Если в данный момент вы подключены ко внешней сети и не видите прикреплённого выше этой надписи изображения, то ваш компьютер или ноутбук инфицирован и необходимо как можно скорее предпринять меры.

Если видите, но вас всё равно зафильтровали за сканирование сети, значит у вас другая модификация этого, либо другой вирус и все ниже перечисленные действия так же настоятельно рекомендуются для выполнения.

Описание вируса Kido.

Сетевой червь Net-Worm.Win32.Kido при распространении использует уязвимость в службе Сервер (Server) операционных систем семейства Windows. Данная уязвимость была обнаружена в конце октября 2008 года и описана в бюллетене безопасности Microsoft MS08-067. При успешной эксплуатации уязвимости вредоносное ПО создает файл со случайным именем в системном каталоге windows\system32\.

Характерной чертой активности представителей этого семейства вредоносных программ является блокирование доступа к ряду ресурсов сети Интернет. Наряду с ресурсами антивирусных компаний — «Лаборатории Касперского», «Доктор Веб», ESET — Net-Worm.Win32.Kido блокирует доступ пользователей к доменному имени содержащему слово «virus», с целью не позволить владельцам зараженных компьютеров пройти лечение на сайтах помощи пользователям. (с) Virusinfo

Способы заражения вирусом kido:

1) Через сеть. Вирус сканирует сеть arp запросами, на предмет наличия для себя новых носителей и атакует активные ip адреса используя уязвимость в службе удаленного вызова процедур (RPC)

2) Распространение на сменных носителях (USB-flash). В данном случае на флешке создаётся скрытая папка Recycler,
в ней подпапка S***********, (в которой находится сам вирус) и скрытый файл autorun.inf, с помощью которого происходит автоматическая установка вируса на машину.

Инструкции по удалению.

1. Перед началом дезинфекции внимательно прочитайте эту инструкцию, скачайте все нужные файлы из пункта 2 на жесткий диск и во время лечения выньте провод из сетевой платы.

2. Вам потребуется скачать на компьютер следующие файлы:
Все файлы архивом скачать
Критическое обновление безопастности KB957097
Критическое обновление безопастности KB958644
Критическое обновление безопастности KB958687
Утилита лаборатории Касперского для удаления Kido
Утилита для удаления вредоносных программ от Microsoft
Файл реестра, отключающий автозагрузку со сменных носителей и автошару

3. Запустите на компьютере поочередно 3 критических обновления ОС, после установки каждого из них придется перезагрузить компьютер.

4. Запустите на компьютере утилиту Касперского kk.exe, появится черный экран с процессом сканирования. После завершения сканирования нажмите любую клавишу.

В связи с большим количеством обращений пользователей "Лаборатория Касперского" подготовила ответы эксперта компании на наиболее часто задаваемые вопросы о возможной активизации вредоносной программы Kido, известной также как Conficker и Downadup.

В связи с большим количеством обращений пользователей "Лаборатория Касперского" подготовила ответы эксперта компании на наиболее часто задаваемые вопросы о возможной активизации вредоносной программы Kido, известной также как Conficker и Downadup. Комментирует Виталий Камлюк, ведущий антивирусный эксперт "Лаборатории Касперского".

Что такое Kido?

Вредоносная программа Kido представляет на данный момент серьезную угрозу для всего интернет-сообщества. Миллионы компьютеров, зараженных Kido, потенциально могут стать самым мощным ресурсом кибепреступников в Интернете. Эта вредоносная программа впервые была детектирована в ноябре 2008 года. Ее активизация ожидается 1 апреля: ботнет Kido начнет искать центр управления среди 50 000 доменов в день (ранее он подключался лишь к 250 доменам) и загружать на компьютеры пользователей новые версии других вредоносных программ. Последующие за этим действия злоумышленников на настоящий момент не поддаются прогнозированию.

В чем опасность Kido?

Таким образом, созданная авторами Kido гигантская зомби-сеть (ботнет) потенциально может дать злоумышленникам возможность совершать крайне мощные DDoS-атаки на любые интернет-ресурсы, красть конфиденциальные данные с зараженных компьютеров и распространять нежелательный контент (в частности, проводить крупномасштабные спам-рассылки).

До последнего времени Kido распространялся через компьютерные сети и сменные носители информации. В частности, он проникал на компьютеры, используя критическую уязвимость MS08-067 в семействе операционных систем Windows, патч к которым был выпущен компанией Microsoft еще осенью прошлого года. По мнению экспертов, на значительной части машин патч не был установлен на момент пика распространения Kido в январе. Этот фактор, а также игнорирование эффективной антивирусной защиты и привели к эпидемии: в настоящее время различными версиями Kido заражены, по меньшей мере, от 5 до 6 миллионов компьютеров, имеющих доступ в сеть Интернет. В последних версиях Kido отсутствует явная возможность самораспространения. Программа лишь пытается укрепиться на уже зараженных компьютерах.

В Kido реализованы самые современные технологии вирусописателей - например, загрузка обновлений с постоянно меняющихся адресов сайтов; использование соединений типа компьютер-компьютер (peer-to-peer) в качестве дополнительного канала обновлений; использование стойкого шифрования для защиты от перехвата контроля; усовершенствованные возможности отключения служб безопасности, препятствия обновлениям программ защиты и т.д.

Самая последняя версия Kido получает обновления путем загрузки кода с 500 доменов, выбираемых из ежедневно изменяемого пула, состоящего из 50 тысяч доменов-кандидатов. Случайный характер отбора, а также большой объем пула делают крайне сложным контроль над пространством имен в интернете, используемым вредоносной программой. Поэтому нужно прилагать все возможные усилия для препятствия обновлению программы на уровне локальных сетей.

Как избежать заражения вредоносной программой Kido?

Продукты "Лаборатории Касперского" успешно блокируют проникновение всех версий Kido на компьютеры пользователей. Проверьте, что автоматические обновления не отключены и, в том случае, если у вас есть подозрение, что Kido уже мог проникнуть на компьютер, выполните сканирование всего компьютера с помощью Антивируса Касперского. Своевременная установка патчей для ликвидации уязвимости MS08-067, безусловно, является обязательной мерой для предотвращения заражения, однако установленное решение Kaspersky Internet Security не позволит использовать уязвимость даже на непропатченной операционной системе.

Как понять, что произошло заражение сети или компьютера?

При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.

Я - администратор локальной сети. Как мне быстрее и удобнее всего локализовать проблему?

Удаление сетевого вредоносной программы производится с помощью специальной утилиты KKiller.exe. С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер: Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001. Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.

Отключить автозапуск исполняемых файлов со съемных носителей. Остановить службу Task Scheduler (Планировщик Задач) в Windows. Удаление вредоносной программы Kido утилитой KKiller.exe необходимо производить локально на зараженном компьютере.

Как бороться с Kido обычному пользователю домашнего компьютера?

Скачайте архив KKiller_v3.4.1.zip и распакуйте его в отдельную папку на зараженной машине. Запустите файл KKiller.exe. По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KKiller.exe с ключом -y. Дождитесь окончания сканирования.

Если на компьютере, на котором запускается утилита KKiller.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

Net-Worm.Win32.Kido

<Лаборатория Касперского> предупреждает о существенном росте числа заражений несколькими версиями полиморфного сетевого червя Kido.

Net-Worm.Win32.Kido использует критическую уязвимость в Microsoft Windows (MS08-067) для распространения через локальные сети и съёмные носители информации.

Червь отключает функцию System Restore, блокирует доступ к сайтам, посвящённым информационной безопасности, и скачивает на заражённые компьютеры дополнительные вредоносные программы .

Также с сайта support.kaspersky.com вы можете скачать утилиту KidoKiller , позволяющую удалять с заражённого компьютера червь Net-Worm.Win32.Kido.

Служба технической поддержки уведомляет клиентов Лаборатории Касперского о том, что в настоящий момент возросло количество обращений по факту заражения рабочих станций и серверов под управлением операционных систем Windows штаммами сетевого червя Net-Worm.Win32.Kido .

Симптомы заражения в сети
При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.

Краткое описание семейства Net-Worm.Win32.Kido.
Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED \{SID<....>}\RANDOM_NAME.vmx
В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
Обращается к следующим сайтам (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):
http://www.getmyip.org
http://getmyip.co.uk
http://www.whatsmyipaddress.com
http://www.whatismyip.org
http://checkip.dyndns.org
http://schemas.xmlsoap.org/soap/envelope/
http://schemas.xmlsoap.org/soap/encoding/
http://schemas.xmlsoap.org/soap/envelope/
http://schemas.xmlsoap.org/soap/encoding/
http://trafficconverter.biz/4vir/antispyware/loadadv.exe
http://trafficconverter.biz
http://www.maxmind.com/download/geoip/database/GeoIP.dat.gz

Способы удаления

Удаление сетевого червя производится с помощью специальной утилиты KKiller.exe .

С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:
Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001.

Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.

Отключить автозапуск исполняемых файлов со съемных носителей.

Удаление сетевого червя утилитой KKiller.exe можно производить локально на зараженном компьютере или централизованно, если в сети развернут комплекс Kaspersky Administration Kit.

Локальное удаление:
Скачайте архив KKiller_v3.4.3.zip
http://data2.kaspersky.com:8080/special/KKiller_v3.4.3.zip
и распакуйте его в отдельную папку на зараженной машине.

Запустите файл KKiller.exe .

По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KKiller.exe с ключом -y.

Дождитесь окончания сканирования.

Если на компьютере, на котором запускается утилита KKiller.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

Выполните сканирование всего компьютера с помощью Антивируса Касперского.

Net-Worm.Kido (Win32/Conficker) - действие и противодействие.

Немного истории.

Известный под разными именами (Kido, Conficker, Downadup, Win32.HLLW.Autorunner.5555, Win32.HLLW.Shadow.based) и во множестве вариациях, Kido был обнаружен впервые ещё осенью прошлого года, почти сразу после того, как обнародовали информацию об уязвимости MS08-67 в операционных системах семейства MS Windows. Помимо атаки на «дырявый» сервис, червь умеет инфицировать сетевые диски (подбирая при необходимости пароль) и съёмные накопители («флэшки»): на них Kido оставляет файл autorun.inf, автоматически запускаемый при открытии диска или даже простом подключении «флэшки» - конечно, если пользователь не отключил функцию автозапуска. Попав на компьютер, червь отключает некоторые системные службы, чтобы предотвратить его обнаружение и удаление, с той же целью блокирует доступ к внушительному ряду антивирусных сайтов и спокойно занимается лавинным размножением. Благодаря изощренной механике Kido заразил к настоящему моменту более девяти миллионов машин за один только январь 2009 года и продолжает злобствовать. Данная вредоносная программа по мнению F-Secure создана для формирования бот-сетей с целью извлечения из нее прибыли или пакетной продажи.

Симптомы

• невозможно зайти на сайт большинства антивирусных компаний, например, avira, drweb, eset, nod32, f-secure, panda, kaspersky и т.д.;
• невозможно активировать антивирусные программы при соединении с сервером;
• невозможно обновить антивирусные базы антивирусов при соединении с сервером;
• невозможно зайти на сайт microsoft.com;
• невозможно включение отображения скрытых папок в Documents and Settings;
• отключена служба восстановления системы;
• в локальной сети настает непомерный объем сетевого трафика.

Действие

Сетевой червь, распространяется через локальную сеть или при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Упакован при помощи UPX.

При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.

Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер». Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.

При запуске червь создаёт свою копию в директории %SYSTEM% с произвольным именем. После чего проверяет, какую операционную систему использует заражённый компьютер.

Cоздаёт службу со следующими характеристиками:

Имя службы: netsvcs Путь к файлу: %SYSTEM%\svchost.exe -k netsvcs

Создаёт следующий ключ реестра, обеспечивая себе автозапуск при следующей загрузке:

HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll = "%SYSTEM%\<название_файла>.dll"

Червь регистрируется в системе как системная служба, используя комбинации из следующих слов:

Boot Center Config Driver Helper Image Installer Manager Microsoft Monitor Network Security Server Shell Support System Task Time Universal Update

Отключает следующие службы:

• Windows Security Center Service (wscsvc)
• Windows Automatic Update Service (wuauserv)
• Background Intelligent Transfer Service (BITS)
• Windows Defender Service (WinDefend)
• Windows Error Reporting Service (ERSvc)
• Windows Error Reporting Service (WerSvc)
• Windows Firewall

Обращается к следующим сайтам для получения внешнего IP-адреса зараженного компьютера (Рекомендуется настроить на сетевом брандмауэре (он же фаерволл) правило мониторинга обращения к ним):

Еще известные действия:

• Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID<....>}\RANDOM_NAME.vmx
• В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
• Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.

Противодействие (оптимальное решение)

Шаг 1. Отключить компьютер (или сеть компьютеров) от локальной сети.

Шаг 2. Скачать скрипт отключения автозагрузки со сменных носителей - Скачать | Зеркало 1 | Зеркало 2 | Зеркало 3 | Зеркало 4 | Зеркало 5 | Зеркало 6 . Запустить файл, получить подтверждение отключения автозагрузки.

Шаг 3. Заблокировать доступ к TCP-портам: 445 и 139 с помощью сетевого экрана (он же фаерволл, он же брандмауер). Блокировать TCP-порты 445 и 139 необходимо только на время лечения. Как только будет пролечена вся сеть, можно разблокировать эти порты.

Шаг 4. Скачать утилиту от "Лаборатории Касперского" KidoKiller (актуальная версия: 3.4.14 ) - Скачать | Зеркало 1 | Зеркало 2 | Зеркало 3 | Зеркало 4 | Зеркало 5 | Зеркало 6 . Распаковать архив и запустить утилиту. Если утилита не запускается - переименовать файл в 111.ехе и повторить попытку.

Шаг 5. Просканировать систему антивирусным портативным сканнером и\или дополнительными утилитами - анти-троянами, анти-шпионами. Подробнее вы можете прочитать .

Шаг 6. Скачать и установить следующие обновления для ОС Windows:

MS08-067 (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx); MS08-068 (http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx); MS09-001 (http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx)

Шаг 7. Установить актуальную версию антивирусного продукта, обновить антивирусные базы, настроить продукт на максимальную защиту и провести полное сканирование компьютера и сменных носителей.

Если эти шаги Вам не помогли - обратитесь в техническую поддержку разработчика Вашего антивирусного продукта или установите актуальную операционную систему (Windows XP SP3, Windows Vista SP2, Windows 7), не забыв скачать и установить все обновления для нее.

Заключение

Важно понимать то, что это базовая информация о вирусе. За это время вышло несколько модификаций этого вируса.
И тем не менее, чтобы не заражать свой ПК этим красавчиком, рекомендуется следующее:

1) Всегда пользоваться КАЧЕСТВЕННЫМ антивирусом последней версии с актуальными антивирусными базами и
максимальными параметрами защиты.
2) Использовать актуальную операционную систему Windows с последними обновлениями.
3) Отключать в системе автозапуск со сменных носителей (смотреть Шаг 2).
4) Проверять регулярно свои сменные носители на наличие вирусов и ВСЕГДА проверять сменные носители
своих знакомых\родственников, которые приносят свои флешки для вашего компьютера.

Сталкиваясь за последнее время с вопросами наподобие: А зачем отключать автораны? , Какое от них зло? и т.д., решил набросать небольшой материал об известном вирусе Kido, который достаточно часто распространяется через флэшки как раз с помощью autorun.inf.

1.Что такое Kido?
Kido (Worm:Win32/Conficker.A, W32.Downadup, Win32.HLLW.Autorunner.5555, Win32.HLLW.Shadow.based, Downup, Downadup и Conficker) - один из опаснейших на сегодняшний день компьютерных червей. Известный под разными именами и во множестве вариаций, Kido был обнаружен впервые ещё осенью прошлого года, сразу после того, как обнародовали информацию об уязвимости MS08-67 в операционных системах семейства MS Windows. Помимо атаки на «дырявый» сервис, червь умеет инфицировать сетевые диски (подбирая при необходимости пароль) и съёмные накопители («флэшки»). На них Kido оставляет файл autorun.inf, автоматически запускаемый при открытии диска или даже простом подключении «флэшки» - конечно, если пользователь не отключил функцию автозапуска. Попав на компьютер, червь отключает некоторые системные службы, чтобы предотвратить его обнаружение и удаление, с той же целью блокирует доступ к внушительному ряду антивирусных сайтов (список ниже) и спокойно занимается лавинным размножением. Атакует операционные системы семейства Microsoft Windows (от Windows 2000 до Windows Vista и Windows Server 2008). Благодаря изощренной механике (см. пункт 2) Kido на январь 2009 года поразил 12 миллионов компьютеров во всём мире. 13 января 2009 Microsoft обещала 250 000 долларов за информацию о создателях вируса. 1 апреля вирус не активировался (как ожидалось), но опасность сохраняется по сей день. Файл вредоносной программы является библиотекой Windows (PE-DLL-файл). Многочисленно упакован различными утилитами паковки. Первый слой – UPX. Размер файла – 50-60 килобайт. В Kido реализованы самые современные технологии вирусописателей – например, загрузка обновлений с постоянно меняющихся адресов сайтов; использование соединений типа компьютер-компьютер (peer-to-peer) в качестве дополнительного канала обновлений; использование стойкого шифрования для защиты от перехвата контроля; усовершенствованные возможности отключения служб безопасности, препятствия обновлениям программ защиты и т.д. Самая последняя версия Kido получает обновления путем загрузки кода с 500 доменов, выбираемых из ежедневно изменяемого пула, состоящего из 50 тысяч доменов-кандидатов. Случайный характер отбора, а также большой объем пула делают крайне сложным контроль над пространством имен в интернете, используемым вредоносной программой. Поэтому нужно прилагать все возможные усилия для препятствия обновлению программы на уровне локальных сетей.

2.Принцип работы.
Червь находит уязвимости Windows, связанные с переполнением буфера и при помощи обманного RPC-запроса выполняет код. Первым делом он отключает ряд служб: автоматическое обновление Windows, Windows Security Center, Windows Defender и Windows Error Reporting. Периодически генерируя список сайтов, червь обращается к ним для получения исполняемого кода. При получении с сайта исполняемого файла червь сверяет электронно-цифровую подпись и, если она совпала, исполняет файл. Кроме того, червь реализует P2P (peer-to-peer) механизм обмена обновлениями, что позволяет ему рассылать обновления удалённым копиям, минуя управляющий сервер.
При запуске червь создаёт свою копию в директории %SYSTEM% с произвольным именем. После чего проверяет, какую операционную систему использует заражённый компьютер. Если это Windows 2000, то внедряет свой код в процесс services.exe. Если же операционная система отлична от указанной, то создаёт службу со следующими характеристиками:
Имя службы: netsvcs
Путь к файлу: %SYSTEM%\svchost.exe -k netsvcs
Создаёт следующий ключ реестра, обеспечивая себе автозапуск при следующей загрузке:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll = "%SYSTEM%\.dll"
Червь пытается подключиться к домену traff******ter.biz и загрузить следующий файл:

В случае успеха, загруженный файл запускается на выполнение.
Другие действия - червь производит обновление системы, закрывая тем самым описанную выше уязвимость. Делается это для того, чтобы таким же способом в систему не попали другие вредоносные программы.
На съемных носителях вирус создаёт файл autorun.inf и файл RECYCLED\{SID}\RANDOM_NAME.vmx
В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
Обращается к следующим сайтам для получения внешнего IP-адреса зараженного компьютера (в данном случае лучше настроить на брандмауэре правило мониторинга обращения к ним):

3.Симптомы заражения.
Отключена служба восстановления системы; невозможно включение отображения скрытых папок в Documents and Settings. При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit. Невозможно получить доступ к сайтам большинства антивирусных компаний, например: avira, avast, esafe, drweb, eset, nod32, f-secure, panda, kaspersky и т.д.
Попытка активации Антивируса Касперского или Kaspersky Internet Security с помощью кода активации на машине, которая заражена сетевым червем Net-Worm.Win32.Kido, может завершиться неудачно и возникает одна из ошибок:

Ошибка активации. Процедура активации завершилась с системной ошибкой 2.
- Ошибка активации. Невозможно соединиться с сервером.
- Ошибка активации. Имя сервера не может быть разрешено.

4. Рекомендации по удалению.
1 путь - для более опытных:
Если ваш компьютер не был защищён антивирусом и оказался заражён данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
1. Удалить оригинальный файл червя (его расположение на заражённом компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файл, созданный трояном, в каталоге:
%SYSTEM%\.dll
Посмотреть имя файла можно в ключе:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\ServiceDll
3. Удалить ветку реестра:
HKLM\SYSTEM\CurrentControlSet\Services\netsvcs
4. Произвести полную проверку компьютера Антивирусом Касперского с обновлёнными антивирусными базами.
Ещё один путь:
Скачать архив KKiller_v3.4.1.zip с сайта Касперского и распаковать его в отдельную папку на зараженной машине. Запустить файл KKiller.exe. По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна лучше запускать утилиту KKiller.exe с ключом -y. Подождать окончания сканирования. Если на компьютере, на котором запускается утилита KKiller.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузить компьютер (более подробно механизм описан на самом сайте).

Отнюдь не претендуя на истину в последней инстанции, буду рад, если информация, описанная выше, сбережёт кому-либо нервы и время.

Статья написана на основе данных с сайта Касперского, ряда форумов, посвящённых проблеме вирусов и т.д.

Статья написана исключительно для новичков, однако мнение и полезные советы экспертов только приветсвуются!

Внимание! Все действия, описанные в статье, вы делаете исключительно на свой страх и риск - ни автор, ни администрация сайта не несут отвественности за ваши действия. Как говориться, не уверен - не лезь!