А есть идеи - зачем все это? :)

(Reply) (Thread)

md5/sha1 :) ?

(Reply) (Thread)

Вилге. Нужна помощь в борьбе с вирусом. Ты можешь помочь?
Вирус определяется Каспером как Net-Worm.Win32.Kido, нодом как Win32/Conficker.Gen worm, Доктором Веб как Win32.HLLW.Shadow.based.
Автораны я вычистил, но остались хвосты.

(Reply) (Thread)

Дык в чем проблема? Лечить надо всю сеть: отрубаются все компы, все лечаться, потом включаются в сеть. Spider этот вирус видит. Нужны заплатки свежие на венду, короче вот http://news.drweb.com/show/?i=204&c=5&p=0

(Reply) (Parent) (Thread)

хехе!!! Оказалось все на так просто. выключил я его руками. Он сидел под видом сервиса беспроводной настройки. Вычислить - уже вычислил и отключил.
Теперь у нас появилась немного другая проблема, связанная с этим. теперь не удается подключиться к удаленному компу по сети то есть, \\server_name выдает
"не удается найти \\server_name, проверьте правильность ввода или воспользуйтесь командой поиска из главного меню"

(Reply) (Parent) (Thread)

Дык если его детектит DrWeb, он должен был его удалять.

(Reply) (Parent) (Thread)

В том-то и дело, что не удалял. он его нашел, но не смог удалить.
Анлокером - тоже. Я подозреваю, что придется вообще останавливать КД и с LiveCD его лечить. А это не меньше, чем на час работы.
Особенно, при том, что уже основное все вычищено. Осталась только такая проблема со службой Сервера.

(Reply) (Parent) (Thread)

Не смог удалить - это как? Что в логах?

(Reply) (Parent) (Thread)

Все! С заразу отключил. Теперь вопрос, как вылечить службу. Вирус косит под службу "Беспроводная настройка". Просто подменить на заведомо чистые dll все dll, используемые данной службой?

(Reply) (Parent) (Thread)

Сдохнет все наверняка. Shadow не подменяет системные файлы.

(Reply) (Parent) (Thread)

Так-так-так! А отсюда поподробнее...Неуж-то, это что-то еще? Определился в системе только Shadow. Нашел зараженную службу так:
Посмотрел создаваемые чем-то Atxx.job (xx - порядковый номер от 00 докуда влезет, создавался джоб раз в час) в c:\windows\Tasks. Там был прописан запуск rundll32 (рандомное название файла, создаваемого в system32 с рандомными параметрами (что из себя представляют, я не понял)).
Файл из system32 удален.
Отфильтровал в Sysinternal Procmon все процессы, в Detail которых встречается тот , в моем случае kvejh.dep.
Родительский процесс для этих процессов был один svchost, который запускался службой "Беспроводная настройка".
После того, как служба была остановлена, джобы создаваться перестали.
Случилась другая хрень: По \\server_name было не зайти на server_name. Такое ощущение, что слетела служба "Сервер". Однако после всяческих манипуляций, оно завелось. Конкретно манипуляции - не скажу, ибо не знаю, что из них помогло.
Однако теперь встает вопрос, как бы очистить службу "беспроводная настройка".

(Reply) (Parent) (Thread)

А что за файл там прописан, в этой службе?

(Reply) (Parent) (Thread)