Net worm win32 kido ir описание. Эксперты ЛК объяснили как бороться с вирусом Kido

В связи с большим количеством обращений пользователей "Лаборатория Касперского" подготовила ответы эксперта компании на наиболее часто задаваемые вопросы о возможной активизации вредоносной программы Kido, известной также как Conficker и Downadup.

В связи с большим количеством обращений пользователей "Лаборатория Касперского" подготовила ответы эксперта компании на наиболее часто задаваемые вопросы о возможной активизации вредоносной программы Kido, известной также как Conficker и Downadup. Комментирует Виталий Камлюк, ведущий антивирусный эксперт "Лаборатории Касперского".

Что такое Kido?

Вредоносная программа Kido представляет на данный момент серьезную угрозу для всего интернет-сообщества. Миллионы компьютеров, зараженных Kido, потенциально могут стать самым мощным ресурсом кибепреступников в Интернете. Эта вредоносная программа впервые была детектирована в ноябре 2008 года. Ее активизация ожидается 1 апреля: ботнет Kido начнет искать центр управления среди 50 000 доменов в день (ранее он подключался лишь к 250 доменам) и загружать на компьютеры пользователей новые версии других вредоносных программ. Последующие за этим действия злоумышленников на настоящий момент не поддаются прогнозированию.

В чем опасность Kido?

Таким образом, созданная авторами Kido гигантская зомби-сеть (ботнет) потенциально может дать злоумышленникам возможность совершать крайне мощные DDoS-атаки на любые интернет-ресурсы, красть конфиденциальные данные с зараженных компьютеров и распространять нежелательный контент (в частности, проводить крупномасштабные спам-рассылки).

До последнего времени Kido распространялся через компьютерные сети и сменные носители информации. В частности, он проникал на компьютеры, используя критическую уязвимость MS08-067 в семействе операционных систем Windows, патч к которым был выпущен компанией Microsoft еще осенью прошлого года. По мнению экспертов, на значительной части машин патч не был установлен на момент пика распространения Kido в январе. Этот фактор, а также игнорирование эффективной антивирусной защиты и привели к эпидемии: в настоящее время различными версиями Kido заражены, по меньшей мере, от 5 до 6 миллионов компьютеров, имеющих доступ в сеть Интернет. В последних версиях Kido отсутствует явная возможность самораспространения. Программа лишь пытается укрепиться на уже зараженных компьютерах.

В Kido реализованы самые современные технологии вирусописателей - например, загрузка обновлений с постоянно меняющихся адресов сайтов; использование соединений типа компьютер-компьютер (peer-to-peer) в качестве дополнительного канала обновлений; использование стойкого шифрования для защиты от перехвата контроля; усовершенствованные возможности отключения служб безопасности, препятствия обновлениям программ защиты и т.д.

Самая последняя версия Kido получает обновления путем загрузки кода с 500 доменов, выбираемых из ежедневно изменяемого пула, состоящего из 50 тысяч доменов-кандидатов. Случайный характер отбора, а также большой объем пула делают крайне сложным контроль над пространством имен в интернете, используемым вредоносной программой. Поэтому нужно прилагать все возможные усилия для препятствия обновлению программы на уровне локальных сетей.

Как избежать заражения вредоносной программой Kido?

Продукты "Лаборатории Касперского" успешно блокируют проникновение всех версий Kido на компьютеры пользователей. Проверьте, что автоматические обновления не отключены и, в том случае, если у вас есть подозрение, что Kido уже мог проникнуть на компьютер, выполните сканирование всего компьютера с помощью Антивируса Касперского. Своевременная установка патчей для ликвидации уязвимости MS08-067, безусловно, является обязательной мерой для предотвращения заражения, однако установленное решение Kaspersky Internet Security не позволит использовать уязвимость даже на непропатченной операционной системе.

Как понять, что произошло заражение сети или компьютера?

При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.

Я - администратор локальной сети. Как мне быстрее и удобнее всего локализовать проблему?

Удаление сетевого вредоносной программы производится с помощью специальной утилиты KKiller.exe. С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер: Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001. Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.

Отключить автозапуск исполняемых файлов со съемных носителей. Остановить службу Task Scheduler (Планировщик Задач) в Windows. Удаление вредоносной программы Kido утилитой KKiller.exe необходимо производить локально на зараженном компьютере.

Как бороться с Kido обычному пользователю домашнего компьютера?

Скачайте архив KKiller_v3.4.1.zip и распакуйте его в отдельную папку на зараженной машине. Запустите файл KKiller.exe. По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KKiller.exe с ключом -y. Дождитесь окончания сканирования.

Если на компьютере, на котором запускается утилита KKiller.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

Net-Worm.Kido (Win32/Conficker) - действие и противодействие.

Немного истории.

Известный под разными именами (Kido, Conficker, Downadup, Win32.HLLW.Autorunner.5555, Win32.HLLW.Shadow.based) и во множестве вариациях, Kido был обнаружен впервые ещё осенью прошлого года, почти сразу после того, как обнародовали информацию об уязвимости MS08-67 в операционных системах семейства MS Windows. Помимо атаки на «дырявый» сервис, червь умеет инфицировать сетевые диски (подбирая при необходимости пароль) и съёмные накопители («флэшки»): на них Kido оставляет файл autorun.inf, автоматически запускаемый при открытии диска или даже простом подключении «флэшки» - конечно, если пользователь не отключил функцию автозапуска. Попав на компьютер, червь отключает некоторые системные службы, чтобы предотвратить его обнаружение и удаление, с той же целью блокирует доступ к внушительному ряду антивирусных сайтов и спокойно занимается лавинным размножением. Благодаря изощренной механике Kido заразил к настоящему моменту более девяти миллионов машин за один только январь 2009 года и продолжает злобствовать. Данная вредоносная программа по мнению F-Secure создана для формирования бот-сетей с целью извлечения из нее прибыли или пакетной продажи.

Симптомы

• невозможно зайти на сайт большинства антивирусных компаний, например, avira, drweb, eset, nod32, f-secure, panda, kaspersky и т.д.;
• невозможно активировать антивирусные программы при соединении с сервером;
• невозможно обновить антивирусные базы антивирусов при соединении с сервером;
• невозможно зайти на сайт microsoft.com;
• невозможно включение отображения скрытых папок в Documents and Settings;
• отключена служба восстановления системы;
• в локальной сети настает непомерный объем сетевого трафика.

Действие

Сетевой червь, распространяется через локальную сеть или при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Упакован при помощи UPX.

При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.

Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер». Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.

При запуске червь создаёт свою копию в директории %SYSTEM% с произвольным именем. После чего проверяет, какую операционную систему использует заражённый компьютер.

Cоздаёт службу со следующими характеристиками:

Имя службы: netsvcs Путь к файлу: %SYSTEM%\svchost.exe -k netsvcs

Создаёт следующий ключ реестра, обеспечивая себе автозапуск при следующей загрузке:

HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll = "%SYSTEM%\<название_файла>.dll"

Червь регистрируется в системе как системная служба, используя комбинации из следующих слов:

Boot Center Config Driver Helper Image Installer Manager Microsoft Monitor Network Security Server Shell Support System Task Time Universal Update

Отключает следующие службы:

• Windows Security Center Service (wscsvc)
• Windows Automatic Update Service (wuauserv)
• Background Intelligent Transfer Service (BITS)
• Windows Defender Service (WinDefend)
• Windows Error Reporting Service (ERSvc)
• Windows Error Reporting Service (WerSvc)
• Windows Firewall

Обращается к следующим сайтам для получения внешнего IP-адреса зараженного компьютера (Рекомендуется настроить на сетевом брандмауэре (он же фаерволл) правило мониторинга обращения к ним):

http://www.getmyip.org http://getmyip.co.uk http://www.whatsmyipaddress.com http://www.whatismyip.org http://checkip.dyndns.org

Еще известные действия:

• Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID<....>}\RANDOM_NAME.vmx
• В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
• Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.

Противодействие (оптимальное решение)

Шаг 1. Отключить компьютер (или сеть компьютеров) от локальной сети.

Шаг 2. Скачать скрипт отключения автозагрузки со сменных носителей - Скачать | Зеркало 1 | Зеркало 2 | Зеркало 3 | Зеркало 4 | Зеркало 5 | Зеркало 6 . Запустить файл, получить подтверждение отключения автозагрузки.

Шаг 3. Заблокировать доступ к TCP-портам: 445 и 139 с помощью сетевого экрана (он же фаерволл, он же брандмауер). Блокировать TCP-порты 445 и 139 необходимо только на время лечения. Как только будет пролечена вся сеть, можно разблокировать эти порты.

Шаг 4. Скачать утилиту от "Лаборатории Касперского" KidoKiller (актуальная версия: 3.4.14 ) - Скачать | Зеркало 1 | Зеркало 2 | Зеркало 3 | Зеркало 4 | Зеркало 5 | Зеркало 6 . Распаковать архив и запустить утилиту. Если утилита не запускается - переименовать файл в 111.ехе и повторить попытку.

Если у вас продукт Лаборатории Касперского - отключите в Антивирусе Касперского компонент Файловый Антивирус на время работы утилиты. Если у вас установлен Agnitum Outpost Firewall или Agnitum Outpost Security Suite, то по окончании работы утилиты обязательно перезагрузите компьютер.

Шаг 5. Просканировать систему антивирусным портативным сканнером и\или дополнительными утилитами - анти-троянами, анти-шпионами. Подробнее вы можете прочитать .

Шаг 6. Скачать и установить следующие обновления для ОС Windows:

MS08-067 (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx); MS08-068 (http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx); MS09-001 (http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx)

Шаг 7. Установить актуальную версию антивирусного продукта, обновить антивирусные базы, настроить продукт на максимальную защиту и провести полное сканирование компьютера и сменных носителей.

Если эти шаги Вам не помогли - обратитесь в техническую поддержку разработчика Вашего антивирусного продукта или установите актуальную операционную систему (Windows XP SP3, Windows Vista SP2, Windows 7), не забыв скачать и установить все обновления для нее.

Заключение

Важно понимать то, что это базовая информация о вирусе. За это время вышло несколько модификаций этого вируса.
И тем не менее, чтобы не заражать свой ПК этим красавчиком, рекомендуется следующее:

1) Всегда пользоваться КАЧЕСТВЕННЫМ антивирусом последней версии с актуальными антивирусными базами и
максимальными параметрами защиты.
2) Использовать актуальную операционную систему Windows с последними обновлениями.
3) Отключать в системе автозапуск со сменных носителей (смотреть Шаг 2).
4) Проверять регулярно свои сменные носители на наличие вирусов и ВСЕГДА проверять сменные носители
своих знакомых\родственников, которые приносят свои флешки для вашего компьютера.

Net-Worm.Win32.Kido

<Лаборатория Касперского> предупреждает о существенном росте числа заражений несколькими версиями полиморфного сетевого червя Kido.

Net-Worm.Win32.Kido использует критическую уязвимость в Microsoft Windows (MS08-067) для распространения через локальные сети и съёмные носители информации.

Червь отключает функцию System Restore, блокирует доступ к сайтам, посвящённым информационной безопасности, и скачивает на заражённые компьютеры дополнительные вредоносные программы .

Также с сайта support.kaspersky.com вы можете скачать утилиту KidoKiller , позволяющую удалять с заражённого компьютера червь Net-Worm.Win32.Kido.

Служба технической поддержки уведомляет клиентов Лаборатории Касперского о том, что в настоящий момент возросло количество обращений по факту заражения рабочих станций и серверов под управлением операционных систем Windows штаммами сетевого червя Net-Worm.Win32.Kido .

Симптомы заражения в сети
При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.

Краткое описание семейства Net-Worm.Win32.Kido.
Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED \{SID<....>}\RANDOM_NAME.vmx
В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
Обращается к следующим сайтам (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):
http://www.getmyip.org
http://getmyip.co.uk
http://www.whatsmyipaddress.com
http://www.whatismyip.org
http://checkip.dyndns.org
http://schemas.xmlsoap.org/soap/envelope/
http://schemas.xmlsoap.org/soap/encoding/
http://schemas.xmlsoap.org/soap/envelope/
http://schemas.xmlsoap.org/soap/encoding/
http://trafficconverter.biz/4vir/antispyware/loadadv.exe
http://trafficconverter.biz
http://www.maxmind.com/download/geoip/database/GeoIP.dat.gz

Способы удаления

Удаление сетевого червя производится с помощью специальной утилиты KKiller.exe .

С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:
Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001.

Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.

Отключить автозапуск исполняемых файлов со съемных носителей.

Удаление сетевого червя утилитой KKiller.exe можно производить локально на зараженном компьютере или централизованно, если в сети развернут комплекс Kaspersky Administration Kit.

Локальное удаление:
Скачайте архив KKiller_v3.4.3.zip
http://data2.kaspersky.com:8080/special/KKiller_v3.4.3.zip
и распакуйте его в отдельную папку на зараженной машине.

Запустите файл KKiller.exe .

По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KKiller.exe с ключом -y.

Дождитесь окончания сканирования.

Если на компьютере, на котором запускается утилита KKiller.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

Выполните сканирование всего компьютера с помощью Антивируса Касперского.

Сегодня столкнулся с вирусом Net-Worm.Win32.Kido или просто Kido.
Когда на одном из серверов остановилась служба Сетевой вход и Сервер и пропал доступ к его расшаренным папкам (такого не было никогда ранее). Мне сразу показалось что-то тут не чисто. Службы были перезапущены и все пошло своим путем. А позже я занялся изучением и поиском виновника. Итак, рассмотрим противника:

Net-Worm.Win32.Kido поражает Windows 2000 и более поздние версии, вплоть до беты Windows 7. Для упаковки своих файлов Win32.HLLW.Shadow.based применяет постоянно видоизменяющийся (полиморфный) упаковщик, что затрудняет его анализ.

I. На сайте Касперского предлагается решение по обнаружению и удалению вирусов семейства Net-Worm.Win32.Kido

Решение:
1. Скачать и установить патч от Microsoft, который закрывает уязвимость MS08-067 (скачать).

2. Скачать и запустить утилиту KidoKiller.exe из архива KidoKiller_v3.zip (скачать)
3. Общая рекоммендация. Не забывать обновлять операционную систему высокоприоритетными обновлениями.

II. Компания «Доктор Веб» информирует о широком распространении опасного сетевого червя Win32.HLLW.Shadow.based (известного также под именем Conficker.worm, Downadup и Kido) и предлагает метод лечения:

1. Установить патчи, указанные в следующих информационных бюллетенях Microsoft:
MS08-067 ссылка ;
MS08-068 ссылка ;
MS09-001 ссылка ;
2. Отключить компьютер от локальной сети и от Интернета. Если компьютеры подсоединены к локальной сети, то вылеченный компьютер необходимо подключать обратно к локальной сети лишь после того, как будут вылечены все компьютеры, находящиеся в сети.
3. Скачать текущую версию утилиты Dr.Web CureIt! ссылка на неинфицированном компьютере, перенести ее на инфицированный и просканировать все диски, тем самым произведя лечение системы.
4. Для профилактики распространения вирусов рекомендуется отключать на компьютерах автозапуск программ со съёмных носителей, использовать автоматическое обновление Windows, не применять простые пароли входа в систему.

На заметку.

При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.

Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.

Вирус распространяется по сети с использованием уязвимости, которая устраняется с помощью критичного обновления, описанного в бюллетене Microsoft MS08-067. На целевой компьютер отправляется специально сформированный запрос, приводящий к переполнению буфера. В результате данных действий компьютер-жертва загружает вредоносный файл по протоколу HTTP.

Так же возможно отключение доступа к общим каталогам и прочим сетевым службам.

P.S. я использовал первый метод защиты (лечения), но повторно проверял так же и утилитой Dr.Web CureIt! от «Доктора Веб» ссылка .

Дополнительно можно почитать:
от компании «Доктор Веб» — ссылка
от Вирусной Энциклопедии — ссылка
от Лаборатории Касперского — ссылка

Ключевые слова: скачать утилиту kidokiller | kidokiller v3.zip | kidokiller v3 | worm.32.kido.hf | net-32.kido | kidokiller скачать

Добавлено 02.03.09 (для тех у кого не работают сайты касперского и микрософт, файлы для лечения с нашего сервера)
Обновленная утилита лечения от Касперского
Критическое обновление для Windows XP —

Добавлено 03.03.09
Критическое обновление для Windows Server 2003 Service Pack 1 и Windows Server 2003 Service Pack 2 — (очень рекомендую не забывать обновлять сервера, спешить конечно тоже не стоит и накатывать всё на все, но и не забывайте! )

Добавлено 11.03.09
По непроверенным данным kido не трогает машины, на которых установлена украинская раскладка клавиатуры.

Добавлено 14.03.09
Разработчики антивируса BitDefender также сделали утилиту для удаления Kido или как они его называют Win32.Worm.Downadup.Gen, скачать можно с ссылка
А так же у них есть «The 30-second Antivirus Scan: BitDefender QuickScan Beta» (30 секундное антивирусное он-лайн сканирование ПК)
P.S. зараженных машин под рукой не было, поэтому эффективность инструмента мной не проверена, но продукты BitDefender штука не плохая.

Добавлено 01.04.09
Это не первоапрельский прикол, действительно уже появился KidoKiller версии 3.4.3 —

Добавлено 09.04.09
Обновилась утилита KidoKiller уже версия 3.4.4 —

Сегодня обнаружил такой факт — если запустить кидокиллера с пользовательскими правами (т.е. работая под учетной записью с правами Пользователь), то утилита работает секунд 5-10 и вылетает с ошибкой! (обратите на это внимание и не забывайте!)

Добавлено 14.04.09
Еще признаки kido
1. Создает на съемных носителях (также на сетевых дисках если доступно на запись) файл autorun.inf и файл RECYCLED\{SID}\random_name.vmx
2. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\sfefs.dll
3. Прописывает себя в сервисах со случайным именем, состоящим из латинских букв, например gfjdsnk.
4. Атакует компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.

Добавлено 16.04.09
Новая версия — KidoKiller 3.4.5

Добавлено 20.04.09
Нашел утилиту (утилита разработана компанией Positive Technologies)

С помощью этой утилиты системные администраторы смогут быстро и легко выявить уязвимые системы и установить соответствующие исправления. Для корректной работы утилиты на системе должен быть установлен.NET Framework.

Внимание! Утилита работает в режиме тестирования на проникновение, в связи с чем, не имеет возможности обнаружить узлы, зараженные червем Conficker.B, поскольку червь устраняет уязвимость MS08-067. Для проверки зараженных систем необходимо использовать механизмы аудита системы MaxPatrol или XSpider.

После последнего посещения вышеуказанных страниц с заплатками, мне показалось что у Микрософт, что-то наверчено и толком по тем ссылкам скачать не получается, вообщем я нашел у них все что нужно и добавляю информацию тут:

Критическое обновление для системы безопасности (заплатки от уязвимости MS09-001):

— Windows XP (SP2, SP3) (KB958687) (MS09-001) —

— Windows Server 2003 (SP1, SP2) (KB958687) (MS09-001) —

Критическое обновление для системы безопасности (заплатки от уязвимости MS08-068):

— Windows XP (SP2, SP3) (KB957097) (MS08-068) —

— Windows Server 2003 (SP1, SP2) (KB957097) (MS08-068) —

Критическое обновление для системы безопасности (заплатки от уязвимости MS08-067):

— Windows XP Rus (SP2, SP3) (KB958644) (MS08-067) —

— Windows Server 2003 Rus (SP1, SP2) (KB958644) (MS08-067) —

уязвимость описанная в MS08-065
Если у вас Microsoft Windows 2000 с пакетом обновления 4 (SP4), то обратите внимание!

Не подвержено уязвимости:
Windows XP с пакетом обновления 2 (SP2) или 3 (SP3)
Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Server 2003 с пакетом обновления 2 (SP2)
….

Была проблема (в самом начале эпопеи) — появилась на одном из сетевых дисков папка RECYCLER (типа корзина), но на самом деле не корзина, а создал ее кидо, сразу было видно кто создал (так как на сервере доступ был с паролями), пользователь был почищен и пропатчен, а вот папка не удалялась. Чтобы ее удалить нужно:

1. Войти в ту папку (лучше с коммандера FreeCommander, Total Commander, только не проводником, чтобы не вдруг не активизировать заразу) найти файл, который был не доступен к удалению даже администратору (там было что-то типа jwgkvsq.vmx), на него нужно добавить полный доступ Администратору, остальные можно удалить и можно сменить владельца на Администратор (это все если вы работаете под Администратором и тогда файл получится удалить.
2. Директории я удалил командами типа
rmdir /s /q «./S-5-3-~1»
rmdir /s /q RECYCLER
(до этого я тоже добавил доступ к директориям Админу)

Добавлено 22.04.09
Новая версия — утилита для удаления вируса Kido — KidoKiller 3.4.6

Начиная с версии 3.4.6 в утилиту KK.exe добавлены коды возврата (%errorlevel%):

3 — Были найдены и удалены зловредные потоки (червь был в активном состоянии).
2 — Были найдены и удалены зловредные файлы (червь был в неактивном состоянии).
1 — Были найдены зловредные задания планировщика или перехваты функций (данная машина не заражена, но в этой сети могут находиться зараженные машины — администратору следует обратить на это внимание).
0 — Ничего не было найдено.

P.S. В сети где используется домен(ы) нужно в первую очередь лечить контроллеры домена и компьютеры, на которых залогинены пользователи, входящие в группы «Administrators» и «Domain Admins» в домене. Иначе, лечение бесполезно — все компьютеры, входящие в домен, будут постоянно заражаться.
P.S.S. Смотрим ключи KK

Добавлено 05.05.09
Новая версия утилиты для удаления вируса — KidoKiller 3.4.7

Добавлено 19.05.09

Ключи для запуска утилиты KK.exe из командной строки:

Параметр	Описание
-p	Cканировать определённый каталог
-f	Cканировать жёсткие диски, сканировать переносные жесткие диски
-n	Cканировать сетевые диски
-r	Cканировать flash-накопители
-y	Не ждать нажатия любой клавиши
-s	«Тихий» режим (без чёрного окна консоли)
-l	Запись информации в лог-файл
-v	Ведение расширенного лога (параметр -v работает только в случае, если в командной строке указан также параметр -l)
-z	Восстановление служб · Background Intelligent Transfer Service (BITS), · Windows Automatic Update Service (wuauserv), · Error Reporting Service (ERSvc/WerSvc)
-х	Восстановление возможности показа скрытых и системных файлов
-a	Отключение автозапуска со всех носителей
-m	Режим мониторинга потоков, заданий, сервисов
-j	Восстановление ветки реестра SafeBoot (при ее удалении компьютер не может загрузиться в безопасном режиме)
-help	Получение дополнительной информации об утилите

Добавлено 22.10.09
Новая версия утилиты для удаления вируса Kido — KidoKiller 3.4.13

Статья написана для того чтобы потомки не наступали на грабли на которые наступил я.
Если на вашем сервере/локальном компьютере перестало открываться сетевое окружение с ошибкой «Ни одна из служб доступа к сети не может обработать сетевой путь» добро пожаловать

Симптомы:

В общем в один прекрасный день мне позвонил пользователь и сказал что не может по самбе законектиться на основной сервер (естественно он сказал не так, но суть передана) Я попробовал со своего компьютера набрать \\server (имя изменено для удобства понимания) и получил ошибку. хотя сервер прекрасно пинговался и все нужные порты были открыты. После перезагрузки сервера (а это как известно полный ахтунг посреди рабочего дня) сервер проработал около часа и ошибка повторилась. На самом сервере при попытке пойти по сети на любой компьютер \\user получали ошибку «Ни одна из служб доступа к сети не может обработать сетевой путь»

Анамнез

Как было сказано ранее порт 445 был открыт. Ошибка «Ни одна из служб» подтолкнуло на мысль что проблема в службах:)
Итак лезем в службы и на вскидку видим следующее: службы сервер, рабочая станция, обозреватель компьютеров упали. Запускаем - работает, минут через 10-15 снова падает. В логах приложений видим ошибку

Сразу после которой падают службы

Дифференциальный диагноз 1

Гуглим…

Приходим к однозначному выводу что причиной всему некоторый вирус kido, который атакует компы сети по 445 порту, приводя к ошибке buffer-overflow. Решение - запуск kk.exe на всех компьютерах сети. kk.exe - програмка для лечения вируса kido от касперских. Сам антивирус касперского не переношу на дух, хотя проверку провел - сам касперский угроз не обнаружил, а kk.exe - нашел и по всей видимости полечил.

Лечение

Пройдя по всем компьютерам сети и запустив kk обнаружили и почистили много этой вирусни. Кроме того дабы обезопасить только что зараженные компьютеры запустили kk в режиме мониторинга «kk -m» и добавили в автозагрузку. После всех этих манипуляций вздохнули свободно, хотели отдохнуть, но не тут то было. Сервисы стали падать не так часто. Но от этого легче не стало! Кстати временное решение проблемы - зайти в свойства одного из сервисов и установить «перезапускать сервер» во всех полях закладки восстановления. Сервисы хоть и падают, но почти сразу восстанавливаются.

Дифференциальный диагноз 2

Итак стал думать почему сервисы падают пачками. И что объединяет эти сервисы. ответ оказался прост - один из svchost.exe запускал все эти сервисы. Вот полный список:
Обозреватель компьютеров (!)
Службы криптографии
Диспетчер логических дисков
Служба событий COM+
Справка и поддержка
Сервер (!)
Рабочая станция (!)
Сетевые подключения (!)
Служба сетевого расположения
Планировщик заданий (!)
Вторичный вход в систему
Уведомление о системных событиях
Определение оборудования оболочки
Клиент отслеживания изменившихся связей
Инструментарий управления windows
Автоматическое обновление
Беспроводная настройка

В общем мысль пошла далее. Раз вирусов на сервере больше нет, значит вирус все еще есть на каких либо компьютерах сети. И он продолжает атаковать сервер. Но почему сервер от этого падает? Значит есть какаято дыра. А если есть дыра - значит должна быть заплатка. С горем пополам нашел такую заплатку для WinXP - KB958644
А уж имея название заплатки для Win2003 нашел заплатку без проблем.

Лечение часть 2

поставил заплатки на сервер и все компьютеры сети. вместо ошибки
«Ошибка приложения svchost.exe, версия 5.2.3790.3959, модуль kernel32.dll, версия 5.2.3790.3959, адрес 0x0006beb8.»
стало появляться предупреждение
«Отчет об ошибке постановки в очередь: ошибка приложения svchost.exe, версия 5.2.3790.3959, модуль kernel32.dll, версия 5.2.3790.3959, адрес 0x0006beb8.»

Итог

В принципе проблема решена, можно выписывать. Но (!) Раз атаки продолжаются значит вирус еще где то действует. Вот об этом хотелось бы спросить хабрасообщество - как выявить зараженный в сети компьютер?
Логично предположить что нужно слушать 445 порт - кто лезет, тому и по рогам. Но ведь на сервере пошарено много всего, люди лезутредактируютсоздаютсохранаютсмотрют… Как нормальный траф 445 порта отделить от вредоносного?
В комментариях жду советов, и надеюсь что в будущем моя статья поможет кому либо побыстрее разобраться с этой проблемой.

ЗЫЖ автоматическое обновление стояло, 2003 был обновлен - почему то эта заплатка не качается со всеми вместе.