Hilfreiche Ratschläge

Virus, Behandlung Kido

Wie entferne ich den Net-Worm.Win32.Kido-Netzwerkwurm (andere Namen: Conficker, Downadup) auf einem Heimcomputer?

Eine kurze Beschreibung der Net-Worm.Win32.Kido-Familie
Erstellt eine autorun.inf-Datei und eine RECYCLED -Datei auf Wechselmedien (manchmal auf freigegebenen Netzwerklaufwerken) RANDOM_NAME.vmx
Im System wird der Wurm als DLL-Datei mit einem zufälligen Namen aus lateinischen Buchstaben gespeichert, z. B. c: windows system32 zorizr.dll
Verschreibt sich in Diensten - auch mit einem zufälligen Namen aus lateinischen Buchstaben (zum Beispiel knqdgsm).
Es wurde versucht, Netzwerkcomputer über den Port 445 oder 139 TCP anzugreifen, wobei eine Sicherheitsanfälligkeit in Windows-Betriebssystem MS08-067 ausgenutzt wurde.
Es bezieht sich auf die folgenden Sites, um die externe IP-Adresse des infizierten Computers abzurufen (es wird empfohlen, eine Überwachungsregel für den Zugriff auf diese Sites in der Firewall zu konfigurieren):
http://www.getmyip.org
http://getmyip.co.uk
http://www.whatsmyipaddress.com
http://www.whatismyip.org
http://checkip.dyndns.org

2. Symptome einer Infektion
Aktive Firewall-Antivirenprogramme melden einen Angriff auf Intrusion.Win.NETAPI.buffer-overflow.exploit.

Das konstante Auftreten von Angriffsmeldungen weist auf eine Infektion des Remotecomputers hin (dessen Adresse in der Angriffsmeldung angegeben ist). Behandeln Sie den Remotecomputer nach Möglichkeit, um Angriffe zu verhindern.
Es ist nicht möglich, auf die Websites der meisten Antiviren-Unternehmen zuzugreifen (z. B. esetnod32.ru, kaspersky.ru usw.).
Der Versuch, ein Kaspersky Lab-Produkt mit einem Aktivierungscode auf einem Computer zu aktivieren, der mit dem Netzwerkwurm Net-Worm.Win32.Kido infiziert ist, schlägt möglicherweise fehl und einer der folgenden Fehler tritt auf:
Aktivierungsfehler. Der Aktivierungsvorgang wurde mit Systemfehler 2 abgeschlossen.
Aktivierungsfehler. Verbindung zum Server nicht möglich.
Aktivierungsfehler. Servername kann nicht aufgelöst werden.

3. Methoden zum Schutz vor Infektionen
Führen Sie die folgenden Schritte aus, um eine Infektion zu verhindern:

Stellen Sie sicher, dass Sie die neuesten Windows-Updates installiert haben. Installieren Sie Patches für die Sicherheitslücken MS08-067, MS08-068, MS09-001, wenn sich Ihre Betriebssystemversion in den Listen der betroffenen Software befindet.
Deaktivieren Sie die automatische Ausführung ausführbarer Dateien von Wechseldatenträgern:
Laden Sie kidokiller.exe herunter und speichern Sie es in einem separaten Ordner auf Ihrem Computer (z. B. auf Laufwerk C).
Öffnen Sie den Befehl Ausführen:
Für Benutzer von Windows XP / Vista
Für Benutzer von Windows 7
Für Benutzer von Windows 8
Geben Sie im Fenster Ausführen (Führen Sie das Programm für Windows XP aus) im Feld Öffnen den Befehl explorer.exe ein.
Klicken Sie auf die Schaltfläche OK.
Führen Sie die Datei kk.exe mit der Option -a aus. Geben Sie dazu im Eingabeaufforderungsfenster C: kk.exe -a ein (dies startet die auf Laufwerk C gespeicherte Datei).
Drücken Sie die Eingabetaste auf Ihrer Tastatur.

4. Wie das System zu heilen
Gehen Sie folgendermaßen vor, um ein infiziertes System zu heilen:

Laden Sie kidokiller.exe herunter und speichern Sie es in einem separaten Ordner auf dem infizierten Computer.
Deaktivieren Sie File Anti-Virus, während das Dienstprogramm ausgeführt wird, wenn die folgenden Kaspersky Lab-Anwendungen auf dem infizierten Computer installiert sind:

Kaspersky Internet Security 6.0. / 7.0 / 2009/2010/2011/2012/2013/2014

Kaspersky Anti-Virus 6.0. / 7.0 / 2009/2010/2011/2012/2013/2014

Führen Sie die kk.exe-Datei aus.

Wenn Sie die Datei kk.exe ohne Angabe von Schlüsseln ausführen, stoppt das Dienstprogramm die aktive Infektion (löscht Streams, entfernt Abfänge), durchsucht die Hauptinfektionsbereiche, durchsucht den Speicher, bereinigt die Registrierung und überprüft Flash-Laufwerke.
Warten Sie, bis der Scan abgeschlossen ist.

Nach Abschluss des Scanvorgangs auf dem Computer wartet das Dienstprogramm, bis eine beliebige Taste auf der Tastatur zum Schließen gedrückt wird.

Wenn Agnitum Outpost Firewall auf dem Computer installiert ist, auf dem das Dienstprogramm KidoKiller ausgeführt wird, müssen Sie den Computer nach Beendigung des Dienstprogramms neu starten.

Scannen Sie den gesamten Computer mit:
Kaspersky Internet Security 2014/2013/2012
Kaspersky Anti-Virus 2014/2013/2012

5. Tasten zum Ausführen der Datei kk.exe über die Befehlszeile
-p - scannt ein bestimmtes Verzeichnis.

-f - Festplatten scannen, tragbare Festplatten.

-n - Netzlaufwerke scannen.

-r - Flash-Laufwerke scannen.

-y - Warten Sie nicht, bis eine Taste gedrückt wird.

-s - stiller Modus (ohne schwarzes Konsolenfenster).

-l - Informationen in die Berichtsdatei schreiben.

-v - Erweiterten Bericht verwalten (die Option -v funktioniert nur, wenn die Option -l auch in der Befehlszeile angegeben ist)

-z - Dienstwiederherstellung: Intelligenter Hintergrundübertragungsdienst (BITS), Windows-Dienst für automatische Updates (wuauserv), Fehlerberichterstellungsdienst (ERSvc / WerSvc).

-x - Stellt die Fähigkeit zur Anzeige von versteckten und Systemdateien wieder her.

-a - Start von allen Medien deaktivieren.

-m - Modus zum Überwachen von Flüssen, Aufgaben, Diensten. In diesem Modus befindet sich das Dienstprogramm ständig im Speicher und überprüft regelmäßig Streams, Dienste und Scheduler-Aufgaben. Wenn eine Infektion erkannt wird, werden Desinfektion und Überwachung fortgesetzt.

-j - Stellt den Safe Boot-Registrierungszweig wieder her (wenn er gelöscht wird, kann der Computer nicht im abgesicherten Modus gestartet werden).

- help - Hier erhalten Sie zusätzliche Informationen zum Dienstprogramm.

Beschreibung des Kido-Virus.

NetzwerkwurmNet-Worm.Win32.Kido Bei der Verteilung wird eine Sicherheitsanfälligkeit im Serverdienst der Windows-Betriebssystemfamilie ausgenutzt. Diese Sicherheitsanfälligkeit wurde Ende Oktober 2008 entdeckt und im Microsoft Security Bulletin MS08-067 beschrieben. Wenn die Sicherheitsanfälligkeit erfolgreich ausgenutzt wird, erstellt die Malware eine Datei mit einem zufälligen Namen im Verzeichnis Windows System32 System.

Ein charakteristisches Merkmal der Tätigkeit von Vertretern dieser Familie von Schadprogrammen ist die Sperrung des Zugriffs auf eine Reihe von Internetressourcen. Zusammen mit den Ressourcen von Antiviren-Unternehmen - Kaspersky Lab, Doctor Web, ESET - verhindert Net-Worm.Win32.Kido, dass Benutzer auf einen Domainnamen zugreifen, der das Wort "Virus" enthält, um zu verhindern, dass Besitzer infizierter Computer auf Websites zur Benutzerunterstützung behandelt werden . (c) Virusinfo

Methoden zur Infektion mit dem Kido-Virus:

1) Über das Netzwerk. Der Virus durchsucht das Netzwerk mit Arp-Anfragen nach neuen Medien und greift aktive IP-Adressen mithilfe einer Sicherheitsanfälligkeit im Remote Procedure Call Service (RPC) an.

2) Verteilung auf Wechselmedien (USB-Flash). In diesem Fall wird ein versteckter Recycler-Ordner auf dem Flash-Laufwerk erstellt.
es enthält einen Unterordner S ************ (in dem sich der Virus selbst befindet) und eine versteckte Datei autorun.inf, mit der der Virus automatisch auf dem Rechner installiert wird.

Anweisungen zum Entfernen.

1. Bevor Sie mit der Desinfektion beginnen, lesen Sie diese Anweisungen sorgfältig durch, laden Sie alle erforderlichen Dateien von Schritt 2 auf die Festplatte herunter und entfernen Sie während der Behandlung das Kabel von der Netzwerkkarte.

2. Sie müssen die folgenden Dateien auf Ihren Computer herunterladen:
Alle Dateien archivieren herunterladen
Kritisches Sicherheitsupdate KB957097 herunterladen
Kritisches Sicherheitsupdate KB958644 herunterladen
Kritisches Sicherheitsupdate KB958687 herunterladen
Kaspersky Lab Removal Tool Kido herunterladen
Download des Tools zum Entfernen von Microsoft-Malware
Registrierungsdatei, die den Start von Wechselmedien und den automatischen Download von Bällen deaktiviert

3. Führen Sie nacheinander drei wichtige Betriebssystemupdates auf dem Computer aus. Nach der Installation müssen Sie den Computer neu starten.

4. Führen Sie das Dienstprogramm kk.exe auf dem Computer aus. Während des Scanvorgangs wird ein schwarzer Bildschirm angezeigt. Drücken Sie nach Abschluss des Scanvorgangs eine beliebige Taste.

5. Scannen Sie Ihren Computer mit dem Microsoft-Dienstprogramm zum Entfernen von Malware auf andere Viren

Sehen Sie sich das Video an: How to Get Rid of Intestinal Parasites recipe (November 2019).