- Сообщения
- 25,193
- Решения
- 5
- Реакции
- 13,747
Симптомы
Краткое описание семейства Net-Worm.Win32.Kido.
Подготовка к удалению
Методики удаления
Источники информации:
_____________________
P>S> Если перечисленные рекомендации не помогли, то еще не все потеряно. Необходимо обратится в раздел "Помощь в борьбе с вредоносными программами" и подготовить логи
Хоть все рекомендации отбирались по принципу "не навреди", но ресурс не несет ответственность за работоспособность ПК после выполнения этих рекомендаций.
- При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
- Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
- Невозможно получить доступ к сайтам большинства антивирусных компаний, например, avira, avast, esafe, drweb, eset, nod32, f-secure, panda, kaspersky и т.д.
- Попытка активации Антивируса Касперского или Kaspersky Internet Security с помощью кода активации на машине, которая заражена сетевым червем Net-Worm.Win32.Kido, может завершиться неудачно, и возникает одна из ошибок:
- Ошибка активации. Процедура активации завершилась с системной ошибкой 2.
- Ошибка активации. Невозможно соединиться с сервером.
- Ошибка активации. Имя сервера не может быть разрешено.
Краткое описание семейства Net-Worm.Win32.Kido.
- Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID<....>}\RANDOM_NAME.vmx
В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll - Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
- Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
- Обращается к следующим сайтам для получения внешнего IP-адреса зараженного компьютера (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):
- http://www.getmyip.org
- http://getmyip.co.uk
- whatsmyipaddress.com
- What is my IP? - WhatIsMyIP.org
- http://checkip.dyndns.org
Подготовка к удалению
- Необходимо закрыть уязвимости, установив обновления:
- Установить пароль на учетную запись администратора, если пароль установлен, то убедитесь в его сложности (qwert или 1234 не есть сложным паролем)
- Отключите автозапуск
- Тема на форуме
- Или воспользовавшись утилитой KK.exe с ключом -a
Методики удаления
- Скачайте утилиту, распакуйте архив в отдельную папку. Запустите.
- kk.zip (если нет возможности скачать с серверов ЛК.
*Если на компьютере, на котором запускается утилита, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.
- Обладая опытом работы с командной строкой, вы можете применять ключи, которые понимает утилита
- Или воспользоваться удобным графическим интерфейсом, который разработал наш коллега Drongo, это позволит легко работать консольными утилитами Лаборатории Касперского при помощи удобного интерфейса.
- Утилиты других вендоров
- Утилита EConfickerRemover.exe от Eset
- утилита от bitdefender
- *скачайте, распакуйте файл и запустите, нажмите "Scan", если утилита ничего не найдет, появится сообщение
- Утилита от F-Secure - Download f-downadup.zip
- Альтернативные инструкции
- Краткое описание и инструкция по удалению от Microsoft
- Сайт Bitdefender посвященный борьбе с Kido.
- Инструкция от Online Solutions. Страница загрузки утилит.
- Инструкции наших пользователей
Источники информации:
- Техническая поддержка
- www.eset.com
- www.online-solutions.ru
- www.bdtools.net
- www.symantec.com
- www.f-secure.com
- http://support.microsoft.com
_____________________
P>S> Если перечисленные рекомендации не помогли, то еще не все потеряно. Необходимо обратится в раздел "Помощь в борьбе с вредоносными программами" и подготовить логи
Хоть все рекомендации отбирались по принципу "не навреди", но ресурс не несет ответственность за работоспособность ПК после выполнения этих рекомендаций.
Последнее редактирование модератором: