kido. Комп №2

На машине обнаружен вирус kido (как надоело повторять одно и то же =). Кидокиллер удалил его, после этого KAV ничего не находит, утилита от dr.web тоже... Осталась проблема с неотображением скрытых, а avz находит вирус в файле d:\autorun.inf....

1. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HiJackThis:[/URL]
[CODE]O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)[/CODE]

2. Удалите со всех дисков autorun.inf -сам по себе файл малоопасен, он просто вызывал у Вас автоматическое заражение Kido.

Желательно отключить автозапуск, таким образом предотвращая заражение от этого типа вирусов. Для этого скопируйте текст ниже в Блокнот:
[CODE]Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ShellHWDetection\]
"Start"=dword:00000004

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000FF
"NoDriveAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
[/CODE]

Сохраните текст как 1.reg, а затем дважды кликните на нём. Внесение информации в реестр - разрешите.

Учтите, что после выполнения этих действий отключится автозапуск, и Вам придётся впредь открывать носители и запускать автозапускаемые диски самостоятельно.

3. Я Вам уже говорил - установите все последние обновления, включая SP3! Если Вы этого не сделаете, а все заражённые компьютеры в единой сети, то последовательно удаляя Kido мы занимаемся ерундой, поскольку без обновлений заражение повторяется из сети.

Я, кстати, после того, как сделал логи, отключил автозапуск вот так:

Отключение всего, кроме CD:

procedure DisableAutorun;
begin
// Блокировка автозапуска (0x1 + 0x4 + 0x8 + 0x10 + 0x40 + 0x80 - отключили все типа, кроме CD)
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
// Блокировка автозапуска (0x4) - заблокировали автозапуск на C:
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveAutoRun', 4);
end;

begin
DisableAutorun;
end.


Отключение автозапуска с CD:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RebootWindows(true);

end.

Нужно ли создавать reg-файл и вносить изменения в реестр или достаточно того, что я сделал?
И по поводу скрытых файлов - они сами должны начать отображаться после того, как я пофиксю и удалю автораны или что-то нужно будет делать? Как это сделать при помощи avz?

Внесите изменения в реестр, они не повредят.

Вы через Проводник-Сервис-Свойства папки-Вид пытались включить скрытые файлы? Не помогает?

Окей... А с помощью этого reg-файла можно отключить автозапуск на всех машинах?
Скрытые именно так и пробовал открыть... Не помогло =(

В AVZ файл -- восст системы -- п.6,8 отметить и выполнить.
Далее провериться на тему скрытых файлов.

С помощью указанного выше reg-файла ожно отключить автозапуск на всех машинах.

Спасибо

Лечение закончил, все нормализовалось... Полечил и все оставшиеся машины, включая сервер... KidoKiller - хорошая штука! Спасибо за помощь!

[QUOTE=martynmartan;440352]Спасибо[/QUOTE]... у нас нажимают [IMG]http://virusinfo.info/images/buttonsru/post_thanks.gif[/IMG]
;)

См. пост № 4 и 6 :D