-
[url]http://support.kaspersky.ru/faq/?qid=208636215[/url]
-
[B]Саня Паков[/B], [url]http://www.viruslist.com/ru/alerts?chapter=152434825&discuss=203698715[/url]
Я как раз там бился с Kido.ih, когда на каспере даже описания не было..
Ник тотже, где-то внизу, может будет полезно.
-
[QUOTE=deepray;365110][B]Саня Паков[/B], [url]http://www.viruslist.com/ru/alerts?chapter=152434825&discuss=203698715[/url]
Я как раз там бился с Kido.ih, когда на каспере даже описания не было..
Ник тотже, где-то внизу, может будет полезно.[/QUOTE]
Не думаю, что полезно - там скорее вредные советы.
Удалять всё, что покажется подозрительным - верный путь к переустановке винды с нуля. В очередной раз.
[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]
Мне больше всего понравилась инструкция Микрософт.
[url]http://support.microsoft.com/kb/962007[/url]
Самое толковое описание, как его бить, особенно в ситуации, когда ничто не помогает, и ни CureIt, ни Kidokiller v3.1 червя не видят. К сожалению, уже несколько раз видел такое. При этом добытый вручную экземпляр червя оказывался Kido.ih и всеми детектился. Почему утилиты его не обнаруживали - чесслово, не знаю. Должны были, но не видели.
Единственный момент, который в той статье упущен - очень стоит в начале и в конце лечения проверить отсутствие процессов rundll32.exe, запускающих троянскую dll, и при их наличии прибить все.
-
= Ну, начнём с того, что из 20 машин не упала ни одна!
= Ссылка дана для ознакомления, а не в качестве безукоризненного исполнения. Судя по вопросу - Саня Паков не дебил, разберётся.
= Только попЫ, как им кажется, изгоняют бесов ;) Я же перед принятием решения удалять именно эти файлы принял вовнимание все возможные признаки заражения.
---------
С уважением...
:beer:
------------------
Хорошая статья!, спасибо.
Только для меня поздновато. А эта гадость у меня с конца января поселилась (( когда его и знать незнали... Пришлось самому. А кто новичок в "кидо" )) в самый раз!... пока снова не мутирует...
-
Это слишком зависит от опыта лекаря. Если уж давать советы - рассчитывайте на всех, так вернее.
-
[quote=Alexey P.;365111]Не думаю, что полезно - там скорее вредные советы.
Удалять всё, что покажется подозрительным - верный путь к переустановке винды с нуля. В очередной раз.
[SIZE=1][COLOR=#666686][B][I]Добавлено через 13 минут[/I][/B][/COLOR][/SIZE]
Мне больше всего понравилась инструкция Микрософт.
[URL]http://support.microsoft.com/kb/962007[/URL]
Самое толковое описание, как его бить, особенно в ситуации, когда ничто не помогает, и ни CureIt, ни Kidokiller v3.1 червя не видят. К сожалению, уже несколько раз видел такое. При этом добытый вручную экземпляр червя оказывался Kido.ih и всеми детектился. Почему утилиты его не обнаруживали - чесслово, не знаю. Должны были, но не видели.
Единственный момент, который в той статье упущен - очень стоит в начале и в конце лечения проверить отсутствие процессов rundll32.exe, запускающих троянскую dll, и при их наличии прибить все.[/quote]
Переустановка винды с нуля-это не выход,у меня зараза походу даже на цыфровой камере! AntiAutoran тоже ни чего не дает,я уже перебивал винду,и заразился с диска на котором было музло,который я предварительно записал!
-
Саня Паков,авторан нужно отключить в самой системе, в [B]чаво[/B] есть рег файл для удобства.
-
на днях была такая проблема [url]http://virusinfo.info/showthread.php?t=40843[/url]
Возможны ли сбой в работе сетевого принтера от этой(Kido) заразы?
Признаки - бесконечная распечатка одно и того же файла, с разных компов
-
-
[quote=Hanson;366843]а что печатает?[/quote]
то что я ему посылаю,
останавливаться не хочет
-
[quote=3-man;344649]вирус может спрятаться еще и здеся
"C:\WINXP\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5"[/quote]
[B]3-man[/B] А какие файлы там должны быть а какие нет???!
Блин так говорят про этот кидо что кажется что страшнее него ничего нет!!!!!!!!!
У меня Домашний комп Подкл тока один провод от нета, к другим компам по сети доступного подкл нет, [B]могу ли я заразится из локальных ресурсов с вкл и выкл нетом.[/B] Есть локальный torrents ([url]http://torrents.bks-tv.ru[/url]) , и есть (ftp.bks-tv.ru) Тоесть как и через что[B] Kido[/B] может попасть на комп?!? А если винду переустановить то [B]Kido[/B] исчезает??!!!
-
Здраствуйте,
как можно защитится от атак kido ???
Я обслуживаю много организаций,
и во всех только бухгалтерию (от 1 до 8 компов).
А во всех организациях до 300 компов бывает.
Почти везде этот вирус.
На всех компах моих клиентов стоит NOD v2,
котрый прекрасно отражает все атаки с других компов,
и каждый раз после того как вирус пролезает пришибает его.
Везде настроил чтобы IMON не выскакивал каждый раз...
Заплатки все везде ставлю... (все три) не помогает!
Но дело в том, что сервис "Сервер" после атаки падает,
я в сервисах настроил чтобы он перезагружался,
но из бухгалтерии всеравно все вылетают
(бухгалтерия использует шару на одном из бухгалтерских компов).
Как вариант я отделяю сетку бухгалтерии от общей сети
(сменой ип-диапазона или физически),
но это возможно не везде.
Фаирволом я тоже не могу настроить правило на svhost.exe,
)-: фарволы считают его системным м не дают с ним че либо делать.
-
[QUOTE=ZiBnv;370909]Здраствуйте,
как можно защитится от атак kido ???
Я обслуживаю много организаций,
и во всех только бухгалтерию (от 1 до 8 компов).
А во всех организациях до 300 компов бывает.
Почти везде этот вирус.[/QUOTE]
Если вы в Москве, то прочтите вот это: [url]http://virusinfo.info/showthread.php?t=41602[/url]
-
[QUOTE=DVi;370913]Если вы в Москве, то прочтите вот это: [url]http://virusinfo.info/showthread.php?t=41602[/url][/QUOTE]
Нет, я в сибири
-
[quote=ZiBnv;370909]Здраствуйте,
как можно защитится от атак kido ???
[/quote]
Пароли на администратора компьютера более надёжные ставить, ну и где возможно акаунты по умолчанию только ограниченного пользователя, тогда банально прав у червя не будет окопаться.
Ну зачем бугалтерам права админа? - не понимаю :)
P.S. Nod второй версии морально устарел.
-
[QUOTE=drongo;370988]Пароли на администратора компьютера более надёжные ставить, ну и где возможно акаунты по умолчанию только ограниченного пользователя, тогда банально прав у червя не будет окопаться.
Ну зачем бугалтерам права админа? - не понимаю :)
P.S. Nod второй версии морально устарел.[/QUOTE]
Под ограниченным пользователем программа на FoxPro8 не работает корректно (ODBC и т.п. - да просто нет прав изменения файлов).
Да и причем тут это???
svhost.exe - процес системный, неважно какой там пользователь.
Тем более на сервере бухгалтерской программы обычно вообще никто не работает.
Окопаться-то червь и так не может, как защитится от атак???
-
[QUOTE=ZiBnv;370919]Нет, я в сибири[/QUOTE]
Тогда могу предложить прочитать это: [url]http://www.secureblog.info/articles/439.html[/url]
-
[QUOTE=DVi;371181]Тогда могу предложить прочитать это: [url]http://www.secureblog.info/articles/439.html[/url][/QUOTE]
А че не по русски?
А касперского только 3.3 версия лежит.
-
[QUOTE=ZiBnv;370909]Здраствуйте,
как можно защитится от атак kido ???
Я обслуживаю много организаций,
и во всех только бухгалтерию (от 1 до 8 компов).
А во всех организациях до 300 компов бывает.
Почти везде этот вирус.
На всех компах моих клиентов стоит NOD v2,
котрый прекрасно отражает все атаки с других компов,
и каждый раз после того как вирус пролезает пришибает его.
Везде настроил чтобы IMON не выскакивал каждый раз...
Заплатки все везде ставлю... (все три) не помогает!
Но дело в том, что сервис "Сервер" после атаки падает,
я в сервисах настроил чтобы он перезагружался,
но из бухгалтерии всеравно все вылетают
(бухгалтерия использует шару на одном из бухгалтерских компов).
Как вариант я отделяю сетку бухгалтерии от общей сети
(сменой ип-диапазона или физически),
но это возможно не везде.
Фаирволом я тоже не могу настроить правило на svhost.exe,
)-: фарволы считают его системным м не дают с ним че либо делать.[/QUOTE]
Как доп. информационная мера... Поставьте еще на одну из машин RA сервер и консоль (если клиенты на 2.7, то достаточно сервер 1.15), подключите все ваши клиентские машины через настройки удаленного управления к серверу для передачи логов.... через консоль будете видеть с каких машин -айпишников идет атака на ваши компьютеры). можно создать отчеты и выслать в почту руководителям и администраторам (если есть такие) данной сети.
-
[QUOTE=santy;371784]Как доп. информационная мера... Поставьте еще на одну из машин RA сервер и консоль (если клиенты на 2.7, то достаточно сервер 1.15), подключите все ваши клиентские машины через настройки удаленного управления к серверу для передачи логов.... через консоль будете видеть с каких машин -айпишников идет атака на ваши компьютеры). можно создать отчеты и выслать в почту руководителям и администраторам (если есть такие) данной сети.[/QUOTE]
Это уже сделано, причем еще в феврале - эффекта нуль.
Я не достучусь до админов, пока все нормально они и палец о палец
не ударят. То что у них в локалке вирус они знают.
Но не работает веть только бухгалтерия - это проблемы
дилера программы - а это я.
Мне всего лиш нужен способ, чтобы svhost.exe не вылетал при атаках
на одном из компов (сервере бухгалерии).
Может есть какой файрвол, чтобы он мог блокировать этот сервис
и разрешать его только определенным ip???
Page generated in 0.00382 seconds with 10 queries