Net-Worm.Win32.Kido - бой сетевого маштаба
Пост составлен по комментариям посетителей блога Михаила и Zalman`а. Хотите внести свои поправки? Комментируйте!
Несколько вариантов избавления от заразы читайте ниже:
Ручное удаление:
Удалось избавиться от него только методическим обходом ВСЕХ компов, начиная с сервера.
1. Накатывал три патча виндов:
WindowsXP-KB885250-x86-RUS.exe /passive /norestart
WindowsXP-KB921883-x86-RUS.exe /passive /norestart
WindowsXP-KB923414-x86-RUS.exe /passive /norestart
2. KidoKiller параллельно вычещал.
3. В реестре следующее правил:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
“NoDriveTypeAutorun”=dword:000000ff
“NoDriveAutoRun”=dword:3fffffff
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
“*.*”=”"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@=”@SYS:DoesNotExist”
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Scheduler]
“Start”=dword:00000004
4. Плюс удалил из реестра ВСЕ ключи в этой ветке: MountPoints2
Их там несколько штук, нужные потом после перезагрузки создаются.
При этом компы от сети НЕ выключал и естественно сеть и серваки при этом работали. На компах стоит каспер воркстейшен 6.0. После апдейта виндов он самостоятельно начинает этот Кидо убивать.
Все.
Время от времени он появляется (приносят на флешках), но его каспер тут же прибивает.
Локальное удаление c помощью KidoKiller:
1. Запустите файл kidoKiller (KK.exe).
2. По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KK.exe c ключом -y
3. Дождитесь окончания сканирования.
Если на компьютере, на котором запускается утилита KK.exe, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.
Централизованное удаление c помощью Kaspersky Administration Kit и KidoKiller:
1. В Консоли Администрирования создайте инсталляционный пакет для приложения KK.exe . На этапе выбора дистрибутива приложения выберите вариант Создать инсталляционный пакет для приложения, указанного пользователем. В поле Параметры запуска исполняемого файла укажите ключ -y для автоматического закрытия окна консоли после того, как утилита отработает.
2. На основе данного инсталляционного пакета создайте групповую или глобальную задачу удаленной установки для зараженных или подозрительных компьютеров сети. Вы можете запустить утилиту KK.exe на всех компьютерах вашей сети.
3. Запустите задачу на выполнение.
Важно: для Windows Server 2008
При запуске Killera перестаёт запускаться Журнал событий Windows и говорит "Ошибка 2: Не удается найти указанный файл", отсюда не запускаются службы DHCP, DNS и служба политики сети, так как они зависят от неё.
Исправляем этот глюк:
(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog) и удалите ключ Parameters (он будет пустой) - после этого "Журнал событий" и все связанные с ним службы будут нормально запускаться
P.S. Действия для удаления разных версий Kido могут различаться.
Также рекомендую следующие записи:
Понравилась статья? Подпишись на обновления по RSS, E-mail или добавляйте меня в Twitter.
Один комментарий