Сразу прошу прощения за то, что создаю отдельную тему. Если что, готов к перемещению, но все же начну.

Уже достаточно долгое время борюсь с этим вирусом. Чуть более полугода назад справился с ним с помощью алгоритма, который нашел на форуме лаборатории касперского.
1. Отключить от сети.
2. Отключить восстановление систмы.
3. Установить обновления (MS08-067, MS08-068, MS09-001)
4. Через TotalCmdr удалить содержимое всех Temp-ов для всех профилей, а так же содержимое C:\Documents and Settings\Profile_name\Local Settings\Temporary Internet Files\Content.IE5 (в последних находятся зараженные *.gif)
5. Удалить во всех разделах корзину. Если не удаляется, то в TotalCmdr, снять галочку "F8/Del - уудаление в Корзину (с Shift - окончательно)"
6. Запустить утилиту CureIt. В папке C:\WINDOWS\system32 должно найти файл с расширением *.dll, с произвольным именем и объемом. Утилита сбрасывает атрибуты файла.
7. Перезагрузка. После нее Касперский должен сам пофиксить запуск найденного *.dll и удалить. До запуска CureIt не удалялось.
8. Запускаем Касперсикй на проверку C:\WINDOWS\system32 и C:\Documents and Settings. Все, что найдет, удалить.
9. Теперь в C:\WINDOWS\system32 не должно быть файла *.dll. Если не находило файл, то указать принудительно CureIt на него.
10. В реестре "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" первый параметр "По умолчанию" сделать (значение не присвоено).
11. Перезагрузка. Проверка Касперским. Проверка C:\WINDOWS\system32 на наличие файла *.dll
Более месяца ничего и никого. Потом вздумалось маме вспомнить о существовании флэшки. Только она ее в компьютер, как каспер сразу выдал "... Net-Worm.Win32.Kido.ih ...". Я был очень счастлив. На радостях увидел, что внутри у флэшки. Вскрытие показало, что пациент умер от вскрытия. Решил пойти по пути наименьшего сопротивления - переустановил винду. Увы, не спасло. С тех пор уже забодался бороться с этим червем.

На выходных повторил операцию по алгоритму, который указан выше. Не удалось удалить RECYCLER на внешнем жестком диске, папка сделалась видимой. CureIt ничего не нашел. Вспомнилась великая фраза про суслика. Касперский выдает ошибки, что находит заражение с ледующем файле C:\WINDOWS\system32\x. В более подробных отчетах указывает файл C:\WINDOWS\system32\aoasaq.dll. Наеврняка все вы прекрасно понимаете, что никакого x или aoasaq.dll визуально не видно.
Даный алгоритм проделывал и в обычном режиме и в безопасном. Но в безопасном не получилось довести до конца. CureIt отказывался запускаться.

Попробовал запустить KK.exe (в обычном и безопасном режимах). Выдало по нулям. Я обиделся.

После этого залез в сотый раз в инет. На сайте лаборатории касперского давно уже видел ссылку (http://support.kaspersky.ru/faq/?qid=208636215). Попробовал еще раз запустить KK.exe, но уже сделал это через командную строку и с ключами -a -l report.txt -v. При этом навесил на комп все внешние носители (подумал, что пусть и их посканит). НО!!! в обычном режиме. И о Боги всемогущие. Моментально мне выдало C:\WINDOWS\system32\aoasaq.dll cured. После чего продолжило сканирование. Все гуд.
Итоги:
Infected jobs:............0
Infected files:............1
Infected threads:......1
Spliced functions:......2
Cured files:................1
Fixed registry keys:...8

Запуск CureIt и проверки Касперским папок C:\WINDOWS\system32, а так же C:\Documents and Settings, ничего не дал. Я возрадовался... Минут на 5, так как каспер опять выдал заветное сообщение о зараженном файле .gif в C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5. И, как годится, наша песня хороша - начинай сначала.

Опять проделал все, начиная с фразы "После этого залез в сотый раз в инет". KK.exe выдал все по 0, а Касперский продолжает ругаться. Увы надо было уезжать. Я так и не решил проблему. Сетую на то, что первую результативную проверку запускал не в безопасном режиме.

У кого будут какие соображения по этому поводу? Возможно есть вопросы уточняющие? Какие точно логи нужны, если нужны? Попробую их организовать сегодня вечером через удаленный рабочий стол, ибо до компа 200км :).

report.txt - лог KK.exe (http://upload.com.ua/get/902225656/report.rar)

Добрый день!
Отключите антивирус/фаервол, интернет;
Очистите и создайте новую контрольную точку восстановления, чтобы если во время лечения произошла непредвиденная ситуация, вы могли вернуть систему к предыдущему состоянию:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1)[LIST=1] скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe на temp.exe
Подробнее в "ComboFix. Руководство по применению." (http://virusnet.info/forum/showthread.php?t=2773)

заплатки от кидо ставили?
автозапуск с внешних носителе нужно было отключить сразу после первого заражения.

Необходимо закрыть уязвимости, установив обновления:

* MS08-067
* MS08-068
* MS09-001
http://www.microsoft.com/technet/sec.../MS08-067.mspx
http://www.microsoft.com/technet/sec.../ms08-068.mspx
http://www.microsoft.com/technet/sec.../ms09-001.mspx

+ приготовьте лог Gmer
Cкачайте Gmer (http://www.gmer.net/gmer.zip) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=8&act=down). Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

С логами выйду в эфир чуть позже.

* MS08-067
* MS08-068
* MS09-001
http://www.microsoft.com/technet/sec.../MS08-067.mspx
http://www.microsoft.com/technet/sec.../ms08-068.mspx
http://www.microsoft.com/technet/sec.../ms09-001.mspx
сделал

заплатки от кидо ставили?
эээ... это ж те же заплатки MS08-067, MS08-068 и MS09-001 ??

автозапуск с внешних носителе нужно было отключить сразу после первого заражения.
Пуск - Выполнить - gpedit.msc - Конфигурация компьютера - Административные шаблоны - Система - а вот тут я завис. Нашел штуку "Отключить автозапуск". Захожу и вижу это:

http://s003.radikal.ru/i203/1012/9f/cc7e5b8010c9t.jpg (http://radikal.ru/F/s003.radikal.ru/i203/1012/9f/cc7e5b8010c9.jpg.html)

По-умолчанию стоит "Не задан". Если выбрать "Отключен", то ничего не меняется, только активируется кнопка Принять. Если выбрать "Включен", то активизируется строка выбора под фразой "Отключить автозапуск на:". Выбрать можно либо CD-дисковод, либо все дисководы. Какое действие предпринять?

Выбираете все устройства кроме CD\DVD, применяете.
это ж те же заплатки MS08-067, MS08-068 и MS09-001 ?? » те же
можно применить твик реестра
Для этого скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000dd

утилитка для отключения автозапуска. применять на машине, на которой нужно отключить устройства.