Помогите разобраться, подозрение на Kido

[strangerru]

Добрый день!
Прошу помощи! На работе на комп подцепил похоже Kido. Система только поставленная пару дней, думаю занес на флешке, когда драйвера выкачивал на другом компе. Переставил бы систему, но появилось несколько компов с аналогичной проблемой, поэтому все равно надо найти где засел. В общем к сути.

Для начала у нас стоит Symantec, он ловит периодически файл в system32 и убивает его, на каждом компе с разными именами, на моем cnsjem.dll или cnsjem.af. Кроме того в реестре прописывает службу в ключе HKLM\software\microsoft\windows NT\currentVersion\SvcHost двойной щелчок по параметру netsvcs в конце списка со случайным именем. После удаления и файла и службы и перезагрузки системы, спустя какое то время файл восстанавливается и ключ появляется снова.

Логи с компа:

[Гриша]

В логах не видно kido, заплатки все стоят?

[strangerru]

Сейчас стоят, у нас wsus и после установки системы заплатки ставиться не хотели, вирусняк наверно резал, то есть на комп выкачивались а установка не шла. но после одного из сканов симантековской утилитой без сетки, файл из system32 удалился, заплатки встали, но после перезагрузки спустя какое то время он опять появился.

Не видно его наверно из за того что его CureIt убил при сканировании, сейчас его действительно в system32 нет.

[Гриша]

Значит в сети еще зараженные машины есть, нужно отключится от сети, пролечить все, поставить сложные пароли на админа, включите брандмауэр, а затем только подключать к сети...

[strangerru]

Значит в сети еще зараженные машины есть, нужно отключится от сети, пролечить все, поставить сложные пароли на админа, включите брандмауэр, а затем только подключать к сети...

Спасибо за участие!
Да есть, около шести, сейчас порты позакрываем всем, Брендмауэр включим и будем по очереди лечить.

Спасибо еще раз.