Если встретимся в этой жизни - с меня пиво. Теперь знаю как они по сети размножались.
Если кто на мои грабли наступит:
1. На контролерах в system32 файл размером 157036 б (у меня odkcsr.y). Определяется NOD-ом как Conficer.X
2. На контролерах создаются назначенные задания c названием At1, At2 ... с запуском rundll32/exe odkcsr.y,<какой-то ключ> В коментарии: Составлено NetScheduleJobAdd. У меня таких заданий с разными ключами было по 5 штук.
3. На подключаемых носителях, в шарах, и корнях DFS создаются Рециклы и autorun.inf которые определяются как Conficer.АЕ
4. У клиентов в system32 файл размером 157036 б (названия разные, но расширения у всех DLL). Определяется NOD-ом как Conficer.X

На форуме касперского была описана ситуация очень похожая на мою, но не один антивирус не упомянул об черве KIDO.

поймал таки сволочь, не зря со сниффером сидел, правда весит она у меня 165749 б
правда svchost.exe на серере так и продолжил падать, но уже даже при выдернутном rj-45. сейчас посмотрим, поможет ли sfc /scannow (кстати,это не приведет к даундейту и потере заплаток?)

161547 - именно такого размера файл со всеми включенными аттрибутами под именем eyhcyi.dll, сидел у меня в папочке system32. Удалить его можно, загрузившись с загрузочного диска. Касперский определял, что этот файл заражен вирусом Trojan.Win32.Agent.bcan, успешно его "вылечивал" от вируса (а файл оставался на месте). В итоге ни на один сайт сo словами в имени kaspersky, microsoft, virus, зайти было нельзя. Сам Каспер не обновлялся ,выдавая ошибку обновления DNS.
Удалив eyhcyi.dll, все стало на свои места, обновления проходят успешно. Интернет у меня так называемый "Домашний", vpn подключение и тд и тп. Так вот пока я не подключен - все чикипики, Каспер молчит, как только подключусь... за 1ч25 минут 26 попыток вторжения, Каспером уничтожен файл x, появляющийся в папочке system32, а в Temporary Internet Files постоянно создаются файлы с расширениями jpg, bmp, png, имена этих файлов слепой набор букв, все файлы Каспером определены как вирус Trojan.Win32.Agent.bcan. Пришлось отключить звук, а то Каспер визжал как резанный. Я не пойму откуда такая активность, из сети провайдера?

Буквально на момент написания поста:

10.01.2009 0:56:50 Файл: C:\WINDOWS\System32\x удален

10.01.2009 0:57:01 Файл: C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GTQNSHAJ\puol[1].gif обнаружено: троянская программа 'Trojan.Win32.Agent.bcan'

10.01.2009 0:57:01 Файл: C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GTQNSHAJ\puol[1].gif удален

10.01.2009 1:00:56 Файл: C:\WINDOWS\System32\x обнаружено: троянская программа 'Trojan.Win32.Agent.bcan'

10.01.2009 1:00:56 Файл: C:\WINDOWS\System32\x удален

10.01.2009 1:01:06 Файл: C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\2XPOA6PA\upcrhkyv[1].gif обнаружено: троянская программа Trojan.Win32.Agent.bcan'

10.01.2009 1:01:06 Файл: C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\2XPOA6PA\upcrhkyv[1].gif удален

Пока вычищал twex.exe, на диске снова появился eyhcyi.dll, как следствие все сайты сo словами в имени kaspersky, microsoft, virus, снова не открываются.
Каким образом закрыть 445 порт? В Каспере есть Веб-антивирус, в котором можно установить контроль за портами. Там я добавил 2 порта 445 и 139.
Из-за vpn подключения брандмауэр отключен, так советует провайдер. На компе работает только Каспер.
В Брандмауэре в закладку исключения по контролю за програмами, постоянно лезет вот это "eyuzow" - порт 2832.

Случайно был обнаружен файл eyhcyi.dll в папке Programms Files\Movie Maker. Прога Movie Maker - виндовское приложение.
Итог: eyhcyi.dll лежит в двух местах в Programms Files\Movie Maker и в
C:\Windows\System32. Удалить нельзя, имеет параметры архивный, скрытый системный. При проверке Каспером был обнаружен как вирус. Вирус удален, но файл остался.
Если eyhcyi.dll удалить из C:\Windows\System32, через несколько минут интернет соединение полностью подвисает. Пока eyhcyi.dll сидит в C:\Windows\System32, система вроде бы работает нормально, только нельзя обновить базы Каспера, зайти на сайт майкрософт и сайты по вирусным базам. При обновлении Каспера появляется сообщение "Ошибка разрешения DNS имени". Что делать со всем этим, совершенно непонятно.

Прикол. Сегодня захожу на комп, а у меня Microsoft Forefront прибил этого червя
У кого NIS, на лету его определяет, даже без сканирования системы.

Сколько бы не говорили и не писали о необходимости в целях безопасности патчить систему и завести какой-нибудь межсетевой экран найдутся "умники" которые посчитают эти предосторожности лишними, а судя по распространению в Инете того же Conficker-a - таких "умников" тысячи... Некоторые даже заявляют об эпидемии сетевого червя Conficker http://soft.compulenta.ru/394771/

Первый раз столкнулся с данным червем в прошлом году, а в нынешнем слышу про него уже каждый день. Что честно говоря уже надоело... началась какая-то массовая истерия - всякий сбой в работе компьютера, зависание, запах в кабинете и сыпь на теле - считают проявлением этого червя

Видел две модификации, хотя некоторые говорят что их три.
Распространяется тремя путями:
1) Через USB-носители. Копирует в корень autorun.inf, и само тело в F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx. !Оба файла скрытые!
2) Через расшаренные ресурсы. Копирует себя в расшаренные папки с помощью перебора пароля администратора. Имя файла задается произвольно. А после этого добавляет задачу в планировщик задач запустить код вируса, как-то вот так  "rundll32.exe yruhz.jeo,goberhx".
3) Через старую дыру, которую Microsoft пытается закрыть уже несколько лет! MS08-067 http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

Наш "зверек" прописыватся в системе где-то здесь:
 %Program Files%\Movie Maker\<random filename>.dll
 %Program Files%\Internet Explorer\<random filename>.dll
 %System%\<random filename>.dll
 %Documents and Settings%\<username>\Application Data\<random filename>.dll
 %Temp%\<random filename>.dll
файл легко найти по атрибутам arhs, размер 150-170кБ,
и где-то здесь
 HKLM\SYSTEM\CurrentControlSet\Services\<random filename>\Parameters\ServiceDll = "%System%\<random filename>"
причем в реестре прописывется от SYSTEM и так просто xерез regedit запись не увидишь.

А делает он вот что:
1)Останавливает службы:
 wscsvc - Security Center
 wuauserv - Automatic updates
 BITS - Background Intelligent Transfer Service
 WinDefend - Windows Defender
 ERSvc - Error Reporting Service
 WerSvc - Windows Error Reporting Servic
2) Блокирует сайты посвященными безопасности и вирусам/антивирусам, Microsoft  и т.д.
3) Пытается получить доступ к каким-то сайтам. Как мне кажется список сайтов к кторым пытается пробиться червь саставляется наугад, никакой логики не видно - случайная комбинация букв в зоне com, biz, net.
4) Удаляет системные точки восстановления.
5) Постаянно конектится к произвольным IP-адресам по 445 порту.
6) Запускает HTTP сервер на произвольном порту (можно проверить через netstat -an). Для того, что бы система взломанная через MS08-067 дыру смогла скачать компоненты кода (в виде файлов с расширение .BMP, .GIF, .PNG, .JPG) и собрать для дальнейших действий.
7) Сразу после запуска проверяет если доступ в Инет, пытаясь достучатьса до www.aol.com, www.cnn.com, www.ebay.com, www.myspace.com

Определить быстрее все по
- файлу  %System%\<random filename>.dll, arhs, 150-170kB
- запущенному HTTP и постоянным соединениям на 445 порт(netstat -an)
- АВС Kaspersky - Net-Worm.Win32.Kido.bt, Net-Worm.Win32.Kido.j
     NOD - Win32/Conficker.X, Win32/Conficker.AA
     DrWeb - Win32.HLLW.Shadow.based

Удалить:
- в ручную файл %System%\<random filename>.dll
- c 15.01.09 бесплатным сканером DrWeb CureIt ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe для верочки и ребут.

А вообще ставьте патчи и никогда не болейте!!!
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

Обращение к порту не проверял но произвольные файлы с оными расширениями у себя видел при скане Avira. Если интересно:http://www.free-av.com/en/download/1/avira_antivir_personal__free_antivirus.html

Хотя антивирусники действительно проспали... 5.01 Kaspersky и DrWeb (другие не проверял) по прежнему молчат. Причина эпидемии не только в этом. АВС не могут бораться с вирусами которых не знают в лицо (а новые, никому не известные вирусы будут всегда появляться), а эверестика многих АВС ни на что не способна вообще (уж лучше бы ее и не заявляли). Хотя антивирус и спасает от 98% всякой заразы - не стоит на него полностью надеятся. По крайне мере запретить автозапуск файлов с съемных дисков (не понятно вообще зачем Microsoft придумал это), пароль придумать чуть сложнее чем 123 и т.д., завести какой-нить фаервольчик.И прекратить лазить по порносайтам и кликать по всем появляющимся окнам