Неистребимый Win32.HLLW.Autoruner.5555

[golmarco]

Читал уже закрытую тему про этот же вирус, но указанные там инструкции не помогли.

Заражен сервер ISA 2004 на Win 2003, так как машинка древняя (простая ПК-шка), антивируса (монитор) на ней не было, только сканеры CureIT и AVZ4. Началось с периодического обрубания сетевого доступа к этой машине, CureIT обнаружил вирус и удалил в Windows 2003\system32\kxfjc.d (иногда вместо него фигурирует nwmsug.uwx или nwmsug.dll или dlzusus.q). Но после загрузки спустя какое то время он (вирус) снова появляется. Заплатка от MS WindowsServer2003-KB958644-x86-ENU.exe не помогла Скачал Kaspersky Virus Removal Tool - тоже находит Net-Worm.Win32.Kido.ih в тех же файлах (которые "удалил" CureIT), но тоже полностью не удаляются. Логи прилагаются.
Прошу помочь и заранее благодарю за внимание.

Подобная же тема на соседних серверах....

[Rene-gad]

Я почему-то не уверен, что АВЗ с ISA Server может работать.... Спросим..

[golmarco]

ошибок и предупреждений в процессе запуска AVZ и его работы не было.

[Зайцев Олег]

ошибок и предупреждений в процессе запуска AVZ и его работы не было.

AVZ будет нормально работать ... Это червяк Kido, как следствие:
1. Закрыть все расшаренные папки
2. Отключить админшары
3. отключить автозапуск
4. проставить все патчи и апдейты
5. Лишних юзеров поотключать, а остальным начиная с админов задать несмысловые пароли по 6-7 символов минимум
6. Пролечиться KidoKiller для надежности
Если не проделать указанные операции в указанном порядке, то процесс будет бесконечным (так как сервер будет уязвим перед атаками Kido). Плюс стоит выполнить http://virusinfo.info/showthread.php?t=3519 - чтобы разобраться со всеми неопознанными в качестве чистых файлами разом

[golmarco]

понял спасибо

не знаю имеет ли смысл сюда писать сообщение, если уже есть отдельный пост
http://virusinfo.info/showthread.php...508#post380508
в любом случае установка обновлений (ставил 3 заплатки MS08-67,68 и MS09-001) не помогла
согласно вышеизложенной инструкции появилось несколько вопросов:
2. Отключить админшары - после каждой перезагрузки (когда ставишь обновления)
они (админшары) восстанавливаются - их следует снова каждый раз удалять?

3. отключить автозапуск - для этого я запускал АВЗ - он эффективен для этой задачи?

4. Лишних юзеров поотключать, а остальным начиная с админов задать несмысловые пароли по 6-7 символов минимум - на всех компах это сделал кроме главного сервера (домен контроллер актив директори), на нем тоже надо всем нужным записям менять пароли?

6. Пролечиться KidoKiller для надежности - его я запускаю на всех машинах каждые 10-20 минут только не даю развиться вирю.....

[pig]

2. Отключить админшары - после каждой перезагрузки (когда ставишь обновления)
они (админшары) восстанавливаются - их следует снова каждый раз удалять?

А как отключаете? На это политики есть.

3. отключить автозапуск - для этого я запускал АВЗ - он эффективен для этой задачи?

Процентов на пять.

4. Лишних юзеров поотключать, а остальным начиная с админов задать несмысловые пароли по 6-7 символов минимум - на всех компах это сделал кроме главного сервера (домен контроллер актив директори), на нем тоже надо всем нужным записям менять пароли?

Вот администраторам домена пароли усложнить в первую очередь.

[golmarco]

благодарю команду форума Virusinfo.info за помощью в нейтрализации вируса Kido!
Уже недельки две как все спокойно (тьфу-тьфу-тьфу)