Удаляем вирусный код червя Kido

Сетевой червь, распространяется через локальную сеть или при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов 165840 байт. Упакован при помощи UPX.

При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.

Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер» (подробнее об уязвимости: www.microsoft.com). Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.

Симптомы "запущенного" состояния: отключена служба восстановления системы; заблокирован доступ к адресам сайтов вирусной безопасности; невозможно включение отображения скрытых папок в Documents and Settings; в локальной сети настает непомерный объем сетевого трафика.

Лечение:

Скачиваем с нашего сайта набор состоящий из трех заплаток от Microsoft для Windows XP2/XP3 RUS и  KidoKiller v.3.1 единым пакетом для пользователей.
Распаковываем архив.

1. Отключить компьютер или все компьютеры от локальной сети, Можно вынуть сетевой кабель из компьютера.

2. Загружаем компьютер в безопасном режиме.
Инструкция включения безопасного режима:
При включении компьютера, как только исчезнет первоначальный экран (этот экран, как правило, отображает тактовую частоту процессора и объем оперативной памяти, а также позволяет загрузить Setup), начинайте с периодичностью где-то в полсекунды или чуть быстрее нажимать клавишу F8. Должно появиться соответствующее меню, где Вы выбираете Безопасный режим (или Safe Mode, если версия у Вас английская) нажав на Enter, когда данная опция выбрана.

3. После загрузки компьютера в безопасном режиме запускаем утилиту kidoKiler.exe
Ждём долго. После окончания сканирования появляется надпись "Нажмите на любую клавишу". Нажимаем, окно DOS закрывается.

4. Далее установить 3 заплатки на Windows XP2 и одну Windows XP3:
(можно в любой последовательности и не перезагружая компьютер).

MS08-067;  MS08-068; MS09-001;

5. Подсоеденяем провод к сетевой карте. Делаем перезагрузку компьютера в нормальном режиме.

Атаки с зараженных компьютеров будут продолжаться и дальше поэтому установите если у вас еще нет антивируса ( в настоящий момент все антивирусы на него реагируют) и специальный софт для блокирования любой заразы поступающей с "флэшек" или съемных дисков.