-
[quote=RobinFood;337022]Наверняка для кого-то эта новость давно устарела, но может быть кому-то и поможет.
Microsoft выпустил обновление для своего [URL="http://www.microsoft.com/downloads/info.aspx?na=90&p=&SrcDisplayLang=ru&SrcCategoryId=&SrcFamilyId=ad724ae0-e72d-4f54-9ab3-75b8eb148356&u=http%3a%2f%2fdownload.microsoft.com%2fdownload%2f4%2fA%2fA%2f4AA524C6-239D-47FF-860B-5B397199CBF8%2fwindows-kb890830-v2.6.exe"]MRT[/URL] (Malicious Software Removal Tool), которое видит и лечит kido (по крайней мере ту версию, которая гуляет у нас - fw).
Плюс на сайте Microsoft выложено подробное (хотя и не полное) [URL="http://support.microsoft.com/kb/962007/en-us"]описание[/URL], с детальным алгоритмом ручного удаления.[/quote]
HF версия этой ерундой не находится, это модификация предыдущих версий...
-
[QUOTE=J-Dragon;336952]
Аж да, еще на Windows XP бывает запущено в процессах много rundll32.exe, что является ненормальным, это явное проявление вируса Kido, а копия вируса на этих машинах была обнаружена 5-м каспером в \Window\sistem32[/QUOTE]
у Вас в "Планировщике заданий" куча "левых" заданий пытающихся стартовать червя. Потрите всё.
-
[quote=Незарегистрированный;337063]у Вас в "Планировщике заданий" куча "левых" заданий пытающихся стартовать червя. Потрите всё.[/quote]
Читай пост выше...
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
[SIZE=2][SIZE=2]Кстати Dr.Web CureIt! находит этот вирус (dll файлы), мы били в шоке...
[/SIZE][/SIZE]
-
Здравствуйте! В сети появилась по признакам одна из разновидностей этого вируса. На эту страницу попасть не мог, касперский не обнаруживал ничего, outpost firewall постоянно регистрировал исходящие и входящие пакеты по сети через службу netbios.
А главный признак наличия какой то заразы - это после удаления autorun.inf и папки RECYCLER с флешки, а затем её подключения, файлы снова появлялись. Причём дело было только с флешкой, жесткий были без autorun.inf
Занялся самолечением =)
1. Сначала сделал поиск в реестре по названию файла, лежащего в RECYCLER\S-...\ и удалил эти ключи
2. Нашел скрытую .dll в \system32: это можно сделать либо FAR'ом и найти единственную скрытую dll либо средствами windows
3. Используя ProcessExplorer я нашел процесс, котрый использовал эту dll - это был svchost.exe. Она была единственным файлом с полным путём и расширением.
4. С помощью этого же ProcessExplorer отключил использование этой dll
5. Выставил права на вкладке Безопасность для нее (dll) в system32
6. Удалил её
7. Запустил CCleaner и произвел поиск и устранение ошибок в реестре
8. Перезагрузился.
В итоге исходящих пакетов в подсеть не стало, autorun.inf на флеху писать перестал. Для предупреждения проблемы поставил WindowsXP-KB958644-x86-RUS.
После этого запускал klwk и windows-kb890830-v2.6.exe - наличие:0
Возможно причина CCleaner, но ни левой службы, ни задания в реестре не обнаружено (разрешения высставлены).
Кроме того запускал f-downadup (подозрительная утилита). В конце-концов через час после празднования проблемы, обнаружил, что у меня стали открыты udp порты диапазоном длины около 650.
CureIT сегодняшний ничего не обнаружил. Лишние udp потры не открылись после перезагрузки.
Остался вопрос, вредны ли и как бороться с входящими пакетами, которые вливают мне через Netbios_ns по 50-60 Кбайт. Полностью поставить фаервол на блокирование не могу, т.к. раздаю файлы по сети
-
[QUOTE=ACik;336264]я скриптом создал вот это: В ветке HKLM\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters создать параметр AutoShareWks тип DWORD, значение 0. Перезагрузить комп. и в Logon засунул, будем надеятся что катстрировал эту падлу )) во только в ручную чистить 600+ компов не очень
[size="1"][color="#666686"][B][I]Добавлено через 45 минут[/I][/B][/color][/size]
кстати, у меня касперыч арет на Kido.bt, а вут тот описание [url]http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782725[/url] везде пишут что он прописывает в реестре и нужно удалить пару ключей, ну нету у меня не наодном компьютере данного ключа в реестре :)[/QUOTE]
Возможна модицикация, у мну тож нет таких ключей, а компы поражены...
-
[quote=J-Dragon;336952]Новая модификация вируса [B]Net-Worm.Win32.Kido.hf [/B], ниодин антивирус не находит основные файлы данного вируса.
[I](Очень злой неуловимый вирус который самомодифицируется и распространяется по всей сети вне зависимости от установленной версии Windows)[/I]
Начинать надо обязательно с домена и основных серверов, затем менее важные сервера, затем рабочие станции ИТ отдела, а лишь потом все остальные.
Порядок действий:
1) Ставим заплатки номер KB958644 от Майкрософта. (помогла, но не на всех компах, тупо перестала вылазить ошибка svchost.exe, поэтому лишней не будет).
2) Данный вирус запускается оригинальным SVCHOST.EXE с параметром заражённой библиотеки (random_name).dll, лежащей в SYSTEM32 (атрибут билиотеки установлен в "скрытый" или "ситемный"). Необходимо проверить права доступа для этой библиотеки. Как правило, кроме системы, никому доступ не разрешён. После переустановки прав
(напр., Администраторы=полный доступ), можно убить его UNLOCKERом ([URL]http://ccollomb.free.fr/unlocker/[/URL]).
Кстати Dr.Web CureIt! находит эти dll файлы и UNLOCKER не понадобится, но при этом надо каспера отключать на время проверки, иначе ничего не найдёт (но на всякий случай лучше проверять еще и самому)
3) Проверка антивирусом Касперский (не ниже 6-й версии, т.к. 5-я уже не катит - проверено) добивает остатки вируса.
P.S.: И на последок, если вы сразу проверяли компьютер на вирусы и вирусов не нашлось, то это абсолютно не значит что на нём нету вирусов и даже скорее всего этот компьютер является разносчиком вируса (убедились в этом не раз). Первые признаки, постоянный вылет ошибки svchost.exe, ошибки может и не быть, но машина которая до этого всегда хорошо работала вдруг стала сильно тормозить и выбивать сеть без всяких причин – это вторая причина…
Все эти действия помогли наладить работу домена и предотвратить дальнейшее распространение данного вируса по серверам домена. Теперь остались рабочие машины с которых вирус на сервера теперь не пробьется. В данный момент занимаемся пользователями… т.к. 6-й Касперский уже не даст распространиться телу вируса на машины где он установлен. (до этого везде стоял 5-й каспер).
Ах да, еще на Windows XP бывает запущено в процессах много rundll32.exe, что является ненормальным, это явное проявление вируса Kido, а так же в Диспетчере задач запущено множество одинаковых заданий rundll32.dll ************ , которые появляются даже при полном удалении всякого заражения с компа, это просто ужас какой-то... откуда что берётся? на компах пробовали закрывать все шары, в том числе и Admin$, что не помогло, и вся эта ерунда сильно нагружает компы... :dry:
[/quote]
Мы уже устали с ним бороться нах.....
-
2Doc18: Подскажите пожалуйста, по вашей подсказке удалил расшаренные ресурсы (диски и админ), после перезагрузки они снова появляются в шаре. Их можно закрыть насовсем???
-
[QUOTE=Незарегистрированный;337549]Их можно закрыть насовсем???[/QUOTE]
Специально в Чаво [URL="http://virusinfo.info/showthread.php?t=12314"]тема есть такая[/URL])
-
2Kuzz: Спасибо! Все аутсорсинговые компутерщики нам ни фига не помогают, уповают на антивири, а kido уже все мозги прогрыз:)
-
В ходе борьбы с этой заразой обозначилась следующая проблема на некоторых копмах в сети.
Попробую описать на примере одного из них.
На компе стоит 6-й каспер. Комп изначально был не пропатчен, но потом все заплатки поставили. Описанных симптомов заражения нет. Антивирусы на нем ничего подозрительного не находят (и курит в сэйв моде, и сам каспер, и avz).
Вроде как все чисто....
На линуховом роутере, к которому подключен этот комп, tcpdump показал такую картину: он в соседнюю мою подсетку отправляет сначала пару ICMP пакетов, потом TCP син на 139 порт, потом на 445.
Удивляет точность попаданий: эти пакеты отправляются аккуратно на IP адреса недавно флудивших этой заразой в сеть компов, которые (само-собой) либо в этот момент в отключке, либо уже пролечены.
В целом это происходит, так сказать, не спешно. Сначало на один IP сунулись, минут через 5 на другой и так далее.
И чего спрашивается этому компу от них надо теперь?...
Может у кого-то имеет место что-то подобное?
К сожалению у нас уже поздно, так что более подробно разбираться буду только завтра.
-
[QUOTE=zvs;337667]В ходе борьбы с этой заразой обозначилась следующая проблема на некоторых копмах в сети.
Попробую описать на примере одного из них.
На компе стоит 6-й каспер. Комп изначально был не пропатчен, но потом все заплатки поставили. Описанных симптомов заражения нет. Антивирусы на нем ничего подозрительного не находят (и курит в сэйв моде, и сам каспер, и avz).
Вроде как все чисто....
На линуховом роутере, к которому подключен этот комп, tcpdump показал такую картину: он в соседнюю мою подсетку отправляет сначала пару ICMP пакетов, потом TCP син на 139 порт, потом на 445.
Удивляет точность попаданий: эти пакеты отправляются аккуратно на IP адреса недавно флудивших этой заразой в сеть компов, которые (само-собой) либо в этот момент в отключке, либо уже пролечены.
В целом это происходит, так сказать, не спешно. Сначало на один IP сунулись, минут через 5 на другой и так далее.
И чего спрашивается этому компу от них надо теперь?...
Может у кого-то имеет место что-то подобное?
К сожалению у нас уже поздно, так что более подробно разбираться буду только завтра.[/QUOTE]В этой теме уже не раз говорилось о том, что описанные симптомы наличия вируса присутствуют не всегда. О том, что было на моём компьютере я писал [URL="http://virusinfo.info/showpost.php?p=335878&postcount=49"]здесь[/URL].
Коротко повторю.
1. Антивирусы (Nod32, Avast, AVZ...) ничего не находили.
2. Никаких дополнительных ключей в реестре не было.
3. Данная .dll не отображалась ни AVZ ни Process Explorer'ом.
Был только странный файл в папке system32, имеющий атрибуты [I]"системный", "скрытый", "архивный" и "только для чтения"[/I], который был полностью заблокирован для любых манипуляций. [B]Я не смог его ни удалить, ни скопировать, даже ЗАГРУЗИВШИСЬ С КОМПАКТ ДИСКА!!![/B]. Воспользовавшись поиском в Process Explorer'е по имени .dll, я обнаружил, что она подгружена к процессу svchost, [B]но в списке используемых .dll она не отображалась[/B].
Исходя из всего описанного, я бы Вам посоветовал, на всякий случай, проверить папку system32. Искать нужно файл с именем *.dll и атрибутом "системный".
Как его удалять, тоже писали не раз:
1. Изменить права доступа у этого файла, после чего удалить анлокером.
[I]либо[/I]
2. выполнить скрипт в AVZ (подставив правильное имя .dll)
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\hwapfqbj.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
-
Столкнулся с этим вирусом.
Панда молчала, даже когда я ей четко указал на файл (тот самый .dll)
Обнаруживается CureIt. Им же и удаляется. После перезагрузки становятся доступны сайты антивирусных компаний. Через некоторое время появляется снова.
Поставил NOD 4 Smart Security Beta.
Он его прибивает при Flood-атаке с других компьютеров сети или при попытке svhost.exe получить к нему доступ (если файл все-таки проник).
Часто ему удается попасть в ...IE5\... (выше был указан точный адрес).
Знаменитая заплатка от МS не помагает, файлу удается попасть на мой компьютер через атаку по http:.
У меня вопрос. Если с компьютера доступны интернет-ресурсы по безопасности (антивирусные компании, вирус инфо и т.п.), означает ли это, что мой компьютер не заражен данным Конфикером. Или иначе, есть ли это обязательным симптомом??
[url]http://tmace.com/images/4joa7s1p9lsxz5tk1kbi.jpg[/url]
Это картинка. Как видно, файл сохраняется во временных файлах с произвольным размером..
-
[QUOTE=Phoenyx;338012]У меня вопрос. Если с компьютера доступны интернет-ресурсы по безопасности (антивирусные компании, вирус инфо и т.п.), означает ли это, что мой компьютер не заражен данным Конфикером. Или иначе, есть ли это обязательным симптомом??[/QUOTE]Ответ есть в сообщении выше. У меня на компьютере никаких проблем не определялось, в т.ч. открывались все сайты.
-
Поделюсь опытом! после лечения каспером бесплатной тулзой, проверил Dr.Web CureIt! он нашёл ещё дополнительно пару копий заразы в System Volume Information, после этого поставил Avast и тот тамже после доктор веба ещё штук 5 нашёл!!!, так что будте бдительны перепроверяйте несколькими антивирями.
а ещё потестите сетку вот этим: [url]http://www.securitylab.ru/analytics/362523.php[/url], не везде с первого раза стали заплатки,
и кстати на вылеченых (вроде) машинах невозможно отобразить скрытые файлы может кто подскажет как боротся?
-
А есть ли 100% лекарство против этого червя? Например, если я поставлю новую винду, можно ли что нить установить, чтоб этот вирус не залез? Этот вирус сидит у нас на серваке в городской сети... Помогите, чем можете?
-
[QUOTE=Незарегистрированный;338987]Поделюсь опытом! после лечения каспером бесплатной тулзой, проверил Dr.Web CureIt! он нашёл ещё дополнительно пару копий заразы в System Volume Information, после этого поставил Avast и тот тамже после доктор веба ещё штук 5 нашёл!!!, так что будте бдительны перепроверяйте несколькими антивирями.
а ещё потестите сетку вот этим: [url]http://www.securitylab.ru/analytics/362523.php[/url], не везде с первого раза стали заплатки,
и кстати на вылеченых (вроде) машинах невозможно отобразить скрытые файлы может кто подскажет как боротся?[/QUOTE]
Отключил все компы от сети, проходил куритом, ставил заплатки, перегружался, снова куритом, снова перегружался, каждый раз находил что-то новенькое под разными именами в следующих местах (полный поиск - много времени): System 32, c:\doc&set, System Volume Inf, c:\prog files\Movie Maker, шары если есть, так до полной чистоты. После этого подключаю в сеть. Каждый день по нескольку машин, но вроде проблем пока нет. Попутно запрет на флешки (DeviceLock), иначе только за дверь, а там довольный пользователь снова втыкает зараженную флешку.
-
[QUOTE=Незарегистрированный;338987] на вылеченых (вроде) машинах невозможно отобразить скрытые файлы может кто подскажет как боротся?[/QUOTE]у меня тоже на всех вылеченных компах не восстанавливается отображение скрытых файлов.
[QUOTE=Dimon777;339062]А есть ли 100% лекарство против этого червя? Например, если я поставлю новую винду, можно ли что нить установить, чтоб этот вирус не залез? Этот вирус сидит у нас на серваке в городской сети... Помогите, чем можете?[/QUOTE]100% гарантии не даст никто. А свести вероятность до минимума можно:
1. Чистая винда.
2. ВСЕ!!! заплатки.
3. Антивирус со свежими базами.
4. фаервол (только не встроенный)
5. Отключить учётную запись админа СОВСЕМ!
6. Отключить учётную запись гостя.
7. Все расшаренные папки открывать только на чтение.
8. Отключить удалённый доступ и удалённого помощника.
9. Отключьть шару ADMIN$ и расшаривание всех дисков.
10. Отключить все ненужные службы.
Пункты 3 и 4 можно объединить, например, поставив KISS. ESS использовать не советую - там фаервол очень глючный (сам сейчас его испытываю - лажа полная).
Тонкая настройка винды - очень обширная тема. По ней много информации есть и на этом сайте. Ищите, читайте, учитесь.
-
Лаборатория Касперского выпустила утилиту [B]KidoKiller[/B] для борьбы с сетевым червем [B]Net-Worm.Win32.Kido[/B], утилита содержит generic-детектирование всех известных модификаций червя.
Алгоритм лечения с помощью данной утилиты описан в данной статье [url]http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215[/url]
-
[QUOTE=Незарегистрированный;338987]кстати на вылеченых (вроде) машинах невозможно отобразить скрытые файлы может кто подскажет как боротся?[/QUOTE]
VirusHunter_utilities первая по порядковому номеру, как раз борется с этим багом
-
Поставил заплатку от майкрософта, осмотр папки system32 ничего не выявил (визуально). Нод32 скан ничего не выявил. Кидокиллер ничего не выявил. Машина работает стабильно, но паникую из-за кол-ва процессов svchot.exe и rundll32.exe, по моему их раньше столько не было, или зря паникую ?
Скрин ниже.
Page generated in 0.01202 seconds with 10 queries