Собственно темы раздувались на разных форумах, в частности, ЗДЕСЬ (http://www.mobile-files.by/forum/showthread.php?t=4395).

Дальше данные с источника:
============
Уважаемые пользователи, убедительная просьба ознакомиться с данным топиком. И даже если у вас нет признаков червя, то обязательно установите "заплатки" для операционной системы.

Способы удаления:

Удаление сетевого червя производится с помощью специальной утилиты kidokiller.exe.

С целью предохранения от заражения необходимо провести следующий комплекс мер:

1. Установить патчи, закрывающие уязвимость.

2. Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.

3. Отключить автозапуск исполняемых файлов со съемных носителей.


Удаление сетевого червя утилитой kidokiller.exe.

Скачайте архив KidoKiller_v2.zip и распакуйте его в отдельную папку на зараженной машине.

Запустите файл KidoKiller.exe.

По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KidoKiller.exe с ключом -y.

Дождитесь окончания сканирования.

Выполните сканирование всего компьютера с помощью обновленного антивируса
============

Для тех, кто не любит Deposit, патчи для XP:

http://www.microsoft.com/downloads/details.aspx?familyid=6f8ae0aa-fd68-4156-9016-bba00149793c&displaylang=en
http://www.microsoft.com/downloads/details.aspx?FamilyID=0d5f9b6e-9265-44b9-a376-2067b73d6a03&DisplayLang=en
http://www.microsoft.com/downloads/details.aspx?FamilyID=eeafcdc5-df39-4b29-b6f1-7d32b64761e1&DisplayLang=en

Описание вируса Net-Worm.Win32.Kido (http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782725)

Вот более полное описание действий при удалении (http://support.kaspersky.ru/faq/?qid=208636215).

Вирь не новый, программа kido_killer_v2 не помогает.
Альтернативные названия этого червя, conficker и downloadup.
По теме есть в соседней ветке.
Лечится довольно просто, установкой McAfee на сегодняшний день, единственный антивирь который нормально с ним борится.

kidokiller обновился до версии 3 - http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.zip

Вчера боролся с этой гадостью. Для борьбы использовал KidoKiller_v3 (http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.zip) + установка WindowsXP-KB958644-x86-RUS (http://download.microsoft.com/download/5/2/6/526af6ed-32cc-4924-b631-faee10a0e6a9/WindowsXP-KB958644-x86-RUS.exe). Полет нормальный.

Вчера боролся с этой гадостью. Для борьбы использовал KidoKiller_v3 (http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.zip) + установка WindowsXP-KB958644-x86-RUS (http://download.microsoft.com/download/5/2/6/526af6ed-32cc-4924-b631-faee10a0e6a9/WindowsXP-KB958644-x86-RUS.exe). Полет нормальный.

что-то ваша ссылочка на KidoKiller_v3, подорзрительная получаю от аваста сообщение при запуске проги,что типа прога содержит вирус.

Этой только что работал , два антивиря на компе ни один не определил как вирус ..:wow:

Добавил сразу в кучу и заплатку для Винды ..

Добавил версию 3.1 так что качайте ее сразу ..

Здесь был вложен файл: KidoKiller_v3.zip (112.5 Кб), но к сожалению был утерян. Если он у Вас есть, свяжитесь с администрацией для его восстановления. Спасибо.
Здесь был вложен файл: WindowsXP-KB958644-x86-RUS.rar (619.2 Кб), но к сожалению был утерян. Если он у Вас есть, свяжитесь с администрацией для его восстановления. Спасибо.
Здесь был вложен файл: KidoKiller_v3.1.zip (119.4 Кб), но к сожалению был утерян. Если он у Вас есть, свяжитесь с администрацией для его восстановления. Спасибо.

bond95, разрешите фотку приложить от аваста? еще раз запустил теперь уже ваш файлик, и вот оно Win32:Trojan-gen{Other}

ну тогда еще и авторан затыкать надо
приверно так

создаем REG файлик со сл. содердимым
================================================== ==
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer]
"NoDriveAutoRun"=dword:03ffffff
"NoDriveTypeAutoRun"=dword:000000ff
================================================== ======
пускаем - он добавится в реестр
всё - автораны отключены после перезагрузки компа
насовсем

ЗЫ. откуда появляется пробел в слове "Current ?
при правке его нету, а на просмотре - вот он. админы - плиз поправить
Научится пользоватся тегами читать отсюда (http://www.mcrf.ru/forum/misc.php?do=bbcode)

kidokiller обновился до версии 3.1

http://support.kaspersky.ru/wks6mp3/error?qid=208636215

eddiman, я как раз эту ссылку давал во втором посте этой темы :wink:

У меня сидела эта гадость в 1 библиотеке, ну ниче вроде вылечило и все

Подскажите, если стоит третий сервис пак, то установка WindowsXP-KB958644-x86-RUS, ни к чему?

Подскажите, если стоит третий сервис пак, то установка WindowsXP-KB958644-x86-RUS, ни к чему?

Что есть Сервис пак 3 ? Это усовершенствованный второй .
Если у тебя апдейт винды идет постоянно то я думаю эта заплатка стоит у тебя и так .Если же нет хуже не станет сто процентов ..Ставь смело .

если вы посмотрите внимательно на ссылки в первом сообщении, то станет видно, что заплатки от ноября-декабря-января. у меня стоит 3-й SP, и при их установке не было сообщений, что они уже установлены.

Что есть Сервис пак 3 ?
Есть.
http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4

заплатки от ноября-декабря
Угроза появилась во второй декаде января. Более раннние патчи ничего не устраняют.
Более того, проблема в том, что вредоносный код представляет наибольшую опасность для незащищенных локальных сетей.
Кроме того, этот зловред очень уверенно притягивает другие вири, блокирует функцию system restore и доступ ко многим сайтам, посвященным сетевой безопасности.

Что есть Сервис пак 3 ? Это усовершенствованный второй .

Здесь имелось ввиду "Что такое Сервис пак 3 ?"
То что есть SP3 я знаю от дня его выхода и он у меня стоит .
Цытату нужно полную давать , а то она теряет значение в таком случае .
:kos:

Есть.
http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4

Угроза появилась во второй декаде января. Более раннние патчи ничего не устраняют.


Очень даже устраняют - KB958644 от October 23, 2008, а все семейство этих вирей юзает уязвимость тех кто не пропатчился своевременно. Более того, Downadup(может быть и kido - хз, не трогал) за собой калитку закрывает: после заражения прикрывает уязвимость.

самый просто способ проверить установлен ли патч:
win+R -> cmd->" systeminfo | find "KB958644" "

По поводу отключения авторана через реестр - более правильный и и логичный способ делать через групповую политику(gpedeit.msc) не зря же пердоставлена фича майкрософтом, в одной из таких тем тут я как-то уже расписывал:wink:

По поводу отключения авторана через реестр - более правильный и и логичный способ делать через групповую политику(gpedeit.msc) не зря же пердоставлена фича майкрософтом, в одной из таких тем тут я как-то уже расписывал:wink:
А более легкий способ - это отключить авторан у всего (CD-Rom, жесткие диски, флэшки, сетевые диски) с помощью AVZ (http://rapidshare.com/files/105329630/avz4.zip). Всё это делается через "Мастер устранения проблем", который, кстати, помимо авторана, укажет ещё на несколько уязвимостей системы, если они есть.

мои домашние уложили 2е винды при наличии установленных авиры(рег обновляемой и комодо файрвола) Винды(звер и просто хр2) не грузились дальше после заставки ни в каком режиме. Видать нечто похожее поймали. Попробую как вышеописанную утилиту применить, как дома появлюсь.

victorgo2000us, очень хотелось бы посмотреть на название сего чуда, в любуй интерпретации от вендера антивирей.
Секурные обновления скачивали? SP3 не пробовали? На моей практике именно сп3 достойная винда.

ЗЫ: Одно но, ни когда не ставлю зверь и прочее, только оффициаьные версии, в любом случае быстродействие на любой системе добиться можно настройками. ;)

А более легкий способ - это отключить авторан у всего (CD-Rom, жесткие диски, флэшки, сетевые диски) с помощью AVZ (http://rapidshare.com/files/105329630/avz4.zip). Всё это делается через "Мастер устранения проблем", который, кстати, помимо авторана, укажет ещё на несколько уязвимостей системы, если они есть.
Зачем давать ссылку на рапиду, если все прекрасно и бесплатно качается с офф.сайта :
http://www.z-oleg.com/secur/avz/download.php

Однако, это становится всё серьезней. Французы жгут:


Компьютерный червь Downadup, также известный как Conficker и Kido, использующий уязвимость в операционной системе Windows, заразил компьютеры ВМС Франции, в результате чего пилоты некоторых французских истребителей Dassault Rafale 15 и 16 января не смогли загрузить планы полетов и были вынуждены остаться на земле.

По данным французской газеты Ouest France, командование ВМС Франции проигнорировало предупреждения об угрозе данного вируса и не приняло необходимых мер безопасности. Червь поразил внутреннюю компьютерную систему военно-морских сил страны. По сообщению пресс-атташе ВМС Франции Жерома Эрулена, вирус затронул систему обмена информацией, однако сама информация не пострадала, пишет газета Telegraph. Во время устранения вызванных червем неполадок военные были вынуждены прибегнуть к более традиционным видам коммуникации: телефону, факсу и почте. Официальные лица французской армии утверждают, что вирус инфицировал компьютеры ВМС в результате чьей-то неосторожности и не стал следствием намеренных действий по нарушению национальной безопасности Франции.

В силу определенной занятости, последние дней 10, работал в интернете не очень активно (2 раза в день, утром и вечером, по 5-10 минут), вследствие чего обновление комплексной защиты Symantec Endpoint Protection 11.0.2010.25 не успевало произвести обновление в автоматическом режиме.

Результатом послужило - заражение моего ПК, следующей гадостью: Trojan.Donbot - (троян) W32.Harakit - (червь).

Симптомы начальной стадии: Систематическая ошибка приложения iexplore.exe (IE аварийно завершает работу, с потерей всех несохраненных данных).

Аварийное завершение работы службы IPSEC, из за ошибки.

Клиника: ПК превращается в Бота, пытаясь рассылать спам-сообщения.

Журнал Pop-UP сообщений SEP (Symantec Endpoint Protection), а также описание Trojan.Donbot&W32.Harakit, можно посмотреть в свежесверстанном *.pdf документе:

SEP Report.pdf ~ 539.85 kb (http://www.mcrf.ru/files/index.php?ACT=dl&id=1569&symid=1612)

Устранение угрозы: Обновление комплекса защиты SEP, после, проведение полного осмотра системы, на наличие вредоносных программ.

Самое печальное, что в настоящий момент, в моих рабочих диапазонах IP - адресов, принадлежащих компаниям Sky-Link, Мотив, Уралсвязьинформ, ФораТек - г. Екатеринбург, кол-во подобных Ботов (зомбированных машин) очень велико, о чем свидетельствуют срабатывания системы оповещения SEP, вида:

http://img145.imageshack.us/img145/2001/atackem3.jpg в рабочие часы - каждые 10 минут.

PS: C чем связывать, подобную активность, за последние 2 недели, до меня пока не доходит, весной запахло чтоли:unknw:?

Хорошо что прочитал этот пост. Три дня не могу убрать из ноута эту нечесть. ESET 3.0.684 установлен. Только при сканировании диска C находит в System32 dll-ку с вирусом, но удалить не может. Пробовал из LiveCD удалить, опять появляется с новым названием. Вставляю флешку, вирь создаёт файл на ней, но его NOD сразу прибивает после авторана. А с самим вирём NOD не справляется. А я уже хотел антивирус менять. Думал NOD стал плохим. А тут вон какое серьёзное дело...

Обновление утилиты для Kido от 1 апреля 2009 года (надеюсь это не первоапрельская шутка)

Скачать KKiller_v3.4.3 (http://data2.kaspersky.com:8080/special/KKiller_v3.4.3.zip)

http://www.3dnews.ru/software-news/_laboratoriya_kasperskogo_preduprezhdaet_ob_opasno m_mbr_rutkite/
"Лаборатория Касперского" предупреждает об опасном MBR-рутките
08.05.2009 [18:34], Сергей и Марина Бондаренко

"Лаборатория Касперского"сообщила о детектировании и лечении нового варианта уникального MBR-руткита.

Новый вариант вредоносной программы Sinowal, обладающей функционалом скрытия своего присутствия в системе при помощи заражения главной загрузочной записи (MBR, Master Boot Record) жесткого диска, был обнаружен экспертами компании в конце марта 2009 года.

Однако новый вариант стал настоящим сюрпризом для исследователей. В отличие от прошлых версий, новая модификация Backdoor.Win32.Sinowal для предотвращения своего обнаружения использует гораздо более глубокий уровень внедрения в систему. Метод скрытия, реализованный в данном варианте, использует перехваты на уровне объектов устройств - самом "глубоком" уровне работы операционной системы. Никогда ранее злоумышленники не обращались к таким продвинутым технологиям. Из-за этого ни один из существовавших антивирусных продуктов на момент появления новой модификации Sinowal не был в состоянии не только вылечить пораженные Backdoor.Win32.Sinowal компьютеры, но и даже обнаружить проблему. После проникновения в систему буткит обеспечивает скрытое функционирование главного модуля, ориентированного на кражу персональных данных пользователей и их различных аккаунтов.
По данным экспертов "Лаборатории Касперского", буткит активно распространяется на протяжении последнего месяца с ряда вредоносных сайтов, использующих набор уязвимостей Neosploit. Одним из основных способов проникновения в систему является использование уязвимости в Adobe Acrobat Reader, вызывающей исполнение вредоносного PDF-файла, загруженного без ведома пользователя.

Обнаружение и лечение данного буткита, который до сих пор распространяется в Интернете, является наиболее сложной задачей из всех, с которыми приходилось сталкиваться специалистам антивирусной индустрии на протяжении нескольких лет. "Лаборатория Касперского" одной из первых среди ведущих антивирусных компаний реализовала в своих существующих персональных антивирусных решениях не только детектирование, но и успешное лечение данного варианта Sinowal.

Для того чтобы проверить компьютер на наличие заражения, пользователям персональных продуктов необходимо обновить антивирусные базы и провести полную проверку системы. В случае обнаружения буткита в ходе лечения потребуется перезагрузка компьютера. Кроме этого, эксперты "Лаборатории Касперского" рекомендуют всем пользователям установить необходимые патчи, закрывающие уязвимости в Acrobat Reader и используемых браузерах.

Недавно заметил, что перестал обновляться Каспер и не открывается сайт Майкрософта. Ели удалил эту заразу на компах. Дома помогла старая версия Кидокиллера2, а на работе только последняя. Правда после сноса виря есть глюк с и-нетом - после соединения через некоторое время Винда подвисает и пропадает конект, помогает только ребут. Прийдётся наверное системы сносить...

Правда после сноса виря есть глюк с и-нетом - после соединения через некоторое время Винда подвисает и пропадает конект, помогает только ребут. Прийдётся наверное системы сносить...

Женя не спеши ничего сносить ..Пройдись Кидокиллером в безопасном режиме сначала ..Перегрузись и еще раз в нормальном режиме запусти ..Попробуй ..