при каждом новом запуске все равно находит вирусы заплатку установил
Добрый день!
Все вышеуказанные заплатки и даже SP3 не в состоянии самостоятельно справиться с червем. В нашем случае, после лечения червя утилитой от Касперского v.3.4.5 сам червь был найден и удален, затем все проверили Dr.Web CureIt! вроде бы все пропало, установили заплатки от Майкрософт, однако комп не отключался от сети, сеть доменная. Через несколько часов вирус появился вновь. Следует вывод, что заплаты, выпущенные Майкрософтом дыру не закрывают (как и было написано на некоторых сайтах, посвященных этой проблеме), либо вирус использует другую дыру в системе, либо плодится в сети используя локальные доменные пароли (на этот вывод наводит то, что в между собой в одну сеть соединены 2 домена, если в первом начиналась эпидемия, то на втором даже упоминания о черве нет).
Но, главное, что хотел сказать, заметил, что NOD32 успешно справляется с данной угрозой. В нашем случае червь звался Konfiсer.AA, Каспер сам его пропустил, а вот мною любимый NOD задержал и не впустил в систему. Все машины в сети с обновлением баз хотябы до 3 апреля справлялись с угрозой. Ни одна из них не заражена. Кстати, и выявлена проблема была на ранних стадиях, когда сначала начались сбои с соединением в 1С-ке, Нод по внутренней почте уведомил об активности червя в локальной сети.
Эта заметка не является одой Ноду, но просто перерыли очень много всего, а способ защиты оказался под носом. В большой сети это наиболее легкий и пока (Слава Богу) результативный вариант.
У нас пропатчена масса компьютеров, заражений нет.
Только что очищал компьютер от кидо (был без заплаток и заражен был давно, прямой выход в интернет отключен, проблем никаких не доставлял).
Методика в двух словах:
1. Запустил kidokillera, он нашел процессы и почистил их, авира очухалась и начала кричать вирус!, разрешил ей его удалить.
2. Поставил заплатки (3 шт.)
3. Перезагрузился
4. Еще раз кидокиллером — чисто.
P.S. НОД не использую с тех времен, когда был массовый вирус, а НОД его не видел (уже не помню какой). Да и касперского купить проще (есть всегда у наших поставщиков).
Авира бесплатная на паре компов как раритет, одно время рулила, а потом началось, что видит вирус, уже когда система серьезно заражена.
Вообщем, KAV 2009 — рулит!
Еще наткнулся на интересный материал: http://bishop-it.ru/2009/03/вопросы-и-ответы-conficker-и-1-апреля/
Вычитал, что заплаты защищают компьютер от заражения червём только, если угроза идет из интернета. Однако, вирус может попасть в ПК и через сменные носители. Тогда только заплаты уже не помогут, вирус разгуляется по вашей внутренней сети. Наилучшим вариантом советуют установить антивирусы с последними обновлениями и отключить автозапуск всех сменных носителей (флешки, диски и т.п.).
Та же проблема.Залез к нам 2 дня назад этот kido.В домене vista sp1. обновлений(kb) не было.Первое что заметили на висте, грохнулась раскладка клавы в трее, исчезла и язык не переключается, если вручную запустить ctfmon все появ-ся и раскладка работает.Ctfmon упал из-за того,что kido отрубил Планировщик заданий и еще несколько служб(журнал событий, маршрутизация и удал.доступ).Прошлись kidokeeler-ом и еще естьот symanteca прога Symantec W32.Downadup Removal tool , установили все kb(32 шт.с момента выхода vist-ы),все чисто. Но не знаем что делать с завалеными службами,не стартуют ни в какую. Эта дрянь похоже в реестре меня значения. Может кто сталкивался?
Вот-вот, у меня подобная ситуация была: раскладка клавы в трее исчезла и язык не переключался. Но у меня ещё хуже было — при запуске ctfmon вручную можно уже было переключать язык, но значок языка не появлялся (в параметрах языковой панели все 4 опции — отображать языковую панель на рабочем столе, дополнительный значок на панели задач и т.д. невозможно было отметить флажком из-за того, что эти опции не подсвечивались). Приходилось переключать по памяти, запоминая очерёдность установленных у меня языков — английский, македонский, польский, русский, сербский, хорватский, словацкий. Изматеришься весь, пока до нужного языка доберёшься.
А потом как-то всё само собой восстановилось.
А маршрутизацию и удалённый доступ Kido у меня тоже завалил, только они сами собой восстанавливаться не желают. Тоже не знаю, что делать. Все знакомые компьютерщики только репу чешут.
И ещё вот такой вопрос (может кто сталкивался) — у меня падение сети предваряется тем, что панель задач из голубой на мгновение становится серой (как в Миллениуме), а потом опять голубой, после чего не только локалка исчезает, но и невозможно открыть видео или аудиофайлы (пишет, что нужные аудиоустройства и аудиокодеки не установлены). Это тоже Kido шалит или ещё какая-нибудь дрянь?
P.S. Блин, руки бы оторвать по самую голову тому, кто этот вирус написал!!!!!!
Честно говоря, я бы просто переставил систему, так как не люблю каличные поврежденные системы, и на выяснение проблемы и устранение может уйти в несколько раз больше времени, чем на установку и настройку как нужно (со всеми патчами и антивирусниками) системы (которая будет работать быстрее и приятнее).
На важных системах я периодически делаю архив состояния системы встроенной программой ntbackup, но лучше не доводить до восстановления и быть «на гребне волны» :-).
у меня при запуске веба круелта комп рестартится, в чем может быть причина?
таг скачал анти кидо,запустил чтото он там просканировал,комп перезагружаю запускаю антивир каспер произвожу анализ папки виндоус и снова найден кид…что делать !?или мож я чтото упустил?
все вроде заработало. отрубил свитч, поставил 5 заплаток на каждый комп и лечил Кк, потом прогнал еще круелтом от доктора веба. вроде все заработало. поживем увидим.
Вопрос только как быть с 98 и 95 виндой. кидокиллер на них не пашет
Касперский говорит: «Операционные системы MS Windows 95 и MS Windows 98 не подвержены заражению данным сетевым червем»
razor, комп не в домене случайно?
патчи поставил?
Antonio это хорошо что не заражает 95 и 98. Но данная бяка у меня положила сервак с АСУ. надеюсь больше такого не будет. Кстати терь данный вирус еще на паре фирм блуждает и в милиции)
razor кстать кидо вроде не только в папке винды, System Volume Information сюда тоже залазит. Отрубай сетку, ставь заплатки на каждый комп и врубай КК, потом проверяешь еще раз касперским или круелтом от доктора веба. на 1 комп уходит минут 30. после этого врубаешь сервак и подрубаешь остальных к сети
зы. версия кидо 3.4.6 была у меня
Та вирус везде, где нету заплаток (а этих мест похоже немало)
ну как я заметил он в двух папках сидит. System Volume Information и system32
Доброго дня, вот уже третьи сутки восстанавливаем сеть, раз 15 переустанавливали винду на АД. На серваке который хранит базу данных, упали сетевые службы(api.net не восстановилась даже после переустпновки фремворка)соответственно не запускается SQL. Хелп!!!! ((((((
Андрей, компы от сетки отрубай и лечи каждый комп по отдельности. только когда все вылечишь тогда сеть подрубаешь. заплатки не забудь поставить
Андрей, винду прежде чем пускать в сеть нужно пропатчить!
Хотя мы лечили пару компов не отключая от сети и все было в порядке.
Методика: лечим, патчим, лечим, перезагружаемся, лечим.
И в первую очередь лечить компы с высшим приоритетом (серверы КД, серверы, рабочие станции).
Спасибо! сейчас сидим на работе ( все компы с утра отрубили от сетки…и «лечим». Кстати! Банальной переустановкой винды он не лечится т.к. заражены все локальные диски,т.е. если в системе два диска на одном С система а на втором или третьем D,E… файлы, он всё равно там сидит в скрытой папке RECICLE. В общем зараза ещё та! Сегодня зашёл в один из магазинов ИОН, походу там тоже KIDO поработал )))
хм, не замечал что он сидит в других дисках. Может поумнел. Запусти КК в командной строке kk.exe -f -r , он просканирует все жесткие диски и флешки. при запуске exe файла он сканит только диск где находится винда
Здравствуйте друзья, вот столкнулся с такой проблемой, с КИДО, вообщем эта дрянь по сети рассползлась везде. Скачал кидокиллера 3,4,6 на котроллере домена запустил, при проверке диска С:\ выдает: program crashed KidoMD5Detect. Не могу найти что, это??? На некотрых серверах такая же фигня.
отрубай свитч и лечи компы по отдельности
Aleksei, под Администратором запускаешь?
попробуй запустить с источника недоступного для записи
попробуй новую версию KK_v3.4.7
Свитчи отключены, под администратором. использовал утилиту 3.4.7. эффекта нет. Написал в суппорт каспера, жду ответа
Aleksei, пробовал утилиту Dr.Web CureIt! ?
А триального или лицензию касперского KAV 2009 ставил? (хотя для сервера проще первый вариант или другой KAV)
Мы сервера в итоге переформатировали, т.к. КК нашла его вроде как удалила, но сетевые службы так и не заработали в полном объёме, да и ВИНДУВС уже тормозить начал. Локальные машины 90% вылечили. Те машины на которых утилита КК ничего не нашла, но визуально есть папки с этой «сранью», мы переформатировали. Сейчас всё супер, админ отдыхает после трёх суток проведённых на работе с 30 апреля по 2 мая )))))
К сожалению и куреит ничего не нашол, так же пробовал fix…(как-то) от саймантека, на файловыйх серверах нашел и прибил, что же касается контроллера, такая ошибка осталась. Тех. поддержка Касперского не отписалась
В общем, что в итоге: контроллер плохо работает, точнее служба dhcp, dns новые станции в домен крайне тежко заходят. Поясняю, новые станции айпи адреса через дхсипи не получают, вводим вручную из зоны дхсипи пытаемся зайти в домен, а в ответ не найден или не существует такой домен. Но, что самое странное после того как подавляющая часть клиентских компов была выключена, новые станции стали получать адреса автоматически и нашли домен.
Могу посоветовать прогу для поиска инфицированных станций (по типу — снифера) ConfickerScanner.exe, и обязательно закрывайте порты 445 и 139 на входящий трафик реально спасает. исходящий (с инфицированных станций) уходит по разным портам, не обязательно по выше упомянутым портам.
утилита nslookup показала след:
с компьютера который в сети (домене) видит имя домена и его адрес
с компьютера который не в домене видит адрес только, имя домена и контроллера не видит
Подскажите, как исправить?
Спасибо большое. Так понятно, испытываю гордость что сама справилась)
Помогите! Я тоже столкнулся с этим вирусом! Я просто хотел уточнить, после выполнения этой инструкции ХР работать будет? Мне всего 12 лет а у меня в компе этот вирус…
Aleksei, странная ситуация, может какие-то службы повредились или отключены?
Не встречал такого.
Blondecoder,
Анонимно, не бойся хуже уже не будет
(если конечно все делать правильно)
Спасибо))) уважаю)))
Проблему решил созданием новых групповых политик и переустановкой дхсипи сервера. Kidomd5detect решил отключением точек восстановления и очисткой временных файлов. пока на серверах все корректно.
На рабочих станция (в доменной политике) прописал при завершение работы прогонять утилиты klwk.com /s /y и KK.exe -f -z -a -j. Думаю поможет. в вотроник напишу
Спасибо огромное, комп чист. А на флэшке антивирус показывает всё тот же вирус, но удалить не может. Как с помощью кидокиллера почистить флэшку? :))
Valja,
Ключ для запуска утилиты KK.exe из командной строки:
-r сканировать flash-накопители
Можно по-подробнее, как заполнить командную строку ? Префиксы..
Вот это да ! КК помог !!! Но как насчёт флешки ? С уважением.
GEO, добавил таблицу с ключами
Пример сканирования системы + флешеки
c:\KK_v3.4.7>kk -r
Не получается… Может знаки другие ? Сделал копию проги, переименовал, поставил на С:…. Может я — лох какой ?
Кстати ! Отремонтировал комп у подруги вчера. Тоже не могла вылезти на сайты. Самое интересное, что у меня сегодня всё снова повторилось после сетки, и опять пришлось запускать КК..:(
GEO, оно с начала сканит систему, а потом флешку,
проще вручную удалить да и все, если есть подозрения
см. таблицу с ключами, вроде бы все просто
включи фаейволл, стандартный виндовый вполне поможет и
заплатки поставил?
Заплатки, порты, и обновить антивирус.
Пытаюсь обновить антивирус, ставлю последнюю версию вебера от 19 мая, но система его не ставит. Ставлю от 17 декабря — ставит, но ничего не определяет. Замкнутый круг… Вперемешку с со способами выхода в интер. КК постоянно включаю , и он даёт одни и теже результаты — комп заражён, комп был вылечен… Забавно, но не весело !
GEO, в статье и комментариях указаны способы, которые позволяют вылечить компьютер в 99.99%, если это конечно кидо.
Попробую посоветовать еще поставить последнего касперского, хотя бы с временной лицензией.
И заплатки 3 шт — это важно!
Я в ИНТЕРЕ недавно, поэтому не знаю, что такое — заплатки. Выхожу через телефон = всё нормально. Через сеть — сразу подхватываю вирус. Никому, кроме вебера не доверяю. Каспер очень систему весит. Нод — не всё проверяет. Адинф — только на старте.Про нортон — вообще молчу. Может посоветуете что-то ещё?
GEO, заплатки — это обновления для ОС (в данном контексте).
смотри в статье
Критическое обновление для системы безопасности (заплатки от уязвимости MS09-001):
— Windows XP (SP2, SP3) (KB958687) (MS09-001) — WindowsXP-KB958687-x86-RUS.exe
…..
скачивай 3 шт. и устанавливай — это обязательно
а вообще читай внимательно, все уже написано больше чем по несколько раз
P.S. может касперский и тормозит систему — зато проверяет!
если у тебя не совсем слабая машина, все должно быть в порядке
Систему от майкро не обновляю по следующим причинам: обновления сказываются очень плохо по многим программам. Многие стоят собственные — крякнутые. Многие — от сам лаб. Но, спасибо за поддержку !!! Всё- таки можно у вас узнать ключ для флэшки ? С уважением GEO
Привет! Хотел бы с тобой связаться онлайн ! Но по аське — не получилось ! Мне хотелось бы у тебя поучиться всяким премудростям. Вижу, что ты — человек хороший, со своими тараканами. Как поместить свою фото на твой блог ? Я живу в ВОЛОГДЕ. У меня 6 детей. Но как они уснут, я забегаю в ИНТЕР. Мне всё интересно. Хотелось бы просвятиться у знающего человека. Огромное спасибо за поддержку!!!
GEO, обновления безопасности от Microsoft для Windows не должны влиять на лицензии! Это им не выгодно, так как они понимают, что в мире установлено много нелицензионных ОС Windows и если их не будут патчить в плане безопасности, то будет очень плохо (еще большие бот-нет сети, потери личной информации, крахи систем), а это в свою очередь будет вызывать еще больше негатива на ОС Windows.
В общем, обновления безопасности нужно устанавливать. (это грубо говоря как обновлять базы антивируса, иначе его эффективность падает и через некоторое время он уже будет просто не нужен)
Честно говоря учителя из меня не выйдет, так как не люблю объяснять простые вещи (только могу это делать директорам, которые платят зарплату
Для обучения существуют книги, форумы, статьи…
Да и чтобы не объяснять это каждому лично люди и делают иногда форумы и блоги. Еще плюс этого в том, что в интернете при решении проблемы, когда она излагается открыто могут помочь советами и другие пользователи.
Скажу кратко, можно писать тут, по мере возможностей я буду помогать.
И мои советы будут общедоступными и возможно помогут кому-то еще.
По поводу аватарок — это просто — ключевое слово в google — «gravatar lecactus» (без кавычек) и будет подробнейшая статья как это сделать
Networm.win32.kido всех модификаций.
Господа не парьте пожайлуста народ. Патчи от мелкософта не помогаю устранить уязвимость. Упаковщик как подсаживался так и подсаживается на комп-жертву. Также подсаживается процесс в оперативную память. Резко возрастает размер процесса svhost. После чего начинается атака на остальные машины в сети. При использовании виндового домена, сетевые ресурсы становятся недоступными из-за того, что блокируются все учетные записи.
Забудьте про доктора веба, кидокиллер + каспер 6 или кисюня 2009 (KIS2009) вам в помощь
Новый Кидо рушит не только возможность доступа к страницам обновления сайтов Microsoft и антивирусников, он запрещает видимость скрытых файлов системы и стирает файл NTLDR в корневой папке системного диска, чем вызывает ошибку \"missing\". Восстановить можно только через загрузочный диск или, перезаписывая данный файл с другого носителя. В чем я только что удостоверился… Пробовал через реаниматор. Потом дошло… Восстанавливаем загрузочную запись диска. Все идет!!! Проверяем на Kido вашей утилитой. Удалений целая куча!
Народ, где вы их (вирусы) умудряетесь находить?
Как поставили обновления на все машины, проблем никаких.
Ну и KAV 2009 самособой..
Сетка постоянно подключена, а она заражена !
Все прочитал, много раз улыбнулся, пару раз задумался…
По порядку … (мы на предприятии бодались в январе и в самом начале эпидемии)
1. Отключить все компы одновременно от сети можно в случае небольшой сети, но когда у тебя 7 серверов и 300 рабочих станций — вручную сами понимаете …
2. КидоКиллер удачно вкручивается в KasperskyAdministationKit, и собственно одновременная проверка всех 300 компов результат очень даже приносит.
3. Очень помогает Фаервол KWS6.0, по крайне мере атаки точно не пропускает.
4. Очень хотелось бы Каспера, хотя бы 6-го, хотя бы чисто антивирь на каждую машину, но реально есть места в сети (машин 10) — куда установка Каспера равнозначна помещению компа на свалку (а эта печатная машинка как всегда критически важна для производственных нужд).
5. Вариант WSUS + KidoKiller из AdmKit + Полная проверка всего парка KWS6.0 приводит к 90% вычищению заразы из сети.
6. Хорошо помогают от сетевой перегрузки управляемые коммутаторы второго и выше уровней.
7. во время войны в январе выжило 10 компов с интересными симптомами (KidoKiller ничего не находит, патчи стоят, полная проверка ничего не показывает) примерно раза 3 в сутки на каждой машине из ниоткуда материализуется тушка кидо и тут же мочится Каспером. Жить не мешает, просто логи сервера администрирования портит, уже и так и сяк и как только не пробовали. В конечном итоге пришли к выводу, что эти 10 машин тупо форматнем. Просто сам факт интересен, что жить не мешает, но и вынести удаленно не получается.
АльТаиР, правильно для каждого случая свои решения,
спасибо что описал свои методы для решения в крупной сети.
Хочу сказать, в большинстве случаев достаточно даже включения штатного фаервола Windows.
А такие компы с разными интересными симптомами почти всегда легче и быстрее переформатить (а заодно почистить и смазать, а может даже и добавить ОЗУ), тем более что они потом после этого лучше работают
P.S. судя до фото и описанию вашей команды (с вашего сайта) складывается впечатление что она у вас хорошая, повезло вам
Что за вирус Sector 17 ?
Что за вирус Sector 17 ?
Почему разница во времени 2 часа ? между нами ?
GEO, привет, ты о чем?
GEO, увидел, действительно на час назад выдает, нужно проверить часовой пояс
добавлено:
при детальном рассмотрении оказалось вордпресс не переводит время автоматом,
так и написано «К сожалению, при переходе на летнее время вам придётся вручную обновить это значение. Да, неудобно, в будущем мы это исправим»
поставил UTC +3 теперь будет порядок
спасибо
Что за вирус Sector 17 ?
Antonio, на самом деле штатный файервол у Винды несколько неудобен, опять же в условиях большой сети. Он блокирует все и вся, особенно недолюбливает средства удаленного мониторинга и управления. В случае файервола KWS, существует возможность централизованного управления списком исключения, что существенно упрощает задачу поимки зверька.
Машинки на самом деле форматирование любят … но тоже возможность есть далеко не всегда, например у меня есть машинка с такими симптомами у ТехническогоДиректора, а он суровый мужик, и лишний раз на глаза ему лучше не попадаться … а если еще про вирус заикнуться … ну нафиг, уж лучше удаленно извратиться как нить, или забить …
А за команду спасибо … стараемся …
Добрый вечер ! Как ты обошёлся с Sector 17 в сетке ? Не могу удалить !
Там появляются постоянно его модификации, причём Sector 5 — основная !….
GEO, везде пропатчили системы и поставили касперского 2009.
Пока никаких Секторов не видно.
Завтра буду смотреть, что к чему, навскидку — лечение с загрузочного CD.
Уважаемый Аntonio ! Хочу выразить Вам искреннюю, глубокую признательность
за помощь! Только благодаря Вашему сайту я поправила свой компьютер.
Все работет,открываются антивирусные сайты и можно восстановить систему. Мне 40 лет, я женщина и ко всему блондинка , и Ваш компьютерный язык для меня всеравно, что птичий. Одним словом — я Чайник. Но даже до меня дошло, что нужно сделать,чтобы исправить положение.
Еще раз огромное спасибо !
Здравствуйте Antonio!
Большое спасибо за информацию! Неделю назад начались проблемы с этим самым червем. У нас в сети 19 компов, т.ч. проблемы с сетевым окружением были серьезные. Единственное «но» — это то, что вирус вроде бы как лечится, удаляется. А через пару дней опять обнаруживается. Я предполагаю, что в случае, если компы лечить практически одновременно, НО не отключая от локальной сети, толку не будет. Если я права, то придется выделять день на лечение всех машин. Но лучше бы получить подтверждение от Вас. Заранее спасибо!
Antonio !!! C ,большим уважением к Вам ! Может быть попробуем всю сетку пролечить ? Извините, но мне не очень наравится, когда я комп по нескольку раз на дню пролечиваю, заодно и свой, а мне постоянно высказывают.. » вирус сектор17 присутствует» Может можно пролечить сетку, будь я юзером ? Или всё-таки на сервер отправляться ? И их ругать, что они ничего сделать не могут ?
Да, правда, Елена ! Ничего без отключения не выйдет ! Прости, Antonio , за совет, но, может я не прав ?
Инна, спасибо за ваш хороший отзыв.
Рад, что у вас все получилось
ANTONIO ! А Вы не знаете способов восстановления информации с флешки — MicroSD? Возникла проблема — не могу восстановить файлы, возможно некогда стёртые. Пытаюсь восстановить с помощью Total Commander 5.53 Ericsson limited
Recovery, но ничего не получается. Выдаёт неверный формат файлов jpeg. Помогите, если сможете.
Елена, GEO, извините что не ответил более оперативно
я проводил лечение не отключая ничего, методику я описывал несколько раз кратко в комментариях. Это помогло. Давно уже никаких симптомов и жалоб.
Но мы это проводили быстро и как бы в самом начале когда было заражено машин 6 и похоже одной из первых модификаций.
Чистим — Чистим — Патчим — Проверяем чистим — Перезагружаемся — Проверяем чистим
Эта методика меня не подводила.
НО! Если заражен сервер (контроллер домена и компы в домене)!, то это все не поможет так как заражение будет происходить опять!
Или у вас слабые Админские пароли на сервере или компьютерах пользователей — в таком случае тоже зараза пройдет.
GEO, а админ(а)(ов) нужно пинать в любом случае, опять же пользователь не может знать всех фишек настройки ПК и конкретной сети
GEO, как бы тема у нас про кидо,
но ладно,
информацию не восстанавливаю, так как стараюсь не допускать ее уничтожения (например, контролем за своими действиями и дублированием)
поиск выдал такую интересную программку — CardRecovery, попробуй
Спасибо !
Спасибо за ответ! Мы выбрали один день и проверили все компы по Вашему методу. Пока ничего не появлялось. Будем надеяться, что _звери_ не вернуться
Проблема в 2000 с Kido. Все решения предложенные не помогли. Большая локальная сеть в организации. На ХР заплатки вроде бы держат, а на 2000 пропатченные компы не держат. Замедляется трафик очень сильно. Если кто нашел решение пусть сообщат на этой странице или по адресу [email protected]
SergKras, попробуй скачать с Сервера касперского KWS 6, и Kaspersky Administration Kit, поставить Каспера на все 2000-е хотя бы с демо ключем, скачать отсюда последнюю версию КидоКиллера и вкрутить ее в адм-кит, после чего полный одновременный прогон всей сети КидоКиллером, после полный прогон всей сети файловым антивирусом со свежими базами. Перед началом массовой проверки включи на всех клиентах Сетевой экран … Сразу увидишь в отчетах о сетевых атаках кто именно больше всего бузит, и на время полной проверки при включенном сетевом червяк не сможет отползти в сторону. Групповыми политиками отключи все автозапуски и по возможности отключи все флешки, до пока с заразой борешься. По идее должно помочь. Теретически все вышеописанное можно сделать не вставая с места. Совсем плохие машины вышибаешь из сети (блочишь в AD или сносишь ntdetect) и они сами попадают к тебе на стол (на что ты резонно замечаешь, что вирусы пожрали). Их уже в ручную перелопачиваешь с отключенной сетью. Если совсем клиника — форматЦевтика тебе поможет.
SergKras, попробую предположить — Windows 2000 полностью поставлены обновления?
у меня не реагирует KK на нажатие клавиши r, не могу удалить кид с флеш накопителя, касперский находит эти вирусы но лечить или удалять отказвыается. я уже в отчаянии.
имелось ввиду, что запускать нужно с ключом -r
kk.exe -r
Мне тож помогите, у меня на комп-е тож такой вирус, но не могу удалить. Че делать а?
Шымкент, читай и да прибудет с тобой сила
Еще одно интересное действие вируса. На Серваке стоит Каспер 6-й (для файл серверов), то есть всю файлу держит в поряке, но в сети 15 машин, под завязку забитых Кидошкой. И каждая считает своим долгом пострелять, и конечно же в сервак в том числе. Вредоносной файлы не появляется, Каспер держит, а вот в Шедулер (назначенные задания) задачка прописывается. По расписанию запускается rundll и вывешивается в процессах. Я работал с сервером, у которого было 120 заданий на запуск Кидо, так вот он вывешивался на вторые сутки тупо отдавая все ресурсы randll’ам, которых в процессах под 200 штук набиралось за сутки-двое.
сетка всего 15 машин но дело в том что невозможно отключить одновремено все . .Так как стоит 1С в терминальном режиме и завод работает круглосуточно.
Впринципе вашим методом вылечились все машины не отключаясь от сетки. Кроме 1. Но эта 1 теперь занимается тем что рассылает Кидо повторно. по всей сетке. ЕЕ от сети отключила и все протестила. После перезагрузки вирус всеравно находится.
Ольга, мы проблем с вирусом не встречали, методика описанная выше помогала нам всегда. Но если уж что-то совсем плохое, то накатить новую систему да и все. Делов-то на пол дня (трогая машину пару раз в час в лучшем случае, главное не забыть за нее совсем :-).
Сегодня был на семинаре Микрософт, они рассказывали как быстро и удобно устанавливать виндовс по сети :-), так что если такое организовать вообще красота будет.
А я на днях себе Windows 7 с флешки поставил, кто не боится рекомендую попробовать
(для домашнего использования)
Работаю на заводе пока и.о. сис админа (сам инж-электроник) как побороть кидо на серваке (2003винда)? В сети 110 машин проблемы разные методику описаную сдесь и спользую ток ставлю Security_preSP4_9.7.15 ну и кидо килер и от доктор вэба прогой тож гоняю и есчё от майкрософта софтиной Windows-KB890830-V2.12,
но есть проблема слетает учётная запись в домене на некоторых машинах и помогает ток перезагрузка и то невсегда небыло ли у кого таких проблем и пути решения их? Заранее спс
И есчё вопрос как с сп1 быть виндой только переставить?
Гадж, может пора ее обновить до SP3?
Ну как бы обновить непроблема ток нет гарантии что с sp1 до sp3 поставиться шансов маловато а эт комп главной в отделе кадров и писчит что пока работает пусть работает типа нелезь.
Гадж, если не хочешь обновлять, попробуй поставить патчи на свою систему.
Вроде кардинальных отличий там нет.
Если что в любой момент можно удалить.
А лучше если винда лицензионная (как и должно быть :-))
не забывать использовать Windows Update, пусть не постоянно, но иногда это делать.
А у меня такая вот проблема: вирусы поудалял на всех станциях, но вот некоторые станции \\"потеряли сетевую видимость\\" — т.е. с них в сеть доступ есть а к ним зайти невозможно. Видно только имя компьютера и он пингуется, а при входе на него соосбщение \\"Нет доступа к \\\\\\\\Имя_компа. Вход в систему не произведен: выбраный режим входа для данного пользователя на этом компьютере не предусмотрен\\". Вход выполняю администратором домена со всеми правами. Все необходимые сетевые службы на станциях запущены. Переставлять систему трудновато, т.к. на этих станциях есть программы инсталляция которых потребует вызова специалистов из головного офиса предприятия.
Сегодня нашел у себя Net-Worm.Kido!sd6 это что разновидность червя Net-Worm.? Как лечить PS Tools internet securiti необновляется и ни на один антивирусный сайт незайдеш.похоже с работы на флешке домой припер.как только ее вставил антивирь ругнулся и все на флешку не пустил. я сканировать начал нашел 8 червей опасных червей или троянов х.з.( вчера запланированное сканирование невыявило ничего)вроде вылечил но сам антивирь сцуко обновлятся неможет кто то тепускает его в инет.Только на ваш сайт зайти смог.Что делать?
Анатолий, если дело запущено — проще переставить.
Если хочется экспериментов, то антивирус Зайцева и KAV 2010 (на английском сайте Касперского) тестовая месячная версия.
Сицилиец, а зачем заходить на рядовые компьютеры сети?
Точно все службы включены?
Перезагрузись и посмотри сообщения об ошибках в системном журнале,
может найдется служба которая «падает»
Здравствуйте!!! Вопрос такого плана: проверил несколько раз KK.exe весь комп со всеми параметрами-ничего. но симентек постоянно ловит кидо в файлах с рандомным именем и разных разшираниях, таких как .kpe, .bmp, .png и ещё какой-то(не помню)… но симантек туповатый и поэтому файлик этот не даёт себя удалить и перепрятывается, антивирь бедный замучался бегать за ним. машина в сети…. касперского ставить неохота. Подскажите что-нить? ктритич.обновления стоят. СПСИБО ЗАРАНЕЕ!!!
Antonio, заходить на рядовые компьютеры сети необходимо по работе (обновить рабочие программы или настроечные файлы, или обычные пользовательские файлы забрать и т.д.).
А проблему разрешил — вирус (возсожно и не кидо, были и другие вирусы) отключил все типы учетных записей в локальной политике безопасности в разделе «Локальные политики—Назначение прав пользователя—Доступ к компьютеру из сети». По умолчанию там прописаны «Все,Администраторы,Пользователи,Опытные пользователи,Операторы архива»
Андрей, ответы в статье и комментариях давал уже раз 10.
Нового ничего не могу сказать.
Сицилиец, интересное, но не совсем понятно почему работающее решение вопроса
Андрей почитайте (ссылка удалена, на той странице было много «взрослых баннеров») возможно только это поможет, ну а если вручную не удастся удалить то только сносить ОС
Я простой юзер,прочитал Ваши отзывы,заметки и пр.Может подскажете как удалить данный вид вируса с компа НЕ из сети?Рекомендации выполнены в120% объёме,но Format всё не подходит…
был заражён около 3 недель . Ничего не мог сделать. Догадался вчера поставить DR WEB Live CD но только в режиме без оболочки, сегодня утром включился, был на проверке часов 16, и, о — радость — всё работает !
alex, в статье как раз и говориться как вылечить компьютер, ну а сеть собственно состоит из компьютеров и если ПК в сети нужно лечить как правило и другие компьютеры. И что за format не подходит? чем он не подходит?
GEO, интересный ход, а что с оболочкой лайв сд не находил ничего? или утилитка антикидо?
Доброго дня всем! Вижу кидо «живее»всех «живых»…. P.S. Какой хороший вирус, «молодцы» кто его сделал. Как личит и восстанавливать об этом написано выше. Если выполнять последовательно все действия всё лечится. (Однако сервер SQL нам всё равно пришлось переустанавливать)
спс — за инфу
да и передайте эту \"хрень\" антивирусным компаниям — нод например до сих пор не находит
НОД её \\\"хрень\\\" отлавливает на стадии автозагрузки с флешкарт.
Домашний комп)супруга на дипломе)потому и не форматирую)данных много.два винта.Может ли исходник вируса крепится к файлам .jpg).doc).txt).rtf).ppt).xcl ??Я поступил след образом:скачал и записал заплатки и каспера с базами на CD.Выдернул сетевой шнур.Провёл последовательно все процедуры,рекомендованные на сайте Касперского(кроме-удалить исходный файл вируса!-где он??).Проверил лайфом веба-рез сканирования-0.Отформатировал винт с системой )поставил установку)при первой же загрузке слетели дрова аудио-кидо во всей красе!отключил винт с базой отформатировал 1-й винт заново)поставил систему)антивирус и латки с СD.Всё ОК.Воткнул 2-й винт и опять всё по новой)правда система устояла)но кое-чего нет(не отображаются сетевые подключения,исчезла звуковая панель)По существу всё…
alex, есть такие вирусы что пишутся в скрытые папки System Volume Information, $Recycle.Bin и в таком духе, а есть что и разным форматам цепляются.
Странное дело, что после форматирования и установки чистой системы, подключение второго винта вызвало проблемы, ведь антивирусник должен был поймать вирусы.
Такого не встречал, может вирусы сильно новые или базы старые?
Что за антивирусник кстати?
Это наверно самая полная и лучшая статья по удалению этого подлого вируса Kido.
Спасибо, я наконец удалил его.
а где взять заплатки (если они есть) на Вин2000 Сервер?
Использовал по этой ссылки (Добавлено 05.05.09
Новая версия утилиты для удаления вируса — KidoKiller 3.4.7 скачать) + Kaspersky.
Удалил этого вируса Kido, но проблема перестал работать Media Player Classic.
Устанавливал и переустанавливал , а он всё равно не работает!!!
ПОДСКАЖИТЕ ЧТО МОЖНО СДЕЛАТЬ ?????????????????????
не могу активировать касперского, пишет, что нет доступа к серверу, скачал патчи, но они не обновляются, говорит, что обновление не применимо к этой системе, запускаю КК, он ничего не находит…что делать???
Заранее спасибо за помощь
Uri, вин2000 сервер проще обновить всем чем есть и это будет правильнее,
если крайне надо именно их и все, то поиском находится на майкрософте без проблем.
Дима.Sk, как именно не работает плеер?, а другой работает какой-нибудь?
попробуй переставить кодеки, например, k-lite megapack
Александр, проверь файл c:\Windows\System32\drivers\etc\hosts
по-умолчанию строчки начинаются с # (обозначение комментария), если это не так очисти его полностью.
P.S. кстати, раз тема еще актуальна, закачал нового кидокиллера — уже версия 3.4.13 (ссылка в конце статьи)
Кодеки переставлял и плеер тоже (K-Lite Mega Codec Pack 5.0.0.0 ; Media Player Classic — Home Cinema или Media Player Classic) ни чего не помогает, плеер не работает. Он не работает так: вся система видит плеер , то есть плеер установлен всё ОК!!! — НО ПРИ ОТКРЫТИИ ПЛЕЕРА ИЛИ ВИДЕОФАЙЛА САМ ПЛЕЕР НЕ ОТКРЫВАЕТСЯ (НУ НИ ЧЕГО НЕ ПРОИСХОДИТ, ДАЖЕ НЕТ РАМКИ ПЛЕЕРА).
Установлен и дугой плеер Light Alloy , он работает как и работал до KidoKiller.
Дима.Sk, нужно попробовать переустановить (обновить) сам Windows Media Player, например, до WMP 11.
Или просто использовать другие плееры, раз они работают.
Можно попробовать выполнить команду
sfc /SCANNOW
(Проверка целостности всех защищенных системных файлов и восстановление, по возможности, проблемных файлов.)
СЕГОДНЯ:
Обновил Windows Media Player (WMP 11) — Ни каких результатов.
Выполнял команду «sfc /SCANNOW» — Ни каких результатов.
Переустанавливал K-Lite Mega Codec Pack — Ни каких результатов.
Media Player Classic — Home Cinema — ВСЁ РАВНО НЕ РАБОТАЕТ.
Теперь просто использую другой плеер — Результат такой, приходится его терпеть.
Скоро буду переустанавливать всю систему, так как другого выхода нет
(главное не забыть установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001).
Дима.Sk, такое бывает, возможно был не только кидо. Печально, конечно.
Но систему иногда нужно переставлять — лучше будет работать.
Рекомендую попробовать Windows 7, правда незнаю можно ли сейчас ее легально и бесплатно скачать и использовать (скорее всего уже нет), но найти по-идее можно.
Я себе ставил еще вроде в августе RC, когда она была бесплатно доступна с сайта микрософта. Кстати классно ставиться с флешки :-).
Спасибо за статью, наиболее подробной и актуальной информации я не нашла даже на сайте касперского!:)
Еще с марта, у нас стоят на всех серверах и клиентах необходимые патчи, остановлены службы планировщика заданий (правда только на одном из серверов пришлось данную службу оставить), регулярно загружаются свежие базы касперского, периодически прводим запуск утилиты kidokiller. Приходим сегодня в офис и все сервера заражены, правда каспер тут же удалил все вирусы kido, но потом машины опять перехватили его друг у друга. Скажите пожалуйста может необходимы еще какие-нибудь security update или другие способы по устранению этого kido? Заранее благодарю
Доброго всем времени суток! Анна, самый надёжный и верный способ: ПОМЕНЯЙТЕ СВОЕГО СИСТЕМНОГО АДМИНИСТРАТОРА. Ведь это его вопрос, и почему он до сих пор ничего не сделал для того чтобы этого КИДО больше небыло в вашем офисе.
Большое спасибо!
Спасибо за отзывы :-)!
Anna, очень странная ситуация, похоже что-то у вас пропущено (недосмотрено) базовое, типа слабозащищенная учетная запись администратора или вирусы на его ПК, может доступ ненадежных лиц к управлению серверами.
Искать причину в данном случае непросто, но нужно взять и провести анализ инфраструктуры в целом.
Похоже Андрей прав (надеюсь сисадмин не вы :-))
На днях киндеры не могли войти Вконтакт . Пишет- для разовой регистрации отправь смс на 7722. Отнеситесь мол с пониманием и подпись Павел Дуров. (основатель контакта). Не хотелось верить, что он на это пойдет. Выяснил в инете, что смс стоит 346 рубликов на 7722. в C:\WINDOWS\system32\drivers\etc hosts блокнотом открываешь и удаляешь строки с контактом (подмена IP адреса на другой). И чьих это рук дело??? У одноклассника сына та же беда, но так хотел поиграть, что смс отправил и влетел на 346 руб. Таких воров (все равно что домушников или форточников) не ловят что ли? Не только руки бы оторвал. Видимо троян залез (на Кидо не похоже). КК ничего не обнаружил , стоит Касперский.
kkongo, как правило это SpyWare ( ru.wikipedia.org/wiki/Spyware ),
очень жаль что касперский не поймал заразу, хотя как правило он вполне себя оправдывает.
Стоит провести полное сканирование ПК.
Возможно стоит попробовать утилиту от доктора веб (бесплатная) — ссылка есть выше в статье.
Если не поможет нужно искать какую-нибудь Anti SpyWare программу.
Насчет наказания согласен, единственное достоверно определить автора не просто, да и суммы по отдельности маленькие, это нужно какую-то коллективную жалобу оформлять.
Но кому это нужно? Кто раз, два попал на таком, уже не поведется и будут, надеюсь, в следующий раз осторожнее.
Огромное спасибо, оч помогло
УРА !!! УРА !!! УРА !!!
21.10.09г. Использовал KidoKiller + Kaspersky.
Удалил этого вируса Kido,
!!! но проблема перестал работать Media Player Classic !!!
23.10.09г. Переустанавливал Кодеки — Плееры , ни каких результатов.
28.10.09г. Сделал обновления антивируса, потом проверку.
Нашол троян который еле как удолил.
29.10.09г. У меня всё заработало — MPC-HomeCinema, GSpot Codec Information.
УРА !!! УРА !!! УРА !!!
Дима, молодец одолел ты его (их)!
блин… всё проделал как тут написано.. поставил все обновления на win2000serv (штук семь) а вирусы всё равно на серверах возникают (касперский информирует про нахождение их в winnt/system32)….
мож какие ещё заплатки нада ставить?
ЗЫ: win2000serv sp4 + Rollup 1
заплатки:
Windows2000-KB885250-x86-ENU.EXE
Windows2000-KB914389-x86-ENU.EXE
Windows2000-KB921883-x86-ENU.EXE
Windows2000-KB923414-x86-ENU.EXE
Windows2000-KB957097-x86-ENU.EXE
Windows2000-KB958644-x86-ENU.EXE
Windows2000-KB958687-x86-ENU.EXE
У меня на внешнем жёстком диске (объём 200 гигов) на Autorun.inf висит net-worm.win32.kido.ir. Что только не делал и чистил этой утилитой KK.exe версии 3.4.13 и удалял всевозможными удаляторами и утилитами, но ничего не помогает. Подскажите пожалуйста, что мне сделать, если честно я уже замучался.
Мужики, вы реально творите добро. СПАСИБО.
Даже не верю, что нашел выход от этого вируса..два дня маялся..думал нигде в инете ничего про него толком неговориться..спасибо)
кк грохнул винду на двух компах .На еще одном типа удалил.
при перезагрузке все паразиты на месте.
все компы друг от друга изолированы.
Он не эффективен.
большое спасибо, Вам!
У меня кидо! Перебробовал всё! кидокиллера, докторвебовскую прогу, AVZ, Gmer, ставил заплатки, ничего не помогает! кидо находит только каспер, удалить не может, только сообщает что он у меня есть…
Что делать незнаю… Подскажите как еще можно эту сучечку с компьютера выгнать…
*windows 98
**всегда стоял последний kis с максималной защитой, как эта гадина пролезла на комп хз.
сори опечатался! у меня windows XP
Как вирус называется (полное имя).
Попробуй подключится к интернету.
При подключином интернете произвести проверку и удаление вирусов.
!!!При подключином интернете!!!.
Всё перепробовал и каспера, которым уже лет 5 пользуюсь и всякого рода кидокиллеров и тому подобного, но всё это оказалось бесполезно. Вдруг случайно наткнулся на авиру, с которым если честно раньше не был толком знаком, так как был поклонником каспера. После установки опробовал его и удивился скорости его проверки и вообще по многим параметрам он намного превосходит каспера и обновляется через инет без проблем и ключа не просит, и всех кидо и всякого рода троянов и червей разогнал без проблем.К нему сприцепом идет программа USB Disk Security . Короче они вместе сделали то, что каспер и кидокиллер не смогли и близко сделать и отправил я каспера напару с кк на свалку. Если честно что-то после авиры у меня к другим антивирусам интерес пропал!
Мирам — ДА-ДА ДА!
Kaspersky + KidoKiller + SalityKiller + Dr.Web CureIt + USBDiskSecurity + Зоркий глаз(USB)
+ отключение автозапуска = вот так мы и живём!!!
прочитал последние отзывы, вопросы, ответы
попытаюсь вставить свои пять копеек
на раритетах W98 и W2000 на практике с кидо не боролся, теоретически должно помогать — заплатки, антивирусники, на практике может получиться чего-то забыли, не доставили и в таком духе. Не забываем про фаервол!
Насчет авиры — неплохой антивирусник, пользовался и им тоже, как-то было время перешел с касперского на него, но потом вернулся на касперского. Хотя можно и использовать авиру, главное с умом (не лазить по явным зараженным сайтам и не запускать вирусы
).
А самое главное следить за состоянием антивирусной программы и за обновлениями баз. Если выходите в интернет через локалку используйте аппаратные роутеры — это тоже как вариант защиты от вирусных атак.
Спасибо, помогло
входят ли указанные патчи в win xp sp3? если да, то какие патчи надо поставить?
в целом процесс лечения понятен, хоть и геморой! Желательно ответить на почту, адрес которой скинул, если не трудно, спасибо Вам за Ваш труд!
Всем привет.
К телу, т.е. к делу )
АВП не использую лет 5
Использую firewall один маленький, но надежный (стоит как служба), официальные фиксы ОС и WWDC (Windows Worms Doors Cleaner). Эта утиль закрывает на выбор некоторые уязвимые порты, а именно: 135 445 137 139 5000 и messenger с функцией обратного восстановления дефолтовых настроек. Кстати, эта утиль сейчас стоит денег (40 $), хотя раньше была freeware.
Вот нашел в сети ссылку на эту полезную утиль: (ссылка удалена — пишите название, кому надо, тот найдет..)
Да, вирусов не видел уже как 5 лет, хотя айпи — \"белый\", и в сети — десятки тысяч ПК. Оставил открытыми лишь необходимые порты, остальное закрыл.
Спам с \"интересными и нужными\" вложенными файлами не выписываю.
Брожу по достоверным источникам. Иногда использую текстовой браузер, т.е. без поддержки графики.
Все спокойно. Все тихо. Все в порядке.
Горе от ума, но и счастье от ума.
А теперь отвечаю на ваш вопрос.
Зашел сюда, потому что у племянницы эта дрянь.
Поеду завтра руками ее ковырять.
Всем ума и любви.
Этот рецепт универсален, и сильнее его нет ничего.
Symantec Endpoint Protection решил ВСЕ проблемы с Кидой. Безальтернативно для последнего. Без отключения компов от сети. Без отключения авторана. Вот так закончилась моя 2х месячная эпопея борьбы с этой вредной какашкой.
Это очень гадкий вирус.Он может называться по другому-HEUR:Trojan.Win32.StartPage,Kido.Способ удаления(или хотябы зло-кода)
1).Устанавливаем Антивирус Касперского 2009,обновляем базы.
2).Вытаскиваем кабель от интернета,блокируем порты.
3).Выключаем автозапуск флешек и жестких дисков.
4).Заходим в настройки и включаем всю зашиту и поиск на Глубокий(максимум)
5).Выполняем полную проверку.Ждем.
6).У меня нашел HEUR:Trojan.Win32.StartPage
7).Если нашел,а удалить не может-Это ничего,важно что нашел!Удачи!
Денис, все описано в статье…
Ребята, спасибо за свои комментарии.
В который раз убеждаюсь что каспер рулит
Рулит не KAS и не ESET
Рулят мозги
falcon, с этим тяжело поспорить
После кидокиллера,вируса нет но вылазит ошибка винхост32 и отрубает аудиоустройства после 15 минут работы после запуска системы(причем не на одной тачке).Я не знаю че делать,помогите пожалуйста.
Ув. Виктор, сначала нужно понять в чем проблема, так сказать «возреть в корень» на системном уровне.
Я имею ввиду «этиологию» («причину заболевания»)
То ли это аппаратный уровень, то ли программный, то ли «гацкий» (viruses, trojans, etc), то ли мозговой (no comments) то-ли смешанный (как правило, «гацко» — мозговой)
В общем, Вам нужно определить сначала с чем Вы имеете дело.
Для начала предлагаю поработать с вариантом «гацкий», т.е. сделать сканирование ПК каким-либо достойным АВП или специальными АВП утилитами.
Вариантов массу: от тояна до переполнения буфера svchost.exe по причине атак зараженных ПК.
Я балдею от комментов, сложилось впечатление что здесь одни детишки делятся опытом с другими из соседней песочницы, параллельно восхваляя божественную компанию, именованной микрософт — «да спасет нас великий Билл и пророк его Джобс, и да будет имя твое благославенно, — Женя — во веки веков»
Мальчики!, а вы не задумывались, что вам еще уроки надо делать, а компьютеры только по вечерам включать чтобы погамиться в домашней сетке
П.С. Увиденные каменты, как бы похоже являются скрытой рекламой шестерки женьки кашперского
П.С. Прокрался в сетку один кидо, через флешку на машину, единственная которая была без антивиря (по той причине, что будь там антивирус, то кроме него никакая прога не смогла бы работать), так когда этот гаденыш пытался на другие пролезть, то все предательски тыкали в нее пальцем, причем остальные оснащены были (????, что бы вы подумали), не kis и не kas и не гав и не мяу, а древнючий нод
xmonster, если с первыми комментами более-менее понятно, то последний не понятен. Что за история? из жизни, просто так догадки, фантазии?
А насчет советов, мне кажется все так начинали и продолжают, у людей разный уровень подготовки и для кого-то простые вещи, которые знает специалист — это уже большие знания. Ведь никто не разбирается очень хорошо во всех жизненных вопросов. Как правило идет перекос в одну сторону (сторону увлечений человека) или общие знания (поверхностные) по многим вопросам, но этих знаний не хватит решить проблему среднего уровня..
В общем как и всегда, я спрашиваю — Зачем писать такие комменты?
Чтобы показать свою крутость?
falcon
Спасибо,что кто-то откликнулся на мою просьбу.Перед этим прогнал кисом7 3 раза машину нашло 300 вирусов все на диске С в папке систем волюминформейшен. А один вирус показывал кис7 при запуске но когда я нажимал удалить, то он писал объект не найден.Прошелся кидом удалил но вылазит теперь тая беда с ошибкой винхост и отрубается звук.
Antonio полностью с тобой согласен
xmonster Знаешь пословицу каждый думает по мере своей распущенности. Так она про тебя как раз.
Здравствуйте, у меня такая проблема:
Был у меня на компе BRONTOK-WORM, я с ним пропарился месяц пытаясь излечится но в оконцове переустановил виндовс форматируя диск,поставил новый виндовс,все отлично…
Но вот недавно стали появлятся такие же симптомы заражения а именно:
Не запускает на сайты kaspersky.ru freedrweb.ru и других противовирусников.
И вот сегодня что то новенькое, меня не впускает на сайты (RAMBLER YANDEX VKONTAKTE odnoklassniki и еще некоторые) что самое интересное что вместо содержимого этих сайтов вилазиет такая херня(Вы можете купить программу для избавления от вируса:)все это большими красными буквами…
Будучи имея хороший опыт по борьбе с BRONTOK-WORM, я обзовелся сильным софтом сразу после установки виндовса
1)AVAST! home edition 4.8
2)AnVir Task Manager
3)сразу поставил обновы по устранению уязвимости(сначала я мог зайти на любой сайт,будь то майкрософт или касперский лаб)
ВОПРОС: Что же у меня за вирусяра такой
Как от него избавится
И как он попал ко мне на комп(есть 1 версия:что он уже присутствует на загрузочном диске с виндовсом)
Буду ждать помощи,расчитываю на вашу помощ
На всякий случай…
Мой Skype:cpy6ypaiiika
ICQ:408996038
viktor, у вас я так понимаю повредились или изменились системные файлы, можно продолжать лечить умирающую систему, но в данном случае, мне кажется, проще переставить
TOJI9IHbI4, что за вирус такой вам должна подсказать антивирусная программа
сейчас можете попробовать скачать доктора веба cureit и просканить, может что найдет, у меня как-то был негативный опыт при использовании аваст, а потом НОД32, после этого я их не люблю и предпочитаю касперского, скачайте себе последнюю версию с сайта, например, KAV 2010 и можете ее использовать месяц в полнофункциональном режиме.. мне кажется должно найти заразу
Antonio,большое спасибо,ща попробую=)
Потом отпишусь о результате.
Antonio спасибо конечно,но если б было бы все так просто, таких компьютеров у меня много.
А возможен вариант какуюто заплатку поставить или как то что то доставить с диска виндовса?
здравствуйте.я почти не разбираюсь в компах, и поэтому ничё не поняла чё здесь написано. не знаю как удалить этого Net-Worm.Win32..скажите самый лёгкий и доступный способ. наверно переустановить винду?
у меня стоит касперский.он вирус поймал а вылечить не может(
Viktor, заплатка называется обновление виндовс
и обновляться нужно до заражения, так как после даже лечения особенно от других вирусов система может начать работать не стабильно. После лечения кидо почти всегда все работало нормально, хотя было пару случаев когда пришлось переставлять.
Кристина, специально есть утилита — запускаем, сканим, лечим и должен наступить порядок http://nemcd.com/wp-content/uploads/2009/10/KK_v3.4.13.zip
Патч MS08-067 не устанавливается, выдает вы не имеете разрешения выполнять обновление win XP, оьратитесь к админу. У меня права админа. Что делать?
Antonio, здавствуйте! а если у меня стоит Касперкий Ативирус, нужно ли установливать KidoKiller 3.4.7, касперский с подобными вирусами справляется?
Спасибо за ответ!
Спасибо за откровенно радостный и что самое главное умный сайт. Я, как профессиональный чайник, 4 часа искал лекарства от кидЫ. Ну и натолкнувшись на ваши выкладки был, просто, запредельно счастлив…
Помогите, таже проблемма(( Ккилер последней версии ничего не находит, каспер находит, но не лечит( У меня виндовс 7, заплатки эти не устанавливаются(( Заранее спасибо!)
Antonio, подскажите пожалуйста как мне быть…
Доброго времени суток. Помогите со следующей проблемой. Есть одноранговая сеть. В ней к одному ПК подключен ВПН-интернет. Этот комп раздает инет посредством общего доступа к впн-подключению. Остальные машины автоматически получают IP-адрес и адерс шлюза. В сетевом окружении клиентских машин появляется подключение к интернету….НО интернета на этих машинах нет..хотя на шлюзовой есть и вроде бы доступ открыт. Подскажите где может быть проблема?
Забыл добавить.. в сети был Кидо..был вроде как вылечен КК. Однако проблема осталась.
у меня стоит касперский 7.0.1.325 ,будет ли кидокиллер работать вместе с ним, у меня виста
КидоКиллер — это отдельная (самостоятельная) утилита,
ей можно проводить лечение когда вообще не установлен антивирусник!
Запускать кидокиллера нужно с правами администратора!
Используйте последнюю версию утилиты.
Для виндовс 7 проще установить все обновления и жить спокойно.
Вадим, если выполнить команду на тех машинах что в сети
ping -t 217.69.128.43
будет ли «идти» пинг?
Вадим и раньше вообще ваша связка работала?
Или она сломалась после вируса?
Здравствуйте, отличный мануал!
ПО описанию у меня вроде Kido, но вот найти я его не могу.Проверял и так как тут написано и по другому, чисто.
Тем неимение антивирус не обновляется и нельзя зайти на сайты антивирусов.. подскажите, что делать? Винда XP
я хочу проверить есть у меня вирусы или нет,я незнаю как и иза чего
попробуйте утилиту CureIt! от Доктора Веба,
ссылки в статье
а можно попроще
и напиши пожалуйста эту ссылку
у меня обнаружана 2 уязвимости в системе в файле system32/framedynos.dll и в браузере-cookies/virusxkontkte.ru помаги пожалуйста я не знаю чё делать
я не вижу проблем найти эту ссылку самому,
она есть точно я проверил (подсказка — можно использовать поиск по странице)
кто или что говорит об обнаружении уязвимостей?
На счет неработующей раздачи интернета в сеть. Связка компьютеров работала отлично. Но после заражения Кидо слетела. Похоже на то, что слетела таблица натирования, мог ли Кидо так повредить систему?
To Вадим
Да мог, столкнулся с той же проблемой + закрытие многих портов! Восстановление файлов и восстановление системы не помогло!
Вирус удалён а симптомы остались, вчера форматировался!
Добрый день,
помогите пожалуйста одолеть заразу:
проблема в том, что не могу зайти на ряд сайтов, в числе которых Dr.Web, virusinfo.info, kaspersky.ru и т.д.!
Что уже сделал: скачал на другом комп. Dr.Web CureIt, Virus Removal Tool, Nod32 On-Demand Scanner, KK.exe, Spybot, AVZ(без обновления – блокируется), – все проверки результат не принесли, хоть и что-то вылавливали. В файле C:\WINDOWS\system32\drivers\etc\hosts прописано только 127.0.0.1 localhost.
Очень надеюсь на Вашу помощь. За ранее спасибо…
P.S.: какая на сегодняшний день последняя версия КК?
Огромное спасибо, проблема решена- Kido больше не беспокоит. Я уже думал предстоит переустанавливать Винду.
пожалуйста!
roa211, последняя версия утилиты kido killer — 3.4.13
есть еще отличный коммерческий продукт — Webroot Spy Sweeper, находит даже такую дрянь которую не видит Касперский и прочие
у меня касяк заключается в том что флэшка после инфицирования заблокировалась от записи и я ничем не могу его оттуда выгнать и флэшку разблочить тож не могу….
Может попробовать на другом компе форматнуть?
Подскажите пож. в файле C:\\WINDOWS\\system32\\drivers\\etc\\hosts кроме 127.0.0.1 localhost. выше есть еще два ip их нужно стереть?
Товарищи подскажите!Ситуация похожа на многие, но ничего не помогает! Суть вот в чем:
Не заходит на сайты касперского, доктор веб и так далее, на простые вроди заходит! На компьютере установлен KIS 8 базы самые последние, один раз с утра на что то ругнулся, вылечил или удалил и все! В общем сейчас касперский не находит ничего! программа KK тоже ничего не находит! Не знаю что и делать, не хочеться переставлять ОС!
Сергей, файл hosts по-умолчанию содержит лишь одну строку
127.0.0.1 localhost
Pendeho
есть еще отличный коммерческий продукт — Webroot Spy Sweeper, находит даже такую дрянь которую не видит Касперский и прочие
cookies/virus.xkontkte.ru System32/framedynos.dii вирус на компике что делать помогите пожалуста
благодарю за большую проделанную работу,помощь.
как прописать ключ
завелся кидо, ничем неубиваеться КК тупо его невидет а папки RECYCLER, до астрономических размеров, доступ к сайтим антивирусов нережет но трафик жрет безбожно, каспе доктор веб его невидят заплатки ставил но толку ноль.к томуже если RECYCLER можно еще удолить через в тотале через shift+delete ,то System Volume Information недает снести невкакую, яб переустановилбы винду но учитывая шо вирус на всех дисках толку с етого врядле будет, а формотнуть все нельзя есть инфа нужная
каспер эту хрень не находит, а если находит, то не может удалить. я ставил заплатки и проверял с помощью Dr.Web Сканер для Windows
cureit
качаем бесплатную версию.
Заплатки:
WindowsXP-KB885250-x86-RUS
WindowsXP-KB921883-x86-RUS
WindowsXP-KB923414-x86-RUS
WindowsXP-KB957097-x86-RUS
WindowsXP-KB958644-x86-RUS
WindowsXP-KB958687-x86-RUS
после каждой перезагружать комп.
сейчас вируса нет, но сетевые атаки вылетают.
Вот такие:Intrusion.Win.NETAPI.buffer-overflow.exploit
сразу будет быстрая проверка. останавливаем и выбираем полную
вернее утилита cureit от Доктора Веб
кому не помогли различные способы, повторюсь
попробуйте отличный коммерческий продукт — Webroot Spy Sweeper,
находит даже такую дрянь которую не видит Касперский
Уже писал, проблемы ВСЕ прекратились после установки SEP v11.0….
Tak lyudi dobriye… etot Net-Worm.Win32.Kido dastal menya kak i vsex vas. prochel vse to chto vi napisali. sdelal vse tak kak nado. No… nicheqo ne poluchilos… Daje Symantec removal tool ne pomoq. No nado je kak to reshit etu problemu. ya zametil na saytax symantec i kaspersky chto etot vrednonositel polzuyetsa saytami dlya opredeleniya IP nashix PC (http://www.getmyip.org, http://getmyip.co.uk, http://checkip.dyndns.org). i tut zadumalsa a mojet blokirovat eti sayti… No kak? Snachalo poproboval IE security. Ne pomoqlo… (k schastiyu) reshil na kaspersky internet security blokirovat… (oy ya je ne znayu kak eto delayetsa) reshil v internete iskat. zapros bil tokoy… kak blokirovat url?… okazivayetsa u nas na kompe sidit file pod imenim hosts (c:\windows\system32\drivers\ect) kotoriy «HOSTS, используемый Microsoft TCP/IP для Windows.» koqda ya otkril etot fayl udevilsa. tam spisok tex saytov na kotorix ya ne moq popast… Udalil vse. vot takaya istoriya… nadeyus pomojet vsem…
почему мои сообщения исправлены. нет ссылок
В Win7 нечего ненаходят, стоит Аваст , но постояно происходит дисконект.
Оператор говорит что с моей стороны обрывы. И все время советуют искать этот чёртов Kido
Игорь, слежу за исходящими ссылками с сайта.
Да и се-таки написанного выше вполне достаточно для решения вопроса.
Дима, Аваст может ничего и не найти.
Прочитайте выше есть ряд эффективных инструментов для борьбы с kido.
Хотя это может быть совсем не kido — есть масса других вирусов.
Вообще, при заражении ПК кидой
первым делом проверял систему KidoKillerom. Часть компов оживала. Некоторые компы же оставались зараженными и ни одна антивирусная программа особо не помогала. Тогда как вариант запускаемся с загрузочного диска и делаем восстановление windows: все файлы, программы и настройки сохраняются а вот системные файлы заменяются на стандартные. После этого запускаемся с любого liveCD типа dr web liveCD или Windows XPE и опять сканим все файлы KidoKiller и всякими сторонними сканерами типа curreit и avz. Этот вариант практически безотказен. На практике только один компьютер я не смог реанимировать, на нем слетела таблица NAT и ком не раздавал интернет в сеть, как это исправить ответа не нашел.
добрый день
у меня установлен DR.WEB ,но я не могу зайти на его сайт ,хотя обновление идёт
постоянно .заплатки для win xp не подходят установлена win xp sp3,скачал КК,
просканировал -ничего не нашёл ,cureit тоже ничего не нашёл ,live CD dr.web пока
не пробовал.у меня уже было такое ,но тогда ни один сайт с антивирусами не открывался. переустановил ОС на новый винчестер и всё стало нормально.
касперский сейчас открывается
извините если не в тему.
Всем доброго времени суток.
Все вниматочно прочитал…. потерял уйму времени…
отсканил все KK (он сканит только диск С) — так и должно быть? (прошу учесть что могу переустановить только крякнутую версию виндовс путем дедукции)))))
вопчем я нуб))
Вир Net-Worm.Win32.Kido.ir просто режет по нервам)) вроде ничего от него плохого) но и ничего хорошего не вижу) вот спустя полгода решил всетаки его удалить)
одним словом, просканил всеми версиями KK предложенные вами, сканился только диск С и ничего ненашлось (виир всетаки сидит) а нашему сисадмину все по лампочке….
как мне всетаки поступить?(((
раз уже взялся за это… то дойду доконца… винду сносил 2 раза и безрезультатно…
хэлп
кстати, Касп показывает что вир сидит на диске D и E но удалить не может….
К слову…
рядом стоит машина, так же подключенная к сетке… но на ней нет кида…
странно даж…
часто пропадает сама по себе связь…на соседней машине все гуд а у меня нет связи и все… опосля 2-3 минут появляется…
У утилитки КК есть параметры.
-p Cканировать определённый каталог.
-f Cканировать жёсткие диски.
-n Cканировать сетевые диски.
-r Cканировать flash-накопители, сканировать переносные жесткие диски, подключаемые через USB и FireWire.
-y Не ждать нажатия любой клавиши.
-s «Тихий» режим (без чёрного окна консоли).
-l Запись информации в лог-файл.
-v Ведение расширенного лога (параметр -v работает только в случае, если в командной строке указан также параметр -l).
-z Восстановление служб
-х Восстановление возможности показа скрытых и системных файлов.
-m Режим мониторинга для защиты от заражения системы.
-a Отключение автозапуска со всех носителей.
-t Удаление из реестра сервисов, оставшихся после лечения сетевого червя продуктами Лаборатории Касперского.
-j Восстановление ветки реестра SafeBoot (при ее удалении компьютер не может загрузиться в безопасном режиме).
-help Получение дополнительной информации об утилите.
читал в начале))) «Ключи для запуска утилиты KK.exe из командной строки:»
а как их запускать??
простите уж за столь не скромный вопрос)) хоть в двух словах…
Для удобсва кидаешь КК на диск С, потом заходишь в меня \"выполнить\" (кнопки windows + R) и там пишем C:\\KK -f ну или другой нужный параметр.
Вадим, большое человеческое спасибо, все просканил…результат 0 -ничего не найдено…
есть другие варианты? кроме как покрасить и сжечь винт?
Если Касперский находит зараженные файлы, но удалить не может, значит вирь прицепился к системному процессу. Можно попробовать вычислить к какому именно. Установи программу unlocker, найди файл на который ругается Касперский и через эту прогу посмотри какой процесс в памяти блокирует этот файл. Раз файлы зараженные не на системном диске, то черех эту прогу можно разблокировать и смело удалить их — они не системные. И кстати попробуй найти в инете старые версии КК, один раз стокнулся с тем, что КК последней версии не находит Кидо, а более ранний — находит.
D:\\\\AUTORUN.INF и E:\\\\AUTORUN.INF
как их найти? их невидно((
блокирующих процессов всего 2
разблокировал все, а вир удалить так и немогу…
может все разблокировать и удалить?)))))
авось пронесет))
в безопасном режиме запускаем КуреИт, полная проверка.
в нормальном режиме устанавливаем Symantec Endpoint Protection 11 или 12.
забываем про кидо :о) я забыл -1 год и 2 месяца назад.
Вадим, большое спасибо за помощь и за терпение))) KK 1 справился)))
удачи вам в нелегком деле!!!
на долго ли?
SlaGu — попинаю сисадмина, пусть он всетаки этим займется, а на первое время (пусть даж на недельку) хватит) надеюсь за недельку он всетаки управится (я полгода кидо не трогал, но тут дела принципа) в моем компе живет а налоги не платит)
Shamann, вообще-то это работа сисадмина, пусть разбирается
тем более он давно уже должен знать что делать
вирусу уже больше года
У кого что не получается читаем комменты, тут сказано ОЧЕНЬ много нужно,
и не забываем что есть и другие вирусы — не только кидо!
поэтому методы лечения могут отличаться.
вот эта связка Webroot Spy Sweeper + KAV
лечит практически все
хватает полчаса.
если кидо доберется до админа AD мало не покажется. И КК и DW точно будут отдыхать — кидо будет жить в сети пока все компы от сети не отключить, и после этого лечить. А если сеть из 8 филиалов, 300 компутеров,по всему миру размазана :о) , гемор тот еще.
Symantec Endpoint Protection гасит активность этой какашки сразу, механизм хитрый. тому кто понимает очень понравится.
Антонио — с самого начала не стал геморозится кк а скачал прогу предложенную вами, у меня касп 9 — результат 0…
в сети 40-50 компов, забодали постоянные атаки… сис свою машину держит в чистоте а на остальных накакулить) в общих чертах))
Вообще Кидо на зараженной машине не проявляет никаких вредоносных действий) он как раз атакует сетевые компутеры. Т.е. если есть сеть, то она будет постоянно падать, даже если ваш комутер не заражен Кидой. КИС вообще просто блокирует ИП атакующего компьютера, и если это оказывается шлюзовая машина, то и интернета вам не видать)
Shamann
кидокиллером прогнать по машине — это святое дело!
без этого никуда
Вадим, это да
ощющение мои посты не замечают или они невидимы. а по почте извещения регулярно получаю.
Shamann поставm SEP забудешь про кидо
>Antonio<
///кидокиллером прогнать по машине — это святое дело!///
че это оно вдруг святым стало?
По ходу дела словил я эту гадость Кидо. Натравил я Кидо Киллер, ноль эмоций. Травлю ДокторВебовской утилиткой, пока тот же результат.
Что предпринять посоветуете?
Для начала, расскажите, какие сиптомы ? есть несколько похожих на Кидо пакостей.
Симптомы? Не обновляются базы AVG 8.5 Free Edition, не удается войти на сайты Касперского, Dr.Web, AVG, Avira.
Возможно у Вас и не Кидо, ибо такие симптомы характерны для многих вредоносных программ, например, для того же Салити. Посмотрите, доступны ли диспетчер задач, редактор реестра и возможность просматривать скрытые файлы… и как себя ведет сеть или интернет? не отваливается ?
Вадим, реестр задач работает, скрытые папки могу просматривать, сеть работает нормально.
Пардон, диспетчер задач
Надо все же убедиться, что это именно кидо. Попробуйте из безопасного режима просканировать компьютер более ранними версиями прораммы КК, это иногда помогает. Проверте файл HOSTS в папке C:\WINDOWS\system32\drivers\etc , есть ли в нем какие-нибудь записи, кроме 127.0.0.1 localhost
И скачайте утилитку AVZ она даст возможность избавиться от блокировки сайтов. http://z-oleg.com/avz4.zip
SlaGu, а чего б и не прогнать кидокиллером?
это как зубы почистить
Вадим, проверил файл hosts, все чисто. Утилитку сейчас натравлю.
Antonio
потому что бесполезно.
и хост файл ему не нужен совсем, он сам перехватывает запросы к сайтам.
первый признак — autorun.inf на флешке.
Натравил я AVZ, снес несколько вредоносных файлов, но на сайты каспера, др.веба и иных антивиров не заходит.
…кстати, попробовал на других компьютерах и такой расклад, отсканил все курейтом, он поместил файлы в карантин, поставил нод 4, нод увидела файлы курейта которые находились на карантине и бесцеремонно их удалил))
поставил кас — все чисто)
незнаю насколько это все прошло безопасно…
Кидо перехватывает только список доменных имен, а если заходить по IP то спокойно заходит, т.е. использует что-то вроде парсера. Дважды сталкивался с тем, что КК не находил зараженных файлов ни в памяти ни на жестких. в первом случае помог АВЗ, во втором — восстановление винды с загрузочного диска (не путать с виндовым восстановлением системы) т.е. замена системных файлов, вход сразу из под безопасного режима и прогон всеми версиями КК. Кстат из множества случаев борьбы с Кидо др Веб Куррейт не помог ни разу
Можно попытаться отыскать тело вируса вручную. Если доступ к редактору реестра открыт залазим в ключик HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs и ищем там любую ссылку на файл с расширением .dll таких записей не должно быть в этом ключе. Имя у файла будет случайно и лежать он будет в system32 .. как я понимаю это и есть тело вируса. Строку на указание файла из реестра можно удалить… но только строку эту строку
еще ркуомендуют удалять весь раздел netsvcs в ключе HKLM\SYSTEM\CurrentControlSet\Services\ …
Что ж у вас там за мутанты такие, где вы из берете?
Вадим, с dll вроде бы нет, лежат там три файла спокойненько.
Ерунда какая-то выходит.
Странно тогда, может это не Кидо а червяк какой-нибудь с похожим действием на систему. Ну чтобы исключить кидо посмотрите вот на сайте http://www.confickerworkinggroup.org/wiki/pmwiki.php/ANY/RepairTools есть большой выбор программ от разных разработчиков для удаления Кидо. Если они не помогут то скорее всего это не Кидо.
Антонио,помогите, пожалуйста, советом — что-то творится с моим компом.Сначала не могла заходить на сайты -антивирусов,вконтакте и т.д ,где надо вводить пароли,пришлось чистить реестр-помогло. Но все равно что-то творится-комп глючит то могу заходить в «контакте» то нет(это ведь не нормально).Касперский офиц. ничего не находит,КуреИт тоже , программы Кидо,Салити запускала — executed registry scripts:1 выводит(что это значит).Может успокоиться уже?
Валерия, ничего нового сказать не могу, так как кидо сейчас мне не попадался уже полгода точно, да и как-то другие вирусы «успокоились». В этот период встречал пару вирусов которые не понимал Касперский 2010, один из них определял он-лайн сканер Доктора Веб. Я отправил экземпляр в Лабораторию Касперского, на этом все и закончилось даже через неделю вирус при проверке не определялся, что печально. Но он был какой-то никакой, т.е. не плодился не тормозил и прочее, это я к чему рассказываю, к тому что на ум еще приходит хорошая антивирусная и антиспай утилита — Webroot Spy Sweeper.
Это я уже писал выше, обязательно стоит попробовать и ее.
Описанные выше симптомы это ее профиль.
Спасибо большое!!! Помогло)))
Привет Всем! У меня такая проблема. В локальной сети 6 машин и на всех стоит Касперский 6WS(базы обновляются каждую неделю). На трех машинах касперский словил Kido и удалил. После этого зайти на розшареные папки этих машин не возможно(хотя раньше заходил). Пишет что у вас нет доступа и обратитесь к админу.
Подскажите пожалуйста как можно восстановить доступ?
Мне ка житься я все перепробовал.
Alexandr, проблему решают путем поиска различных симптомов и применения соответствующих микстур, если они не помогают, то — матрица-перезагрузка (переустановка ОС) точно поможет.
Antonio, скачал и установил все данные вами обновки для ХР, прошелся кидокиллером, др. веб cure it нашел 29 троянов и 1 винлокер. Но скачать обновленный с др веба не могу, чистил версией марта. А на сайты антивирей не пускает и нод при установке не обновляется (((( ХЕЛП
Мой совет — такой зверинец вирусов уничтожить на корню — форматирование и перестановка. Но если охото терять время и работать с возможными глюками, то нужно экспериментировать..
У меня тоже оно вроде каспером нашлось, почистилось, не вылезает(winpatrol детектировал попытки прописаться в автозагрузке), обновления винды установились, но всё равно не открываются сайты антивирей, а так же почему-то diary.ru. Устала уже.(
Здраствуите.. У меня проблема поимал вирус кидо но я неуверен что он,Так как Касперский 10 не находит его
и кодо Килер тоже. А на сайты антивирусов все ровно не заходит. Подскажите мне что делать пожалуиста?
Похожие на «кидо» сиптомы имеет еще и вирь «салити», проганите так же компьютер программкой «sality remover» или «sality off», а воостановление доступа к сайтам антивирусов можно провернуть через AVZ там есть специальная функция для этого.
в безопасном режиме куреИТ запускаем,
после этого ставим СЕП (SEP) End_point_protection
и наступает счастье навсегда/ 2 года без гемороя это очень много
Антонио привет! Вашем сайте я многое узнал, вот только один вопрос— Webroot Spy Sweeper где ее скачать?, если можно дайте плиз прямую ссылку.
В сети я нашел Webroot Spy Sweeper. но они просят лицензии при обновлении, и можно ли ее установить вместе с KIS9?
господа, а что делать в том случае, если червь блокирует не только доступ к сайтам антивирусников, но и запуск приложений, нацеленных на его искоренение?
по остальным параметрам ноут работает внешне абсолютно беспроблемно, инет летает, все сайты открываются регулярно и в полном объёме. я бы и не стал беспокоиться, но есть одно неудобное проявление Net-Worm.Win32.Kido.ir: при переносе информации через флешки ноут их заражает и создаёт autorun.inf. приходится перед тем, как отдавать флэшку с ноута на сторону прогонять через комп с антивирусником, чтобы не заражать других юзеров. это очень неудобно, а иначе люди шарахаются (вполне резонно), поэтому решил от червя избавиться, но — увы!!!
все попытки запустить на заражённом компе КК, CureIT, установить Каспера и т.д. привели к полному фиаско: при запуске exe файла на полсекунды открывается окно командной строки, которое тут же схлопывается. запуск программ в безопасном режиме системы к ощутимому результату не привел. запускаю проги я под учётокой администратора, с правами всё вроде бы в порядке. делать формат Ц пока не спешу, может кто-то рецепт избавления даст? что-нить в реестре подкрутить?
заранее сообщаю, что данную тему прочитал полностью. ПОВТОРЯТЬ промоутерские рецепты \»поставь такой-то продукт и не парься\» не прошу, из программ по ссылке confickerworkinggroup.org/wiki/pmwiki.php/ANY/RepairTools попробовал не всё, но какая хрен разница, если любой инструмент требует запуска *.exe, с которым проблема. прошу дать рецепт, как разблокировать этот запрет червя, если кто-то знает способ. спасибо.
юзер, не совсем понял, пробовали в безопасном режиме сканить DrWeb Cure IT и AVZ?
какой антивирусник стоял до заражения?
как вариант снять жеский диск и проверить на другом компьютере
до заражения не стояло никакого антивирусника вообще.
операционку ставили до продажи ноута, покупался он уже с установленой системой.
вирус был замечен примерно через месяц после покупки, но возможно, что он сразу был ещё при продаже.
чтобы сканить операционку и диски с помощью DrWeb Cure IT и AVZ, их надо на заражённом ноуте запустить. этого сделать не получается ни в обычном, ни в безопасном режиме. они просто «вылетают» — окно схлопывается, процесс блокируется вирусом.
возможно, что в паре с Net-Worm.Win32.Kido.ir сидит ещё какое-то зверьё.
снять винт и просканить с другого компа как вариант принмиается. думал уже о нём. но прежде чем разбирать ноут (который теоретически ещё на гарантии) хочу попробовать побороться софтом и мозгами.
мозги рулят, но моих знаний явно не хватает, поэтому жду ещё советов.
может есть способ как-то загрузиться с чего-то незаражённого, запустить какую-то простую операционку, которая с флешки может быть загружена или типа того?
Странно что в безопасном режиме не работают утилиты, так как обычно в этом режиме ничего лишнего не прогружается.
Я бы не морочил голову и восстановился с установочных дисков в чистую систему.
Поставил бы касперского и жил спокойно.
Диски есть разные загрузочные, уже давно такого не использовал.
Если система важная — стараюсь вирусов не допускать, если не очень — то удаление всех дисков и пересоздание сначала (так быстрее и в конечном счете лучше для пользователя, так как меньше всякого мусора)
Хотя себе иногда лень переставлять, но если малейшее подозрение на вирус, то формат! (конечно же с бекапом важных данных)
юзер, попробуй поменять расширение запускаемых программ с .exe на .com и переименовать имена программ… может поможет
почему когда открываю оперу все становиться размазанным
«По непроверенным данным kido не трогает машины, на которых установлена украинская раскладка клавиатуры.»
По проверенным данным kido трогает машины, на которых установлена украинская раскладка клавиатуры ((
возможно это было изначально или уже доработали
куреит прекрасно запускается в безопасном режиме. прямо с флешки. если что то и мешает его запуску надо с фтп скачивать файл со странным именем.
У меня дома , сетка из 5 компьютеров. На работе вагон. Если эта гадость попала — все только убивают процесс и файло. Какашка через какое-то время оживает обратно. После прогона куреитом, устанавливаем СЕП 11. Забываем про проблему. неужели непонятно.
ЛЮДИ ПОМОГИТЕ!
Заражён чем-то до боли напоминающим Kido, но при этом что-то не сходится…
Прикладываю скриншот со своего рабочего стола:
downloads.lux-d.ru/cs/Kido-Or-Not.JPG
На нём видно прогон KidoKiller’a из ссылок на этой странице, до этого прогонял последней версии с сайта Касперского, результат идентичный — 0 заражённых файлов, при этом папки Recycler на всех логических дисках… И явные симптомы, что комп заражён и сейчас…
Винду установил вчера (переустанавливал именно из-за этой вирусятины), ЛИЦЕНЗИЯ с последними обновлениями! Сразу после установки Винды отрубил автозапуск с любых дисков в gpedit.msc, чтобы с других неотформатированных дисков не подцепилась… и всё-равно «друг» со мной…
Облазил уже весь инет… что делать не знаю…
Вирусятина пробивает NOD32, Agnitum Outpost, Norton Symantec 2010 с последними обновлениями…. CureIt ничего не находит.
Посоветуйте чё-нить!?!
Походу продвинутый Kido у меня какой-то…
Каким и где разработчикам антивирусов можно заслать, чтобы тоже голову поломали?
доктор веб 6 + ключ(keys)
drweb-600-win-x64 берем отсюда:
…. (отредактировано — просьба не писать ссылки на загрузку)
День добрый!
Такая жеитуация и у меня. Что делать провёл всё что выше описано ничего не получается. Тоже самое что и было.
Подскажите плз как его грохнуть?
xxxx! еще раз объясняю, если в сетке есть кидо… то вы точно от него избавитесь прочитав мОИ посты. да…да…
не помогает, у меня тоже ничего не помогло, видать на темной стороне тоже не дремлют
Сам столкнулся с данным вирусом и лечил его очень долго,
) пришлось все делать на лету и по живому.
компьютеры не давали полностью отключить от рабочего процесса
(обычный бич сисадмина
Днем лечил, и замедлял его деятельность, ночью удаленно лечил.
Ну и сил и нервов он у меня съел.
А сейчас к наблюдениям:
— Не все компьютеры удалось восстановить лечением и заплатками, некоторые так и остались уязвимы после накатывания апдейтов, прирчем говорю про обычные рабочие станции windows xp.
— Где-то прочитал и склоняюсь верит что это так. Если зайти с зараженной машины с административными правами на другую машину, или сервер домена — пиши пропало. С этой машины атака уже идет не хакерскими методами, тоесть вроедоносным кодом который може перехватить на пример nod32, касперский и тп. Атака в таком случае уже происходит от процесса (программы) созданного полиморфным кодом вируса НО вполне легальным путем, используя права и учетку пользователя с правами администратора, или администратора домена.
Подчеркну, компьютер может быть уже перезагружен, на нем работают уже с учеткой обычного пользователя, но с него будет вестись атака выше упомянутым способом.
С 100% уверенностью не могу сказать что это так, но по косвенным признакам и анализируя трафик в сети, а доходило уже и до снифериня сети, думаю это так.
В любом случае всем кто столкнулся с данным вирусом желаю удачи, особенно сис.админам, и удалить его с наименьшими потерями.
Спасибо, вам тоже быстрее и целее выходить из боев :-)!
Я вот почитал комменты, просканил всем чем предложено и задумался, кидо ли это? Ибо ничего не помогло…
Симптомы — блокировка серверов антивирей (в частности не обновляется смарт секьюрити, не заходит на сайты касперского, есета и прочих фирм ), стал криво работать смарт секьрити, кроме проблем с антивирём и сайтами, и появление кучи мелких заразёнков за рекордные сроки проблем не обнаружил, разве что иного умирает explorer.exe однако прекрасно рестартуется вручную…
Подскажите что следует делать (на секунду забудем об инструкции наверху)
Огромное спасибо! Сколько парился — зашел к вам на сайт, скачал кидокиллер и все заработало!!!!!!!!
Noobochok, в комментах выше я советовал антивирусные пакеты и варианты, ничего нового посоветовать не могу. Те вещи что описаны и так хорошо работают.
Ярик, очень рад что у вас все получилось!
Здравствуйте! На моем компьютере сейчас установлен Касперский, нашел как раз этот злостчастный net-worm.win32.kido.ir
Попыталась последовать вашим рекоменданциям и скачать кидокиллер. К сожалению, ни одна ссылка не открывается…пишет,что невозможно найти удаленный сервер..до этого пробовала dr web curent…та же самая ситуация(((
Подскажите пожалуйста, что можно сделать в таком случае?
ЗАРАНЕЕ СПАСИБО!!!
скачай cureit на другом компе. перегрузись. в безопасном режиме запусти. полная проверка. установи нормальный антивирус типа SEP11 или 12. все.
на всякий случай
Переименуй файл HOSTS в NOHOSTS
в папке C:\WINDOWS\system32\drivers\etc
Здравствуйте! У меня тоже эта проблема. Не могу зайти на сайты типа доктора Веба и Касперского…. .заплатки на Windows установил, програмку запустил….никакого результата. На вышеобозначенные сайты как не мог попасть тпк и не смог. В чем проблемма?
С уважением
Геннадий, вам возможно поможет очистить файл
c:\WINDOWS\system32\drivers\etc\hosts
и оставить там только одну строку
127.0.0.1 localhost
Antonio
Спасибо, попробовал…. на Касперского уже получается зайти на Веба и Нод по прежнему не пускает
С уважением
Можно попробовать скачать и установить последнюю ознакомительную версию касперского и провериться им (он будет работать в течении 30 дней, так же функционально), а дальше уже решить покупать его или поставить, например, бесплатную авиру..
Спасибо еще раз за советы, запустил програмку несколько раз….и чудо…с 4 попытки он его (вируса) выловил….выход на антивирусные сайты открылся!!!
С уважением
Рад, что помогло
Меня спасло лишь это:
Идем в меню выполнить (в меню Пуск). Пишем: regedit. Открывается реестр. Идем по адресу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\Tcpip\Parameters\PersistentRoutes. Стираем там все, кроме строчки «(по умолчанию)». Закрываем реестр
Антонио, добавь это в свой список и этот совет)
спасибо за утилитку — теперь качаю спокойно демо-антивирус
Добрый день!
Судя по описанию поймала именно эту зверушку. Сделала все, что предложено вами как лечение. Еще прогнала AVZ. Результата — никакого. Никакого вируса ни утилиты, ни Авира не находят. Единственно положительное — после установки критических обновлений стали запускаться утилиты Касперского. Но выйти на антивирусные сайты по прежнему никак.
Что еще можно попробовать? Просто уже не знаю что делать.
А файл, localhost проверяли? чистый?
Проверяли. Чистый
Тогда посмотрите реестр. Забейте в поиск адрес какого-нибудь сайта, на который вы не можете зайти. Встречал как-то раз такую блокировку входа на сайты.
куреит в безопасном режиме уберет то что нужно.
в реестре нет нифига, зараза сама умеет трафик перехватывать.
скачать другим компьютером.
поставить SEP 11 (Symantec Endpoint Protection) в нем есть замечательная штука Proactive Threat Protection
забыть про вирусы
Писал про это неоднократно, почему все такие толстокожие.
Я ВСЁ ДЕЛАЮ КАК ОПИСАНО В ИНТЕРНЕТЕ И У ВАС И НЕ МОГУ ПРОВЕРИТЬ СЪЁМНЫЙ ДИСК.ПРОВЕРЯЕТСЯ ТОЛЬКО С И D В ВЛЖУ КЛЮЧИ А ОН ПИШЕТ ЧТО НЕ ЯВЛЯЕТСЯ КАКИМ ТО КАТАЛОГОМ?????????????????
Спасибо за файлы по убийству этого вируса, всё сработало.
надолго ли?
Вопрос….а заплатки если эти на винду пиратскую поставить не появится проверка подлинности?
Алексей, если не получается проверить, то как вариант перенести важные данные и отформатировать, не помешает в любом случае или внимательно посмотреть ключи запуска программы.
КостО, нет за проверку подлинности отвечает другое обновление, макрософту в любом случае не охото подрывать авторитет своего детища всякими кидо
Антонио, а Вы случайно не в курсе что может быть за проблема когда пропадает пинг….самое главное что проблема непосредственно в компьюетере, потому как с другого все работает ровно. когда-то была проблема с вирями, нашел кидокиллер на Вашем блоге, запустил помогло. ща вот просканировал — все чисто. где собака зарыта?
Спасибо огромное стёр тут же и мигом!как всё легко то!
Косяки статьи:
1.Правдо оч глуппо сыли на сайты каспера и тд.не пускает но за здешние СПС
2.побольше о пользовании кидокиллером(хотя мож я дурак не дочитал)
А в остольном СПС!!!
Хз не могу удалить кидо утилитой пробую она просто закрывается через некоторое время…..Что делать посоветуйте а ОС менять не охота!!!!
Т111, ссылки на другие сайты, так как я предполагаю что у вас как у меня не один комьютер, т.е. хоть еще один не зараженный компьютер, или еще не заражен и вы хотите его защитить :-). про использования кидокиллера, мне кажется вполне описано в его встроенном хелпе kido
добавил последнюю версию и написал ключи, которые стоит попробовать
Вышеописанные действия и антивирус касперского помогает отчасти. В папке корзины точно вирус остался, не удаляется никак. Проверка ничего не показывает. Устанавливаю Symantec ..
Докладываю о прлоделанной работе по удалению Кидо, может кому поможет (например Роме).
а в конце января 2011 мне конкретно приспичило почиститься, поэтому я пошёл в направлении указаным Антонио: загружаться с внешнего носителя и чистить винт. Проблема была в том, что нетбук не имеет дисоквода, надо было грузиться с загрузочной флэшки, которую для начала надо было создать, а это тоже не совсем просто (в сети есть много материалов на этут тему). Я в этом деле так и не преуспел, но наконец, среди моих знакомых нашёлся любитель профессионального уровня, который мне сделал такую флэшку, причем под Linux и записал туда DrWeb и ККiller. Загрузка под Линуксом и последовательное применение указанных средств позволило вычистить основную дрянь. После этого уже при обычной загрузке был установлен Касперский, применение которого позволило отловить ещё кучу «дремлющих копий» червя, которые пропустили Др.Вэб и КК. Может это были просто «мертвые» кусочки кода, но на всмякий слкчай удалил их тоже нафик!
Итак, напомню, что было: нетбук заражен (ХР), сайты антивируса заблокированы, при обмене флешками черьвь пишет себя на них, идет лишний траффик в инете.
КК, CureIT и другие антивирусники не запускаются ни в простом, ни в безопасном режиме, просто схлопывается окно и прога не идет.
С момента моей публикации 24 Июня 24, 2010 конкретного способа обойтись без формата винта тут так никто и не посоветовал!
Пока сижу на Каспере, пробная версия на 30 дней, после окончания срока буду или покупать на него лицензию, или ставить Симантек (SEP 11 «Symantec Endpoint Protection»), как тут советуют.
Скажите пожалуйста уязвима ли ОС Windows 7 ultimate для kido?
если система обновлена всеми заплатками, то нет
Где взять эти заплатки под мою ОС win 7?
Так нужно просто обновить операционную систему стандартным образом, установиться все что нужно. Или вообще включить уведомление о новых обновлениях и подтверждать установку в ручном режиме (у меня так включено)
Подскажите, может это тоже дело рук такого же или этого вируса? Вобщем с недавнего времени, а точнее с субботы, мой компьютер стал не послушным, и даже очень. Дело касается интернета. Опишу подробней. Подключаюсь к интернету, захожу в браузер или куда либо еще, что касается интернета, и в течении 5 минут я успешно вылетаю в локальную сеть моего провайдера, Дальнейшие попытки связи с провайдером по средством телефона установили то что при попытке подключения мой компьютер зачем то начинает создавать второе или повторное подключение и в связи с этим вылетает из сети, Все попытки по телефону решить эту проблему привели к тому, что консультант провайдера поставил диагноз смены операционной системы (виндовс ХР ) что я с успехом уже сделал без помощи консультанта, после установки всех драйверов, в том числе и сетевого драйвера от материнской платы, и создания нового подключения я успешно и без проблем вновь окунулся в дебри рунета. Вчера все было замечательно, но сегодня началось все заново. Я хотел спросить знающих людей, кто возможно знает в чем проблема и как её грамотно решить. За ранее благодарю за вашу помощь. Если нужны еще подробности то я сообщу, только спросите.
Денис, вы не написали были ли установлены обновления для операционной системы и какая антивирусная программа используется.
«»АЛЕКСЕЙ Ноя 30, 2010 at 15:52 Я ВСЁ ДЕЛАЮ КАК ОПИСАНО В ИНТЕРНЕТЕ И У ВАС И НЕ МОГУ ПРОВЕРИТЬ СЪЁМНЫЙ ДИСК.ПРОВЕРЯЕТСЯ ТОЛЬКО С И D В ВЛЖУ КЛЮЧИ А ОН ПИШЕТ ЧТО НЕ ЯВЛЯЕТСЯ КАКИМ ТО КАТАЛОГОМ????????????????? «»
+1
СЪЁМНЫЙ ЖЕСТКИЙ ДИСК 500ГБ.НА НЁМ БЕСЦЕННАЯ ИНФА И ФАЙЛЫ.
ТО ЖЕ ЧТО И У АЛЕКСЕЯ… ПРОБОВАЛ ВСЁ ВЫШЕ ОПИСАННОЕ, ОБЛАЗИЛ ВЕСЬ НЕТ… ]:-> НИЧЕГО НЕ ПОМОГАЕТ.
ВЫЛЕЧИЛ ДВЕ МАШИНЫ А ПЕРЕНОСНОЙ ВСКРЫТЬ НЕ МОГУ. У КОГО БУДЕТ КОНКРЕТНОЕ РЕШЕНИЕ ПРОБЛЕМЫ ОТБЛАГОДАРЮ
так к слову — некрасиво писать большими буквами, обычно такие сообщения хочется просто удалить..
а по делу — набор ключей в этой команде должен так же чистить и на съемных дисках вирус
kk -j -t -a -r -f
вот какую рекомендацию по удалению вируса на съемных дисках дает Лаборатория Касперского
Удалить следующие файлы со всех съемных носителей:
:\autorun.inf
:\RECYCLER\S-< %d%>—< %d%>-%d%>-%d%>-%d%>-%d%>-%d%>\.vmx,
установить все обновления, провериться нормальным антивирусником со свежими базами..
Уважаемый Антонио. ключи безсмысленны и касперский тоже
про авторан и рециклед я и сам в курсе. дело в том что в отличие от машин жесткий диск блокируется из нутри и показывает: свободно 0 занято 0 при проверке НОРМАЛЬНЫМИ антивирусами (других не держим) пишет файлов проверено 0 инфицированных 0. в дереве машины показывает съёмный диск Е с путыми данными. естественно не представляется возмыжным пролезть к авторанам и рецикледу. использовал антивиры: Каспер. Аваст. Дровеб. Симантек. Нод. все в последних обновах +лицензия (есть у меня такая возможность), более того использовал все утилиты рекомендуемые для борьбы с этим «конфакером» описанных в нэте. и все заплатки и обновления на системе тоже стоят. система экс пи проф. по этому мои машины в полной безопасности. моментально опевещают и удаляют сраный кидо, а вот «500гб» в глухой обороне и к себе никого не пускают…
борьба продолжается пятый день… пока тщетно…
пы сы. прошу простить за большие буквы. просто накипело и хотелось орать.
Не представляю такой блокировки, точнее тяжело представляю,
а пробовали подключать винт на машину без антивирусника?
Если там он видится нормально, просто перелить данные и отформатировать.
Это можно безопасно сделать если у вас есть какой-нибудь Linux или Unix (что не столь важно). Ну или на крайняк с винды, а потом по сети, на ваш комп, а форматнуть можно каким-нибудь устройством. Нужен просто творческий подход. Если что стучите в аську, ваш случай если все действительно так — интересный
пробился к файлам, но пока не даёт их вытащить. чусвствую финал.
«рецептом» поделюсь если одна идейка прокатит.
Доброго времени суток! Есть проблема… Поймали KIDO на сервак. Пролечили всё и поставили защиту на всё, кроме рентгена и компьютерного томографа ( дело в клинике происходит). Эти установки не имеют выхода в инет, только на сервак. Рентген был пролечен KK, а вот томограф…На нём стоит Windows 2000, файрвола по определению нету, юсб нету, есть только карман под дискеты:) и сидюки, которые отключены по причине запрета Тошибы как автора сего продукта(типа, чтоб никто не лазил туда). KK не запустился, так как спецы от Каспера не предусмотрели вариант для 2000, а курайт не влазит на 1.4М…Есть шанс пролечиться не останавливая томограф? Заранее спасибо за любую помощь.
Сергей, как вариант — снять винт и проверить его на другой машине, еще можно скачать антивирусник по сети (у вас ведь есть доступ по сети к серверу), странно что у вас не запускается кидокиллер. с 2000-й очень давно не работал, но фаервол там должен быть это ведь серверная винда.
В общем нужно пробовать, так как вариантов масса.
Мне блин, ничего не помогло!!! Что делать ? ? ?
Мне ничего вышеописанное не помогает, может что ещё можете посоветовать ?
Короче, кому не помогло, можете сделать «откат», мне помогло!
Здравствуйте! у меня следующая проблема — на серваке появ-сь собщение Generic Host Processes for Win 32 Services обнаружена ошибка, приложение будет закрыто, потом сервак начал из сети вылетать, пока его не перезагрузишь, а потом и вовсе перестал пинговаться. Ладно, отключил сервак, увезли в управление, там будут разбираться, сейчас перевел на старый сервак все спец. проги, все ужасно тормозит. На компах обнаружены в Tasks задания At1….и т.д. проверяю КК пишет что обнаружены эти джобы и удаляет их, доктор веб ничего не находит. Явно кидо не находит. Что у меня — Кидо? И что мне делать?
Советую внимательно прочитать статью и ВСЕ комментарии сказано по кидо и подобному очень много, я приводил комментарии и люди делились опытом, в процессе чтения нужно брать пациента, осматривать его и пытаться лечить.
Как правило я больные машины просто переставляю, накатываю все обновления и в плаванье, как правило это более надежный вариант, чем потом разгребать последствия жизнедеятельности вирусов и глюки системы..
Удачи в этом нелегком деле!
Вирус очень прост, как говорят Европейские специалисты что он пришел 90% из Украины, и его заблокировать достаточно трудно потому что он ежедневно создаёт кучу сайтов с фейковыми айпи и атачит комп, это так — да но на компе он лежит в папке систем32, под файлами 32,75,46.exe, их можно удалить и всё и атаки можно заблочить хорошим фаерволом типо Outpost firewall 7.5 pro и все… кстате умелым пользователям фаервол заменят все эти антивирусы которые впринципе не нужны)
Сергей, вы правы в плане файервола, но все-таки он не заменит хороший антивирусник, ведь вирусы еще могут грузить процессор, блокировать вход в систему, шифровать и удалять файлы и многое другое..
Я конечно ламер, но совет «умелым пользователям фаервол заменят все эти антивирусы которые впринципе не нужны» мне кажется очень странным, учитывая, что вирус КИДО передаётся через флэшки и прочие съемные носители.
Я бы этот совет не советовал воспринимать всерьез, особенно если вы часто имеете дело с чужими флэшками, никакой файрвол вам не поможет избежать заражения.
Вообще-то когда у вас этот вирус, то на сайт майкрософта и касперского не попадете… и каким же извеняюсь образом нам скачать для лечения??!??!?!
Все что нужно для лечения — это кидокиллер, его можно скачать с моего сайта, читаем внимательно.
Ссылки на Касперского и Микрософт даны для того чтобы компьютер не заразился и для профилактики и сейчас уже редко у кого дома один компьютер, да и например, есть друзья, знакомые, на работе в конце концов. Мы же не в каменном веке.
Если это действительно необходимо могу скачать и разместить у себя. Многим людям эта статья уже помогла — выбор за вами.
подхватила эту дрянь. Муж переустановил вчера винду и полез в инет, а антивирь не был установлен еще…
Скачала кидокиллер. Запускаю — вылазит окошко черное.. и… дальше что???
Меня спасло лишь это:
Идем в меню выполнить (в меню Пуск). Пишем: regedit. Открывается реестр. Идем по адресу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\Tcpip\Parameters\PersistentRoutes. Стираем там все, кроме строчки “(по умолчанию)”. Закрываем реестр
_______________________________________
а у меня там только по умолчанию строчка
Теперь авастом проганяю
— — куча зараженных файлов..
А что делать если после удаления Кидо перестал работать интернет (не подключается локальная сеть), хотя с вирусом никаких проблем не было.
алена зачем в реестр лезть, если можно выполнить команду route -f
А если собака в сети, и постоянно создаются запланированные задачи в виде at0 и так по возрастающей. KK спасает только от этих задач (в моём случае), есть ли варианты, предложения, как грохнуть эту собаку в сети? Компьютеров очень много, и отключать от сети не вариант. Где то стоит XP, где-то Win7.
А если собака в сети, и постоянно создаются запланированные задачи в виде at0 и так по возрастающей. KK спасает
только от этих задач (в моём случае), есть ли варианты, предложения, как грохнуть эту собаку в сети? Компьютеров
очень много, и отключать от сети не вариант.
>tsaga< если у тебя сеть — поможет только SEP, ставишь на все компьютеры, наблюдаешь как эта хрень умирает — занятное зрелище.
ЗЫ: Если SEP не ставится — предварительно отключить сеть, прогнать CUREIT — замечательно помогает
tsaga, раньше кидо помогал и в сети,
нужно на ключи запуска внимательно смотреть
и патчить компьютеры, включать брандмауеры
в общем работать с каждым ПК индивидуально
это как раз есть повод навести порядок (если за него отвечаете вы)
вот и я на работе столкнулся с этим вирусом, прочитал всю статью, первое что успел сделать это прогнать Kidokillerом, не особо помогло, в общем что хочу спросить, помимо способа как на сайте касперского есть и другие варианты, комуто помогают кому то нет, подскажите какой способ саммый эффективный. 8 станков ЧПУ с ХР, соединнные сеткой + офисные компы в этой же сетке, на компах антивирусы стоят, а на станках нет…
Кто распространяет вирусняки убил бы не задумываясь, пох сел бы но убил честное слово!!! >:o
большое спасибо за статью и советы…
после установки заплаток и прогонки КК всех компов и кюреитом серваков сеть сначала не очистилась… после отключения свитча, повторно прогнал КК — уже нет признаков заражения. Заметил, что восстанавливалось заражение после перегрузки контролера домена.
Пожалуйста
конечно контроллер доменов нужно лечить в первую очередь, ну и на время лечения отключать сеть