worm.kido.ih怎么彻底删除啊?(终于可以彻底弄明白这个病毒了)

该网络蠕虫通过本地网络和移动存储介质进行传播。该程序是一个Windows PE DLL文件。该蠕虫大小在155KB到165KB之间。使用UPX加壳。 安装
蠕虫复制可执行文件以任意的名字命名。像下面这样显示：%System%\<rnd>dir.dll %Program Files%\Internet Explorer\<rnd>.dll %Program Files%\Movie Maker\<rnd>.dll %All Users Application Data%\<rnd>.dll %Temp%\<rnd>.dll %System%\<rnd>tmp %Temp%\<rnd>.tmp
<rnd>是任意字符串。
        为了保证蠕虫在下次系统启动时运行，它创建一个系统服务，每次系统启动时运行蠕虫的可执行文件。下面的注册键值将被创建：[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
        蠕虫也修改下面的系统注册键值：[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs" = "<original value> %System%\<rnd>.dll" 网络传播
        该蠕虫运行在HTTP 服务器上的任意端口上，然后使用下载蠕虫的可执行文件到其它计算机上。
        该蠕虫会给远程计算机发送一个特定的RPC请求，当netapi32.dll中调用wcscpy_s函数会引起一个缓冲区溢出；用于下载蠕虫文件的可执行代码将会被在受害计算机上运行，并安装该蠕虫文件。
        为了利用上述的漏洞，该蠕虫会尝试连接到远程计算机上的管理员账号。该蠕虫使用如下的密码来强制破解账号：

99999999 9999999 999999 99999 88888888 8888888 888888 88888 8888 888 88 8 77777777 7777777 777777 77777 7777 777 77 7 66666666 6666666 666666 66666 6666 666 66 6 55555555 5555555 555555 55555 5555 555 55 5 44444444 4444444 444444 44444 4444 444 44 4 33333333 3333333 333333 33333 3333 333 33 3 22222222 2222222 222222 22222 2222 222 22 2 11111111 1111111 111111 11111 1111 111 explorer exchange customer cluster nobody codeword codename changeme desktop security secure public system shadow office supervisor superuser share super secret server computer owner backup database lotus oracle business manager temporary ihavenopass nothing nopassword nopass Internet internet example sample love123 boss123 work123 home123 mypc123 temp123 test123 qwe123 abc123 pw123 root123 pass123 pass12 pass1 admin123 admin12 admin1 password123 password12 password1

9999 999 99 9 11 1 00000000 0000000 00000 0000 000 00 0987654321 987654321 87654321 7654321 654321 54321 4321 321 21 12 fuck zzzzz zzzz zzz xxxxx xxxx xxx qqqqq qqqq qqq aaaaa aaaa aaa sql file web foo job home work intranet controller killer games private market coffee cookie forever freedom student account academia files windows monitor unknown anything letitbe letmein domain access money campus default foobar foofoo temptemp temp testtest test rootroot root adminadmin mypassword mypass pass Login login Password password passwd zxcvbn zxcvb zxccxz zxcxz qazwsxedc qazwsx q1w2e3 qweasdzxc asdfgh asdzxc asddsa asdsa qweasd qwerty qweewq qwewq nimda administrator Admin admin a1b2c3 1q2w3e 1234qwer 1234abcd 123asd 123qwe 123abc 123321 12321 123123 1234567890 123456789 12345678 1234567 123456 12345 1234 123

通过可移动存储介质来传播
        蠕虫以下面的命名方式复制自身到所有可移动介质：<X>:\RECYCLER\S-<%d%>-<%d%>-%d%>-%d%>-%d%>-%d%>-%d%>\<rnd>.vmx,
        为了执行文件，蠕虫在每个磁盘创建下面显示的文件：<X>:\autorun.inf
        该文件将在每次打开被感染磁盘的时候运行。

病毒体

        当该蠕虫运行时，会把它的代码注入到一个“svchost.exe”系统进程的地址空间中。该代码形成了该蠕虫的恶意负载。

• 禁用如下的服务： wuauserv BITS
• 阻止访问包含如下字符串的地址：indowsupdate wilderssecurity threatexpert castlecops spamhaus cpsecure arcabit emsisoft sunbelt securecomputing rising prevx pctools norman k7computing ikarus hauri hacksoft gdata fortinet ewido clamav comodo quickheal avira avast esafe ahnlab centralcommand drweb grisoft eset nod32 f-prot jotti kaspersky f-secure computerassociates networkassociates etrust panda sophos trendmicro mcafee norton symantec microsoft defender rootkit malware spyware virus

        蠕虫可能从下面显示的链接下载文件：http://<URL>/search?q=<%rnd2%>
        rnd2 是随机数；URL是根据当前的日期使用特殊的运算法则生成的链接。蠕虫从下面显示一个站点获取当前的日期。http://www.w3.org http://www.ask.com http://www.msn.com http://www.yahoo.com http://www.google.com http://www.baidu.com
        由蠕虫下载的文件将会以它原来的名字保存到Windows系统目录下。

处理方法

如果您的计算机没有更新到最新的反病毒数据库，或根本没有安装反病毒程序，您可以使用特殊的删除工具 (在这里可以找到) 或按照下面说明执行：

• 删除下面的系统注册表键值：[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]
• 从下面显示的系统注册键值中删除 “%System%\.dll” ：[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]"netsvcs"
• 重新启动计算机
• 删除蠕虫文件的原本（它的位置需要根据恶意程序入侵计算机的方式来确定）
• 删除蠕虫复制的文件： %System%\<rnd>dir.dll %Program Files%\Internet Explorer\<rnd>.dll %Program Files%\Movie Maker\<rnd>.dll %All Users Application Data%\<rnd>.dll %Temp%\<rnd>.dll %System%\<rnd>tmp %Temp%\<rnd>.tmp
  是一串随机的字符
• 从所有移动存储介质中删除如下的文件： <X>:\autorun.inf <X>:\RECYCLER\S-<%d%>-<%d%>-%d%>-%d%>-%d%>-%d%>-%d%>\<rnd>.vmx,
• 从下面的地址下载和更新操作系统的补丁:

       http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx