Kido вернулся? Как?

Всем доброго времени суток! Где-то в мае этого года моя сетка из 30 компьютеров подверглась атаке вируса Kido, примерно за пол дня были заражены абсолютно все компьютеры и втечении нескольких дней заражение было локализовано при помощи критических обновлений Майкрософта и KidoKiller v3.4.7. С тех пор на всех компьютерах с операционкой Xp SP3 стоят обновления Майкрософта по апрель месяц, активная антивирусная защита от AVG 8.5. Но в былую пятницу, вечерком на одном из компьютеров AVG обнаружил подозрительную dll-ку в system32, это был набор символов.dll, к понедельнику были заражены все, KidoKiller ничего не показывает, что делать незнаю:(
Помогите ПЖЛ:(
Логи с моей машини:

Лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL] сделайте

готово:

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
[CODE]gmer.exe -del service bxppqcyft
gmer.exe -del service lvwadh
gmer.exe -del file "C:\WINDOWS\system32\zdmrtyzb.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bxppqcyft"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\lvwadh"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\bxppqcyft"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\lvwadh"
gmer.exe -reboot[/CODE]И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer

что-то он агресивненько поплёвывался, типа немогу найти указаный путь, указаный модули и т.д.

log:

В логе чисто

Ок, спасибо, а незнаете случайно, это Кидо? Если да то как он снова записался если стоят обновления? Не судите строго мне ещё 30 компов лечить:O

Он еще и на флешках распространяется..
+ пытается подбирать пароли к учетным записям

это всё понятно, только вирус распространился по сети! Как он это сделал если Майкрософт выпустил обновление которое не позволяет ему этого делать, это обновление стоит на всех компах, как?:?

[QUOTE='klegionk;447034']Как он это сделал если Майкрософт выпустил обновление[/QUOTE]
[QUOTE='Kuzz;447013']+ пытается подбирать пароли к учетным записям [/QUOTE]
...

Хотя я думаю иначе - соглашусь т.к. пароль с давних пор не менялся и имеет 6 символов, его я щас заменю.

Ещо есть какие-то мысли о том как кидо мог распространиться по сети в которой все компьютеры имеют Майкрософтофскую антиKIDOвскую защиту (в лице критических обновлений) и антивирусную защиту?

[QUOTE=klegionk;447044]
Ещо есть какие-то мысли о том как кидо мог распространиться по сети ....[/QUOTE]
Задайте этот вопрос Вашему системному администратору.

А сколько патчей поставили? Один или три?

:D:D:D
Я и есть системный администратор!

Патчи все 3 на SP2 и серверах, на SP3 сборка обновлений по апрель месяц в которых включены эти патчи.

Я вот почиму-то всегда думал что этот вирус сначала попадает на компьютер а потом генерирует пароли, а не с одной машини генерирует пароли на другую, тоесть даже если пероль был взломан патчи должны БЫЛИ недопускать запись вируса по какому-то там протаколу. Есть какие-то мысли по этому поводу?

[QUOTE='klegionk;447370']тоесть даже если пероль был взломан патчи должны БЫЛИ недопускать запись вируса по какому-то там протаколу[/QUOTE]
Нет. Патчи не допускают заражения машины [B]в обход системы паролей[/B]. Если же на какую то машину попадает (напр. с флешки), то далее перебирая пароли получает [U]легитимный[/U] (т.е. подтвержденный логином/паролем) доступ и ставится как сервис

Спасибо, я всё понел:)

На основе gmer попробую выличить все компьютеры, примерный смысл работы программы я вроде понел.

Пароли я поменял, посмотрим будут ли заражаться вылеченые машины:D