Как удалить kido windows 10

Обновлено: 03.07.2024

Как удалить сетевой червь Net-Worm.Win32.Kido (другие названия: Conficker, Downadup) на домашнем компьютере?

3. Способы защиты от заражения
С целью предохранения от заражения выполните следующие действия:

4. Как вылечить систему
Чтобы вылечить зараженную систему, выполните следующие действия:

Скачайте файл kidokiller.exe и сохраните его в отдельную папку на зараженном компьютере.
Отключите Файловый Антивирус на время работы утилиты, если у вас на зараженном компьютере установлены следующие программы Лаборатории Касперского:

Kaspersky Internet Security 6.0. / 7.0 / 2009 / 2010 / 2011/ 2012 / 2013 / 2014

Антивирус Касперского 6.0. / 7.0 / 2009 / 2010 / 2011/ 2012 / 2013 / 2014

Запустите файл kk.exe.

При запуске файла kk.exe без указания каких-либо ключей утилита останавливает активное заражение (удаляет потоки, снимает перехваты), выполняет сканирование основных мест, подверженных заражению, сканирует память, чистит реестр, проверяет flash-накопители.
Дождитесь окончания сканирования.

По окончании сканирования на компьютере утилита будет ожидать нажатия любой клавиши на клавиатуре для закрытия.

Если на компьютере, на котором запускается утилита KidoKiller, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

Выполните сканирование всего компьютера с помощью:
Kaspersky Internet Security 2014 / 2013 / 2012
Kaspersky Anti-Virus 2014 / 2013 / 2012

5. Ключи для запуска файла kk.exe из командной строки
-p <путь для сканирования> – сканировать определенный каталог.

-f – сканировать жесткие диски, переносные жесткие диски.

-n – сканировать сетевые диски.

-r – сканировать flash-накопители.

-y – не ждать нажатия любой клавиши.

-s – silent-режим (без черного окна консоли).

-l <имя файла> – запись информации в файл отчета.

-z – восстановление служб: Background Intelligent Transfer Service (BITS); Windows Automatic Update Service (wuauserv); Error Reporting Service (ERSvc/WerSvc).

-х – восстановление возможности показа скрытых и системных файлов.

-a – отключение автозапуска со всех носителей.

-m – режим мониторинга потоков, заданий, сервисов. В этом режиме утилита постоянно находится в памяти и периодически проводит сканирование потоков, сервисов, заданий планировщика; при обнаружении заражения выполняется лечение и продолжение мониторинга.

-j – восстановление ветки реестра Safe Boot (при ее удалении компьютер не может загрузиться в безопасном режиме).

В связи с большим количеством обращений пользователей "Лаборатория Касперского" подготовила ответы эксперта компании на наиболее часто задаваемые вопросы о возможной активизации вредоносной программы Kido, известной также как Conficker и Downadup.

В связи с большим количеством обращений пользователей "Лаборатория Касперского" подготовила ответы эксперта компании на наиболее часто задаваемые вопросы о возможной активизации вредоносной программы Kido, известной также как Conficker и Downadup. Комментирует Виталий Камлюк, ведущий антивирусный эксперт "Лаборатории Касперского".

Что такое Kido?

Вредоносная программа Kido представляет на данный момент серьезную угрозу для всего интернет-сообщества. Миллионы компьютеров, зараженных Kido, потенциально могут стать самым мощным ресурсом кибепреступников в Интернете. Эта вредоносная программа впервые была детектирована в ноябре 2008 года. Ее активизация ожидается 1 апреля: ботнет Kido начнет искать центр управления среди 50 000 доменов в день (ранее он подключался лишь к 250 доменам) и загружать на компьютеры пользователей новые версии других вредоносных программ. Последующие за этим действия злоумышленников на настоящий момент не поддаются прогнозированию.

В чем опасность Kido?

Таким образом, созданная авторами Kido гигантская зомби-сеть (ботнет) потенциально может дать злоумышленникам возможность совершать крайне мощные DDoS-атаки на любые интернет-ресурсы, красть конфиденциальные данные с зараженных компьютеров и распространять нежелательный контент (в частности, проводить крупномасштабные спам-рассылки).

В Kido реализованы самые современные технологии вирусописателей – например, загрузка обновлений с постоянно меняющихся адресов сайтов; использование соединений типа компьютер-компьютер (peer-to-peer) в качестве дополнительного канала обновлений; использование стойкого шифрования для защиты от перехвата контроля; усовершенствованные возможности отключения служб безопасности, препятствия обновлениям программ защиты и т.д.

Самая последняя версия Kido получает обновления путем загрузки кода с 500 доменов, выбираемых из ежедневно изменяемого пула, состоящего из 50 тысяч доменов-кандидатов. Случайный характер отбора, а также большой объем пула делают крайне сложным контроль над пространством имен в интернете, используемым вредоносной программой. Поэтому нужно прилагать все возможные усилия для препятствия обновлению программы на уровне локальных сетей.

Как избежать заражения вредоносной программой Kido?

Как понять, что произошло заражение сети или компьютера?

Я – администратор локальной сети. Как мне быстрее и удобнее всего локализовать проблему?

вот сделал скриптик для автоматизации закрытия дырок в ХР, надеюсь обновления скачаете сами,
мне помогло:

Также надюсь, что обновления вы поместите в одну папку со скриптом. Кодировка -оем. Если после перезагрузки вылезет сообшение вроде:
файл csrsr.exe не найден - почистите автозагрузку с помощью утилит: HiJackthis, autoruns и проч.

volk1234

(в моем случае в сети 50 компьютеров+файлопомойка без домена, DHCP, DNS сервер без AD, прокся)

Определение заражения:
Лезем в реестр и проверяем параметр netsvcs в ветке

если в списке служб в самом конце есть бессмысленный набор букв(типа xpprdjj) и вы не можете ассоциировать это название с легальными службами (у каждой службы кроме длинного есть короткое имя например - Автоматическое обновление: Wuauserv) - ( Можно посмотреть в остнастке службы либо с помощью любой другой утилиты, например, autoruns)

Вышесказанное относится к модификациям вируса Win32/Conficker.A - .C. Более новая модификация Win32/Conficker.D записывает свою службу в параметре netsvcs не в конец списка, а в произвольное место списка, что усложняет ее поиск! Вот таблица типичных "валидных" служб для примера (взял отсюда ):

- Служба, выделенная красным — это пример записи, которую создает вирус Win32/Conficker в папаметре netsvcs в разделе реестра SVCHOST.
- Реальный список служб может включать дополнительные записи в зависимости от программ, установленных в системе.
- В таблице указаны службы, запускаемые в конфигурации Windows по умолчанию.
Запись, добавляемая в список вирусом Win32/Conficker, может служить примером техники запутывания. В выделенной записи вируса первая буква кажется буквой «L» в нижнем регистре, но на самом деле это буква «I» в верхнем регистре. Из-за начертания шрифта, используемого в операционной системе, буква «I» в верхнем регистре похожа на букву «L» в нижнем регистре.

Вобщем если есть неопознанная служба поздравляю - скорее всего вы счастливый обладатель самого новейшего вируса

Если такая есть это точно Kido. Однако не во всех модификациях вируса такая ветка создается.

После этого в сети и на каждом компьютере необходим целый комплекс противовирусных мероприятий:

1. Планируется глобальная политика безопастности - способ входа в систему длинна пароля, количество попыток при вводе неправильного пароля, меняются все пароли на сложные не меньше 6 знаков, раздаем права доступа на NTFS, Всех выгоняем из УЗ Администратора. Вобщем вспоминаем за что платят админам деньги

2. Закрываем на всех компьютерах ВСЕ общие папки, в т.ч. на серверах. Это заодно будет стимулом быстрее перевести всех на файловый сервер и быстрее пролечить сеть
Легче всего эту задачу выполнить - остановив на каждом компьютере службу Server.

3. В настройках прокси\брэндмауэра запрещаем P2P сети! Это важно- именно по этому протоколу зараза обменивается информацией и обновляется.

4. Заодно можно на время отключить сетевую службу Доступ к файлам и принтерам, дабы закрыть 139, 445 порт( я так не делал, а просто запретил порты на проксе\DNS)

5. Отключить сервер и полноценно проверить его без доступа к сети. Установить на него заплатки (все необходимые). Используйте Microsoft Baseline Security Analizer .(нужен интернет, так что делайте до отключения сети).

1. Удаляем сначала вирусную службу определенную ранее из списка служб в параметре netsvcs ( в конце должна быть пустая строка ) и убив саму службу в

+ удалив указанную в соответстующей вирусу ветке dll-ку.

Здесь интересный момент: Зайдя, например, в случае как на картинке, в раздел реестра, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rhlnccbs вы не увидите весь раздел и имени запускаемой dll. Вирус использует наше же оружие - он закрывает через разрешения доступ к своей ветке всем кроме System. Чтобы справится с вирусом меняем разрешения на ветку: Заходим в Разрешения для данной ветки - нажимаем Дополнительно, затем выбираем галочку 'Наследовать от родительского объекта. ', и вуаля- видим ветку вирусного драйвера целиком с путем и имененм dll- вот и попался голубчик!

Удаляем ветку, если она есть

2. Запрещаем доступ к ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost для всех на изменение значений.
ПКМ на разделе SvcHost- Разрешения- добавить пользователя Все (на англ ОС- Everyone)-
далее в раздел дополнительно и выбрав пользователя Все задаем ему специальное разрешение( в данном случае запрещение ) - запрещаем право ЗАДАНИЕ ЗНАЧЕНИЯ

Важно: При закрытии этой ветки реестра на запись становится невозможным устанавливать новые службы использующие Svchost. На время лечения ветка должна быть закрыта на всех компьютерах сети. Иначе процедура лечения бессмысленна !
Подробнее о нюансах связанных с блокированием ветки реестра Svchost см. в замечаниях.

3. Удаляем как советует майкрософт запланированные задания:

4. Качаем и устанавливаем обновление WindowsXP-KB958644.

7. Проверяем компьютер антивирусным сканером. В моем случае заражение сопровождалось другим вирусом -csrcs прописывающемся в Winlogon.

8. Обязательно соберите у всех пользователей флэшки (даже под угрозой увольнения), поудалять с флешек и корневых разделов дисков autorun.inf и папку\файл RECYCLED и RECYCLER и защитите их с помощью FlashDisinfector, либо сами создайте скрипт:

Ставим нормальный антивирус и обновляем его регулярно(не реже каждого дня). Поставьте известный хороший антивирус (Мне известны три: Антивирус Касперского, Dr.Web, Symantec\Norton). И проведите этим самым антивирусным сканером полную проверку всех единиц компьютерной техники в сети.

Для уверенности(или если вам непонятны действия описанные выше):
Скачиваем и запускаем какуюнибудь утилиту для удаления kido (bitdefender , kidokiller). Здесь можно почитать как использовать kidokiller

Наш колега Drongo, создал графическую оболочку для консольной программы KidoKiller 3.4.7 Это позволяет наглядно и привычным способом выбрать необходимые параметры запуска KidoKiller.

Analyzer

я делаю так:
создаем бат файл (.bat) называем его как хотим вставляем туда это:

сохраняем, копируем созданный бат файл на флешку, запускаем и всё, в корни флешки не сможет создаться файл autorun.inf

вот скрипт для того чтобы отменить выше сделанное:

volk1234

Добавил в мануал описание как удалить dll-файл вируса.
Добавил имя еще одной папки которую надо удалить с флэшек пользователей.
Добавил в пример скрипта запуск установки заплатки WindowsXP-KB967715-x86-RUS.exe

volk1234

Обновил инструкцию - добавил ссылок на анти кидо утилиты, закрыл на картинке имя пользователя - он сильно морально страдал бедняжка.

volk1234

Некоторые замечания по профилактике/лечению win32.Kido/Confickier

Здесь запишу некоторые общие моменты, которые не стоит раскрывать в руководстве.

Хотя появление этого зловреда было ожидаемым, всех застала врасплох его живучесть, возможность проникать "практически везде", и скорость распространения, а также способ обмена информацией и обновления.
==================
Замечание 1

Особенности заражения этим вирусом:
Проникновение:
1) проникновение на компьютер через уязвимость в OC
2) путем подбора пароля для УЗ Администратора
Заражение:
1) Устанавливает службу с случайным именем
2) Защищает ветку этой службы через удаления разрешений для всех
3) Записывает службу на запуск в составе системных служб в процессе svchost (параметр реестра netsvcs)
4) Устанавливает запланированное задание на запуск себя же (на случай удаления)
5) Записывается на съемные диски для распространения и последующего заражение того же компьютера, через автозапуск
6) Использует протокол P2P для обмена информацией с автором и обновления.

Лечение вручную описано в руководстве, однако многие спотыкаются на одном и том же моменте:
Учетные записи пользователя - или пароль простой или просто забывают, что кроме самого пользователя на компьютере есть еще и встроенная УЗ Администратор, на которую никто не потрудился поставить пароль (что лучше) или же пароль очень простой. В идеале включенно должно быть 2 УЗ - Пользователь и Администратор.
==================
Замечание 2

Особенности лечения этого вируса:

Если Kido\Confickier не лечится, не спешите писать о новой неизлечимой версии, 99% вы пропустили один из пунктов вышепреведенного алгоритма.
==================
Замечание 3

Основная проблема - это блокирование ветки

При обычном использовании компьютера дома или в офисе это не вызывает абсолютно никаких проблем. Но при попытке установить новую системную службу вы получите отказ в доступе!

Эта ошибка, особенно в офисных сетях, где централизованно устанавливаются программы и обновления может доставить много проблем, если забыть о блокировании ветки на изменение. Поэтому если администраторов больше одного - предупреждайте вашего коллег о проделанных действиях!

При закрытии этой ветки реестра на запись становится невозможным добавить новую роль сервера, установить WSUS. Невозможна установка SP3 для Windows XP.
Вариант решения - возвращаем разрешения на запись в эту ветку Всем, устанавливаем необходимые службы и закрываем ветку снова.
Кстати если промахнетесь и запретите данную ветку на ЧТЕНИЕ ЗНАЧЕНИЯ Вас ждут невообразимые и непредсказуемые глюки ОС (сам наблюдал), будте внимательны.

В данной статье Вы найдёте подробная пошаговая инструкция: как удалить вручную компьютерный червь Net-Worm.Win32.Kido (также известный как W32.Downadup.B и Win32/Conficker.B).

Войдите в систему с локальной учетной записью
Важно! По возможности не входите в систему с учетной записью домена. В частности, не используйте для этого учетную запись администратора домена. Вредоносные программы выдают себя за вошедшего в систему пользователя и получают доступ к сетевым ресурсам, используя учетные данные такого пользователя. Благодаря этому Вредоносные программы могут распространяться.

2.1. В зависимости от системы выполните одно из описанных ниже действий:
— В Windows Vista и Windows Server 2008 нажмите кнопку Пуск, введите services.msc в окне Начать поиск, а затем выберите services.msc в списке Программы.

— Чтобы остановить службу планировщика заданий в Windows Vista или в Windows Server 2008, выполните перечисленные ниже действия:

Важно! В данный раздел, метод или задачу включены действия по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому такие действия необходимо выполнять очень внимательно. Для дополнительной защиты нужно создать резервную копию реестра. Это позволит восстановить реестр при возникновении неполадок.

Примечание. Этот узел может быть заблокирован из-за заражения вредоносными программами. В этом случае необходимо загрузить обновление на компьютер, который не заражен, и переместить файл обновления на зараженный компьютер. Рекомендуется записать обновление на компакт-диск, потому что повторная запись на такой диск невозможна. Следовательно, он не может быть заражен.

Если устройство записи компакт-дисков недоступно, единственным способом скопировать обновление на зараженный компьютер может оказаться переносное USB-устройство памяти. При использовании съемного носителя следует помнить, что вредоносная программа может заразить его с помощью файла Autorun.inf. Если устройство памяти можно перевести в режим только для чтения, обязательно сделайте это после записи обновления на него. Обычно для этого используется переключатель на корпусе устройства.

Примечание. В приведенном ниже списке все записи являются допустимыми. Их не следует удалять. Запись, которую необходимо удалить, имеет случайным образом созданное имя и находится в конце списка:

AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
EventSystem
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Messenger
Netman
Nla
Ntmssvc
NWCWorkstation
Nwsapagent
Rasauto
Rasman
Remoteaccess
Sacsvr
Schedule
Seclogon
SENS
Sharedaccess
Themes
TrkWks
TrkSvr
W32Time
WZCSVC
Wmi
WmdmPmSp
winmgmt
wuauserv
BITS
ShellHWDetection
uploadmgr
WmdmPmSN
xmlprov
AeLookupSvc
helpsvc
axyczbfsetg

• 12.1. В редакторе реестра найдите и выберите подраздел реестра, содержащий вредоносную службу с именем Имя_вредоносной_службы:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
  Например, найдите и выберите следующий подраздел реестра:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gzqmiijz
  
• 12.2. В области переходов щелкните подраздел правой кнопкой мыши и выберите пункт Разрешения.
  
• 12.3. В диалоговом окне Элемент разрешений для SvcHost нажмите кнопку Дополнительно.
  
• 12.4. В диалоговом окне Дополнительные параметры безопасности установите флажки:
  
  1. Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне.
     
  2. Заменить разрешения для всех дочерних объектов заданными здесь разрешениями, применимыми к дочерним объектам

• 13.1. Дважды щелкните параметр ServiceDll.
  
• 13.2. Обратите внимание на путь к указанной библиотеке DLL. Эти сведения потребуются далее в этой процедуре. Например, путь к указанной библиотеке DLL может быть следующим:

Измените ссылку, чтобы она выглядела следующим образом:

• 14.1. В редакторе реестра найдите и выберите следующие подразделы:
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  
• 14.2. В обоих подразделах найдите параметр, имя которого начинается с rundll32.exe, обращающийся к вредоносной библиотеке DLL, которая загружается как ServiceDll, обнаруженной в действии 13.2. Удалите параметр.
  
• 14.3. Закройте редактор реестра и перезагрузите компьютер.

reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f

Вредоносные программы могут изменять другие настройки, не описанные в данной статье базы знаний. Другие сведения о черве Conficker см. на следующей веб-странице: Net-Worm Kido.

Читайте также:

  
• Linux найти и переместить файлы
  
• Пропал проводник windows 7 что делать
  
• За сколько можно продать компьютер виндовс 7
  
• Невозможно подключиться к серверу mysql phpmyadmin ubuntu
  
• Pc beep windows 10 как отключить