Как удалить сетевой червь Net-Worm.Win32.Kido

Как удалить сетевой червь Net-Worm.Win32.Kido (другие названия: Conficker, Downadup) на домашнем компьютере?

Краткое описание семейства Net-Worm.Win32.Kido
Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID<….>}\RANDOM_NAME.vmx
В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
Прописывает себя в сервисах – также со случайным именем, состоящим из латинских букв (например knqdgsm).
Пытается атаковать компьютеры сети по порту 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
Обращается к следующим сайтам для получения внешнего IP-адреса зараженного компьютера (рекомендуем настроить на сетевом экрана правило мониторинга обращения к этим сайтам):
http://www.getmyip.org
http://getmyip.co.uk
http://www.whatsmyipaddress.com
http://www.whatismyip.org
http://checkip.dyndns.org

2. Симптомы заражения
Антивирусные программы с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.

Постоянное появление сообщений об атаках свидетельствует о заражении удаленного компьютера (чей адрес указан в сообщении об атаке). Для предотвращения атак пролечите удаленный компьютер, если есть такая возможность.
Невозможно получить доступ к сайтам большинства антивирусных компаний (например, esetnod32.ru, kaspersky.ru и т.д.)
Попытка активации продукта Лаборатории Касперского с помощью кода активации на машине, которая заражена сетевым червем Net-Worm.Win32.Kido, может завершиться неудачно и возникает одна из ошибок:
Ошибка активации. Процедура активации завершилась с системной ошибкой 2.
Ошибка активации. Невозможно соединиться с сервером.
Ошибка активации. Имя сервера не может быть разрешено.

3. Способы защиты от заражения
С целью предохранения от заражения выполните следующие действия:

Убедитесь, что у вас установлены последние обновления ОС Windows. Установите патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001, если ваша версия ОС есть в списках Подвержены уязвимости.
Отключите автозапуск исполняемых файлов со съемных носителей:
Скачайте файл kidokiller.exe и сохраните его в отдельную папку на компьютере (например, на диск С).
Откройте команду «Выполнить»:
Для пользователей ОС Windows XP/Vista
Для пользователей ОС Windows 7
Для пользователей ОС Windows 8
В окне Выполнить (Запуск программы для Windows XP) в поле Открыть введите explorer.exe.
Нажмите на кнопку ОК.
Запустите файл kk.exe с ключом -a, для этого в окне командной строки введите С:\kk.exe -a (так будет выглядеть запуск файла, сохраненного на диске С)
Нажмите на клавиатуре на клавишу Enter.

4. Как вылечить систему
Чтобы вылечить зараженную систему, выполните следующие действия:

Скачайте файл kidokiller.exe и сохраните его в отдельную папку на зараженном компьютере.
Отключите Файловый Антивирус на время работы утилиты, если у вас на зараженном компьютере установлены следующие программы Лаборатории Касперского:

Kaspersky Internet Security 6.0. / 7.0 / 2009 / 2010 / 2011/ 2012 / 2013 / 2014

Антивирус Касперского 6.0. / 7.0 / 2009 / 2010 / 2011/ 2012 / 2013 / 2014

Запустите файл kk.exe.

При запуске файла kk.exe без указания каких-либо ключей утилита останавливает активное заражение (удаляет потоки, снимает перехваты), выполняет сканирование основных мест, подверженных заражению, сканирует память, чистит реестр, проверяет flash-накопители.
Дождитесь окончания сканирования.

По окончании сканирования на компьютере утилита будет ожидать нажатия любой клавиши на клавиатуре для закрытия.

Если на компьютере, на котором запускается утилита KidoKiller, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.

Выполните сканирование всего компьютера с помощью:
Kaspersky Internet Security 2014 / 2013 / 2012
Kaspersky Anti-Virus 2014 / 2013 / 2012

5. Ключи для запуска файла kk.exe из командной строки
-p <путь для сканирования> – сканировать определенный каталог.

-f – сканировать жесткие диски, переносные жесткие диски.

-n – сканировать сетевые диски.

-r – сканировать flash-накопители.

-y – не ждать нажатия любой клавиши.

-s – silent-режим (без черного окна консоли).

-l <имя файла> – запись информации в файл отчета.

-v – ведение расширенного отчета (параметр — v работает только в случае, если в командной строке указан также параметр — l).

-z – восстановление служб: Background Intelligent Transfer Service (BITS); Windows Automatic Update Service (wuauserv); Error Reporting Service (ERSvc/WerSvc).

-х – восстановление возможности показа скрытых и системных файлов.

-a – отключение автозапуска со всех носителей.

-m – режим мониторинга потоков, заданий, сервисов. В этом режиме утилита постоянно находится в памяти и периодически проводит сканирование потоков, сервисов, заданий планировщика; при обнаружении заражения выполняется лечение и продолжение мониторинга.

-j – восстановление ветки реестра Safe Boot (при ее удалении компьютер не может загрузиться в безопасном режиме).

— help – получение дополнительной информации об утилите.

Например,

для сканирования flash-накопителя с записью подробного отчета в файл report.txt (который создастся в папке, где находится файл kk.exe) используйте следующую команду:
kk.exe -r -y -l report.txt -v

для сканирования другого раздела диска (например, диска D) используйте команду: kk.exe -p D:\