Kido как вылечить комп
(в моем случае в сети 50 компьютеров+файлопомойка без домена, DHCP, DNS сервер без AD, прокся)
Определение заражения:
Лезем в реестр и проверяем параметр netsvcs в ветке
если в списке служб в
самом конце
есть бессмысленный набор букв(типа xpprdjj) и вы не можете ассоциировать это название с легальными службами (у каждой службы кроме длинного есть короткое имя например – Автоматическое обновление: Wuauserv) – ( Можно посмотреть в остнастке службы либо с помощью любой другой утилиты, например, autoruns)
Вышесказанное относится к модификациям вируса Win32/Conficker.A – .C. Более новая модификация Win32/Conficker.D записывает свою службу в параметре netsvcs не в конец списка, а в произвольное место списка, что усложняет ее поиск! Вот таблица типичных “валидных” служб для примера (взял отсюда ):
– Служба, выделенная красным — это пример записи, которую создает вирус Win32/Conficker в папаметре netsvcs в разделе реестра SVCHOST.
– Реальный список служб может включать дополнительные записи в зависимости от программ, установленных в системе.
– В таблице указаны службы, запускаемые в конфигурации Windows по умолчанию.
Запись, добавляемая в список вирусом Win32/Conficker, может служить примером техники запутывания. В выделенной записи вируса первая буква кажется буквой «L» в нижнем регистре, но на самом деле это буква «I» в верхнем регистре. Из-за начертания шрифта, используемого в операционной системе, буква «I» в верхнем регистре похожа на букву «L» в нижнем регистре.
Вобщем если есть неопознанная служба поздравляю – скорее всего вы счастливый обладатель самого новейшего вируса
Также надо проверить ветку реестра
Если такая есть это точно Kido. Однако не во всех модификациях вируса такая ветка создается.
После этого в сети и на
каждом компьютере
необходим целый комплекс противовирусных мероприятий:
I В сети предприятия .
1. Планируется глобальная политика безопастности – способ входа в систему длинна пароля, количество попыток при вводе неправильного пароля, меняются все пароли на сложные не меньше 6 знаков, раздаем права доступа на NTFS, Всех выгоняем из УЗ Администратора. Вобщем вспоминаем за что платят админам деньги
2. Закрываем на всех компьютерах ВСЕ общие папки, в т.ч. на серверах. Это заодно будет стимулом быстрее перевести всех на файловый сервер и быстрее пролечить сеть
Легче всего эту задачу выполнить – остановив на каждом компьютере службу Server.
3. В настройках проксибрэндмауэра запрещаем P2P сети! Это важно- именно по этому протоколу зараза обменивается информацией и обновляется.
4. Заодно можно на время отключить сетевую службу Доступ к файлам и принтерам, дабы закрыть 139, 445 порт( я так не делал, а просто запретил порты на проксеDNS)
5. Отключить сервер и полноценно проверить его без доступа к сети. Установить на него заплатки (все необходимые). Используйте Microsoft Baseline Security Analizer .(нужен интернет, так что делайте до отключения сети).
II. На каждом компьютере отдельно. (
в т.ч. на серверах
)
1. Удаляем сначала вирусную службу определенную ранее из списка служб в параметре netsvcs (в конце должна быть пустая строка) и убив саму службу в
+ удалив указанную в соответстующей вирусу ветке dll-ку.
Здесь интересный момент: Зайдя, например, в случае как на картинке, в раздел реестра, HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesrhlnccbs вы не увидите весь раздел и имени запускаемой dll. Вирус использует наше же оружие – он закрывает через разрешения доступ к своей ветке всем кроме System. Чтобы справится с вирусом меняем разрешения на ветку: Заходим в Разрешения для данной ветки – нажимаем Дополнительно, затем выбираем галочку ‘Наследовать от родительского объекта…‘, и вуаля- видим ветку вирусного драйвера целиком с путем и имененм dll- вот и попался голубчик!
Удаляем ветку, если она есть
2. Запрещаем доступ к ветке HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvcHost для всех на изменение значений.
ПКМ на разделе SvcHost- Разрешения- добавить пользователя Все (на англ ОС- Everyone)-
далее в раздел дополнительно и выбрав пользователя Все задаем ему специальное разрешение( в данном случае запрещение ) – запрещаем право ЗАДАНИЕ ЗНАЧЕНИЯ
Важно: При закрытии этой ветки реестра на запись становится невозможным устанавливать новые службы использующие Svchost. На время лечения ветка должна быть закрыта на всех компьютерах сети!!! Иначе процедура лечения бессмысленна !
Подробнее о нюансах связанных с блокированием ветки реестра Svchost см. в замечаниях…
3. Удаляем как советует майкрософт запланированные задания:
4. Качаем и устанавливаем обновление WindowsXP-KB958644.
Также установите MS08-068 MS09-001
5. Отключаем автозапуск , службу планировщика.
6. Для удобства большинство действий можно сделать Bat- файлом(ветки реестра лучше править вручную):
Пример (по окончании компьютер перезагрузится):
Net stop server
Net stop ShellHWDetection
AT /Delete /Yes
Net stop Schedule
Rem Заплатка отключения автозапуска, скачайте ее перед запуском 🙂
Start /wait WindowsXP-KB967715-x86-RUS.exe /passive /nobackup /norestart
Reg Add “HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer” /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f >nul
Reg Add “HKCUSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer” /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f >nul
Reg Delete “HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2” /f >nul
Reg Add “HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2” >nul
Reg Add “HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer” /v HonorAutorunSetting /t REG_DWORD /d 0x00000001 /f >nul
Rem Заплатка АнтиКидо, скачайте перед запуском 🙂
Start /wait WindowsXP-KB958644-x86-RUS.exe /passive /norestart /forcerestart
7. Проверяем компьютер антивирусным сканером. В моем случае заражение сопровождалось другим вирусом -csrcs прописывающемся в Winlogon.
8. Обязательно соберите у всех пользователей флэшки (даже под угрозой увольнения), поудалять с флешек и корневых разделов дисков autorun.inf и папкуфайл RECYCLED и RECYCLER и защитите их с помощью FlashDisinfector, либо сами создайте скрипт:
type nul > “\?[B]буква флэшки[/B]:autorun.inflpt3.In Memory on Flash_Disinfector”
attrib.exe +h +r +s +a “[B]буква флэшки[/B]:autorun.inf”
Ставим нормальный антивирус и обновляем его регулярно(не реже каждого дня). Поставьте известный хороший антивирус (Мне известны три: Антивирус Касперского, Dr.Web, SymantecNorton). И проведите этим самым антивирусным сканером полную проверку всех единиц компьютерной техники в сети.
Для уверенности(или если вам непонятны действия описанные выше):
Скачиваем и запускаем какуюнибудь утилиту для удаления kido (bitdefender , kidokiller). Здесь можно почитать как использовать kidokiller
Источник
Карма +2009/-14
Offline
Пол:
Сообщений: 17725
снова в Москве
ИЖ-21261-070 248i Омск, 2005г.в., оригинал (пока)
Вирус КИДО нахождение, уничтожение и профилактика, windows заплатки от вирус Кидо, лечение вирус Кидо вирус
kido известный под разными именами (Conficker, Downadup, Win32.HLLW.Autorunner.5555, Win32.HLLW.Shadow.based и т д) и во множестве вариациях, Kido был обнаружен впервые ещё осенью прошлого года, почти сразу после того, как обнародовали информацию об уязвимости MS08-67 в операционных системах семейства MS Windows.
Действия вируса кидо
Помимо атаки на «дырявый» сервис, Вирус Кидо умеет инфицировать сетевые диски (подбирая при необходимости пароль) и съёмные накопители («флэшки»): на них Kido оставляет файл autorun.inf, автоматически запускаемый при открытии диска или даже простом подключении «флэшки» – конечно, если пользователь не отключил функцию автозапуска. Попав на компьютер, вирус кидо отключает некоторые системные службы, чтобы предотвратить его обнаружение и удаление, с той же целью блокирует доступ к внушительному ряду антивирусных сайтов и спокойно занимается лавинным размножением. Благодаря изощренной механике Кидо заразил к настоящему моменту более девяти миллионов машин и продолжает прогрессировать. Данная вредоносная и очень не беспечная программа, по мнению F-Secure создана для формирования бот-сетей с целью извлечения из нее прибыли или пакетной продажи. К сожалению, недостатка в спросе на работающие бот-сети в настоящее время нет. Также, «Создатели этого вируса kido еще по-настоящему не использовали его. Но они могут в любой момент сделать с зараженными машинами все, что захотят», — говорит главный советник по вопросам безопасности все того же F-Secure – Патрик Руналд (Patrik Runald).
Сетевой червь kido, распространяется через локальную сеть или при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов 165840 байт. Упакован kido при помощи UPX.
Распространение при помощи сменных носителей
Вирус кидо копирует свой исполняемый файл на все съемные диски со следующим именем:
<X>:RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665<rnd>.vmx, где rnd – случайная последовательность строчных букв, X – буква съемного диска.
Также вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл:
<X>:autorun.inf
Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы “Проводник”.
Деструктивная активность
При запуске червь внедряет свой код в адресное пространство одного из запущенных системных процессов “svchost.exe”. Внедренный код выполняет основной деструктивный функционал червя:
отключает службу восстановления системы;
блокирует доступ к адресам, содержащим следующие строки:
indowsupdate
wilderssecurity
threatexpert
castlecops
spamhaus
cpsecure
arcabit
emsisoft
sunbelt
securecomputing
rising
prevx
pctools
norman
k7computing
ikarus
hauri
hacksoft
gdata
fortinet
ewido
clamav
comodo
quickheal
avira
avast
esafe
ahnlab
centralcommand
drweb
grisoft
eset
nod32
f-prot
jotti
kaspersky
f-secure
computerassociates
networkassociates
etrust
panda
sophos
trendmicro
mcafee
norton
symantec
microsoft
defender
rootkit
malware
spyware
virus
Также червь скачивает файл по следующей ссылке:
https://trafficconverter.biz/*****/antispyware/loadadv.exe
Скачанный файл сохраняется в системный каталог Windows (%System%) с оригинальным именем и запускается на выполнение. На момент создания описания указанная ссылка не работала.
Также червь может скачивать файлы по ссылкам вида:
https://<URL>/search?q=<%rnd2%>
где rnd2 – случайное число, URL – ссылка, сфромированная по специальному алгоритму в зависимости от текущей даты. Текущую дату вирус Кидо запрашивает с одного из следующих сайтов:
https://www.w3.org
https://www.ask.com
https://www.msn.com
https://www.yahoo.com
https://www.google.com
https://www.baidu.com
Скачанные файлы сохраняются в системный каталог Windows (%System%) с оригинальными именами.
При заражении компьютера червь kido запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.
Вирус кидо получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости: www.microsoft.com). Для этого вирус кидо отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя kido и запускает его. После чего происходит инсталляция вируса kido на атакуемой машине.
Симптомы Заражения и буйствия вируса:
– отключена служба восстановления системы;
-заблокирован доступ к адресам сайтов вирусной безопасности;
– невозможно включение отображения скрытых папок в Documents and Settings;
-в локальной сети настает непомерный объем сетевого трафика.
Лечение гада (вируса Кидо):
Отключить компьютер или все компьютеры от локальной сети, отключить автозапуск сменных носителей и применить одно из решений:
Решение 1 от Лаборатории Касперского
Решение 2 от Компании «Доктор Веб»
Далее установить 3 заплатки 2 на Windows XP2 и одну Windows XP3:
MS08-067
MS08-068
MS09-001
Атаки kido с зараженных компьютеров будут продолжаться и дальше поэтому установите если у вас еще нет -антивирус ( в настоящий момент все антивирусы на него реагируют) и специальный софт для блокирования любой заразы поступающей с “флэшек” или съемных дисков.
Пакет состоящий из трех заплаток от Microsoft для Windows XP2/XP3 RUS и двух специальных бесплатных утилит от Лаборатории Касперского и Компании «Доктор Веб» – Dr.Web CureIt!® от 01.02.2009г и KidoKiller v.3.4 единым пакетом для пользователей :
Скачать : Пакет утилит и отрава для КИДО
Первый признак заражения kido – это когда вы не можете зайти на официальный сайт Лаборатории Касперского.
Самый простой способ лечить комп от Kido.bt (.wd .ws .wr .dd .fd .df .ss):
1 Вставляете флэшку в комп (желательно отформатированную, чтобы на ней небыло папки Recycler , дальше узнаете почему)
2 На флэшке появляется папка Recycler (если у Вас Kido то он в любом случае лезит на флэшку – один из способов распространения)
3 В этой папке Recycler находим файл (он там один в опять же в отдельной папке)
4 Через Total Commander определяем длину файла в байтах
5 Опять же через Total Commander ищем в папке System | System32 файл именно той длинны (обязательно в байтах)
6 Все нашедшие файлы сносим (только ВНИМАТЕЛЬНО смотрим какие файлы удаляем, потому как эта зараза, особенно Kido.ss, имеет свойство подстраиваться под системные файлы)
Кидо действует как бомба! Он срабатывает не сам по себе а только при каком-то действии,каком сам черт знает!
ВНИМАНИЕ! Если Касперский обнаружил kido на вашем компе, но когда вы вставляете флэшку и после нескольких попыток на флэшке нет папки Recycler с файлом внутри, то должен Вас огорчить!!! Вирус кидо МОДИФИЦИРОВАЛСЯ! И отловить его становится уже не реально.
Остается только Format C: D: E: … только форматировать надо все диски , а не только на котором операционая система, что поделать другого выхода нет, иначе после форматирования , например , только диска С, и установки на нем винды, после запуска он перелезет с зараженых дисков на С, такая уж у него спицификация, поражать все куда только можно пролезть и сохранить свое тело.
Есть еще способ удаления сетевого червя Кидо ( для более опытных, так как изменив в реестре что то не то, можно распрощаться с операционной системой)
Рекомендации по удалению Вируса Кидо
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления воспользуйтесь специальной утилитой и рекомендациями по удалению, которые можно скачать по следующей ссылке:
Лекарство от вируса Кидо
либо выполните следующие действия:
Удалить ключ системного реестра:
[HKLMSYSTEMCurrentControlSetServicesnetsvcs]
Удалить строку “%System%<rnd>.dll” из значения следующего параметра ключа реестра:
[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost] “netsvcs”
Перезагрузить компьютер
Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файл:
%System%<rnd>.dll, где <rnd> – случайная последовательность символов.
Удалить следующие файлы со всех съемных носителей:
<X>:autorun.inf
<X>:RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665.vmx, где vmx – случайная последовательность строчных букв, X – буква съемного диска.
Скачать и установить обновление операционной системы по следующей ссылке: www.microsoft.com
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать полную версию).
Новая версия Кидо Киллер (Kidokiller.exe) (текущая версия утилиты -3.4.13)
Скачать бесплатно: https://depositfiles.com/ru/files/te0fsap8x (срок жизни ссылки ограничен)
Источник
Раздел: Windows, Советы
Написано: 30.01.2009
Автор: Antonio
Сегодня столкнулся с вирусом Net-Worm.Win32.Kido или просто Kido.
Когда на одном из серверов остановилась служба Сетевой вход и Сервер и пропал доступ к его расшаренным папкам (такого не было никогда ранее). Мне сразу показалось что-то тут не чисто. Службы были перезапущены и все пошло своим путем. А позже я занялся изучением и поиском виновника.
Рассмотрим противника:
Net-Worm.Win32.Kido поражает Windows 2000 и более поздние версии, вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет постоянно видоизменяющийся (полиморфный) упаковщик, что затрудняет его анализ.
I. На сайте Касперского предлагается решение по обнаружению и удалению вирусов семейства Net-Worm.Win32.Kido
Решение:
1. Скачать и установить патч от Microsoft, который закрывает уязвимость MS08-067 (скачать).
2. Скачать и запустить утилиту KidoKiller.exe из архива KidoKiller_v3.zip (скачать)
3. Общая рекомендация. Не забывать обновлять операционную систему высокоприоритетными обновлениями.
II. Компания «Доктор Веб» информирует о широком распространении опасного сетевого червя Win32.HLLW.Shadow.based (известного также под именем Conficker.worm, Downadup и Kido) и предлагает метод лечения :
1. Установить патчи, указанные в следующих информационных бюллетенях Microsoft:
MS08-067 ссылка;
MS08-068 ссылка;
MS09-001 ссылка;
2. Отключить компьютер от локальной сети и от Интернета. Если компьютеры подсоединены к локальной сети, то вылеченный компьютер необходимо подключать обратно к локальной сети лишь после того, как будут вылечены все компьютеры, находящиеся в сети.
3. Скачать текущую версию утилиты Dr.Web CureIt! ссылка на неинфицированном компьютере, перенести ее на инфицированный и просканировать все диски, тем самым произведя лечение системы.
4. Для профилактики распространения вирусов рекомендуется отключать на компьютерах автозапуск программ со съёмных носителей, использовать автоматическое обновление Windows, не применять простые пароли входа в систему.
На заметку.
При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
Вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению буфера. В результате данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP.
Так же возможно отключение доступа к общим каталогам и прочим сетевым службам.
P.S. я использовал первый метод защиты (лечения), но повторно проверял так же и утилитой Dr.Web CureIt! от «Доктора Веб» ссылка.
Дополнительно можно почитать:
от компании «Доктор Веб» — ссылка
от Вирусной Энциклопедии — ссылка
от Лаборатории Касперского — ссылка
Ключевые слова: скачать утилиту kidokiller | kidokiller v3.zip | kidokiller v3 | worm.32.kido.hf | net-32.kido | kidokiller скачать
Добавлено 02.03.09 (для тех у кого не работают сайты касперского и микрософт, файлы для лечения с нашего сервера)
Обновленная утилита лечения от Касперского KidoKiller_v3.3.2.zip
Критическое обновление для Windows XP — WindowsXP-KB958644-x86-RUS
Добавлено 03.03.09
Критическое обновление для Windows Server 2003 Service Pack 1 и Windows Server 2003 Service Pack 2 — WindowsServer2003-KB958644-x86-RUS.exe (очень рекомендую не забывать обновлять сервера, спешить конечно тоже не стоит и накатывать всё на все, но и не забывайте! )
Добавлено 11.03.09
По непроверенным данным kido не трогает машины, на которых установлена украинская раскладка клавиатуры.
Добавлено 14.03.09
Разработчики антивируса BitDefender также сделали утилиту для удаления Kido или как они его называют Win32.Worm.Downadup.Gen
А так же у них есть «The 30-second Antivirus Scan: BitDefender QuickScan Beta» (30 секундное антивирусное он-лайн сканирование ПК)
P.S. зараженных машин под рукой не было, поэтому эффективность инструмента мной не проверена, но продукты BitDefender штука не плохая.
Добавлено 01.04.09
Это не первоапрельский прикол, действительно уже появился KidoKiller версии 3.4.3 — KKiller_v3.4.3.zip
Добавлено 09.04.09
Обновилась утилита KidoKiller уже версия 3.4.4 — KKiller_v3.4.4.zip
Сегодня обнаружил такой факт — если запустить кидокиллера с пользовательскими правами (т.е. работая под учетной записью с правами Пользователь), то утилита работает секунд 5-10 и вылетает с ошибкой! (обратите на это внимание и не забывайте!)
Добавлено 14.04.09
Еще признаки kido
1. Создает на съемных носителях (также на сетевых дисках если доступно на запись) файл autorun.inf и файл RECYCLED{SID}random_name.vmx
2. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:windowssystem32sfefs.dll
3. Прописывает себя в сервисах со случайным именем, состоящим из латинских букв, например gfjdsnk.
4. Атакует компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
Добавлено 16.04.09
Новая версия — KidoKiller 3.4.5 скачать
Добавлено 20.04.09
Нашел утилиту скачать (утилита разработана компанией Positive Technologies)
С помощью этой утилиты системные администраторы смогут быстро и легко выявить уязвимые системы и установить соответствующие исправления. Для корректной работы утилиты на системе должен быть установлен .NET Framework.
Внимание! Утилита работает в режиме тестирования на проникновение, в связи с чем, не имеет возможности обнаружить узлы, зараженные червем Conficker.B, поскольку червь устраняет уязвимость MS08-067. Для проверки зараженных систем необходимо использовать механизмы аудита системы MaxPatrol или XSpider.
После последнего посещения вышеуказанных страниц с заплатками, мне показалось что у Микрософт, что-то наверчено и толком по тем ссылкам скачать не получается, вообщем я нашел у них все что нужно и добавляю информацию тут:
Критическое обновление для системы безопасности (заплатки от уязвимости MS09-001):
— Windows XP (SP2, SP3) (KB958687) (MS09-001) — WindowsXP-KB958687-x86-RUS.exe
— Windows Server 2003 (SP1, SP2) (KB958687) (MS09-001) — WindowsServer2003-KB958687-x86-RUS.exe
Критическое обновление для системы безопасности (заплатки от уязвимости MS08-068):
— Windows XP (SP2, SP3) (KB957097) (MS08-068) — WindowsXP-KB957097-x86-RUS.exe
— Windows Server 2003 (SP1, SP2) (KB957097) (MS08-068) — WindowsServer2003-KB957097-x86-RUS
Критическое обновление для системы безопасности (заплатки от уязвимости MS08-067):
— Windows XP Rus (SP2, SP3) (KB958644) (MS08-067) — WindowsXP-KB958644-x86-RUS.exe
— Windows Server 2003 Rus (SP1, SP2) (KB958644) (MS08-067) — WindowsServer2003-KB958644-x86-RUS.exe
уязвимость описанная в MS08-065
Если у вас Microsoft Windows 2000 с пакетом обновления 4 (SP4), то обратите внимание!
Не подвержено уязвимости:
Windows XP с пакетом обновления 2 (SP2) или 3 (SP3)
Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2)
….
Была проблема (в самом начале эпопеи) — появилась на одном из сетевых дисков папка RECYCLER (типа корзина), но на самом деле не корзина, а создал ее кидо, сразу было видно кто создал (так как на сервере доступ был с паролями), пользователь был почищен и пропатчен, а вот папка не удалялась. Чтобы ее удалить нужно:
1. Войти в ту папку (лучше с коммандера FreeCommander, Total Commander, только не проводником, чтобы не вдруг не активизировать заразу) найти файл, который был не доступен к удалению даже администратору (там было что-то типа jwgkvsq.vmx), на него нужно добавить полный доступ Администратору, остальные можно удалить и можно сменить владельца на Администратор (это все если вы работаете под Администратором и тогда файл получится удалить.
2. Директории я удалил командами типа
rmdir /s /q «./S-5-3-~1»
rmdir /s /q RECYCLER
(до этого я тоже добавил доступ к директориям Админу)
Добавлено 22.04.09
Новая версия — утилита для удаления вируса Kido — KidoKiller 3.4.6 скачать
Начиная с версии 3.4.6 в утилиту KK.exe добавлены коды возврата (%errorlevel%):
3 — Были найдены и удалены зловредные потоки (червь был в активном состоянии).
2 — Были найдены и удалены зловредные файлы (червь был в неактивном состоянии).
1 — Были найдены зловредные задания планировщика или перехваты функций (данная машина не заражена, но в этой сети могут находиться зараженные машины — администратору следует обратить на это внимание).
0 — Ничего не было найдено.
P.S. В сети где используется домен(ы) нужно в первую очередь лечить контроллеры домена и компьютеры, на которых залогинены пользователи, входящие в группы «Administrators» и «Domain Admins» в домене. Иначе, лечение бесполезно — все компьютеры, входящие в домен, будут постоянно заражаться.
P.S.S. Смотрим ключи KK
Добавлено 05.05.09
Новая версия утилиты для удаления вируса — KidoKiller 3.4.7 скачать
Добавлено 19.05.09
Ключи для запуска утилиты KK.exe из командной строки:
| Параметр | Описание |
| -p | Cканировать определённый каталог |
| -f | Cканировать жёсткие диски, сканировать переносные жесткие диски |
| -n | Cканировать сетевые диски |
| -r | Cканировать flash-накопители |
| -y | Не ждать нажатия любой клавиши |
| -s | «Тихий» режим (без чёрного окна консоли) |
| -l | Запись информации в лог-файл |
| -v | Ведение расширенного лога (параметр -v работает только в случае, если в командной строке указан также параметр -l) |
| -z | Восстановление служб · Background Intelligent Transfer Service (BITS), · Windows Automatic Update Service (wuauserv), · Error Reporting Service (ERSvc/WerSvc) |
| -х | Восстановление возможности показа скрытых и системных файлов |
| -a | Отключение автозапуска со всех носителей |
| -m | Режим мониторинга потоков, заданий, сервисов |
| -j | Восстановление ветки реестра SafeBoot (при ее удалении компьютер не может загрузиться в безопасном режиме) |
| -help | Получение дополнительной информации об утилите |
Добавлено 22.10.09
Новая версия утилиты для удаления вируса Kido — KidoKiller 3.4.13 скачать
Добавлено 01.02.2011
Оказывается тема кидо еще актуальна, добавляю последнюю версию
KidoKiller 3.4.14 скачать
Ключи использовании версии KidoKiller 3.4.14
запускаем cmd в каталоге где у нас лежит антикидо или прописываем к нему путь при запуске kk
и выполняем
kk -j -t -a -r -f
подробнее о ключах можно узнать выполнив kk –help
Поделиться с друзьями или в соц.сетях (спасибо)
Источник