Можно попробовать отключить автозапуск флешек, вставить и отформатировать. Или вставлять, удерживая шифт. не уверен, что это поможет, но попробовать стоит.Сообщение от edgar90123
Можно попробовать отключить автозапуск флешек, вставить и отформатировать. Или вставлять, удерживая шифт. не уверен, что это поможет, но попробовать стоит.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
А можно попробовать удалить утилитой IceSword - у меня она успешно удалила вирус кидо из корзины на жестком диске, в то время как каспер, веб, unlocker, avz никак не могли справиться, файл все время был заблокирован.
Doc18, авторан с флешки удалил? Может, он и не даёт открыть... Можно ручками - через винрар )) Надеюсь, он у тя есть...
Открой любой архив в винраре (или открой сам Винрар через Пуск - Программы) и уже в самом винраре поднимайся наверх до "Мой комп". Там открой флешку и удали авторан. Если это, конечно, он виновен...
Для всех и каждого: в данной теме обсуждаются проблемы Кидо и его разновидностей. Все остальное, как злостный оффтопик, будет удаляться.
Для лечения от различных болячек просим обращаться в "Помогите!"
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
По-моему, вы ошиблись адресатом. Эта проблема не у меня.Doc18, авторан с флешки удалил? Может, он и не даёт открыть... Можно ручками - через винрар )) Надеюсь, он у тя есть...
Открой любой архив в винраре (или открой сам Винрар через Пуск - Программы) и уже в самом винраре поднимайся наверх до "Мой комп". Там открой флешку и удали авторан. Если это, конечно, он виновен...Возможно, я не прав... НО!!! Описанная edgar90123 проблема возникла именно в результате удаления одной из частей кидо....
Я не вполне понимаю, где находится грань между тем, что должно обсуждаться в этой теме и тем, что за её пределами.
edgar90123 - необходимо обратиться в "Помогите". В этой теме мы не помогаем с лечением, а информируем о текущей ситуации с Kido.
А грань - модераторы укажут, в случае чего.
Тоже пара капель о киде:
Наболевшая проблема слегка модифицировалась и скорее всего, с возможностью "бесплатного обновления" ) Бьюсь четвёртый день и ощутимых результатов нету ) Начал с "формат Ц" и потом всё переустановил, переобновил (XP SP3) и перезаплАтил. После перезагрузки "Найдено новое оборудование", в списке устройств "неизвестное устройство" и в трэйе мелькнул значёк обновления, после чего доступ на анивирусные сайты и форумы "таво"... стоит КАВ 7 и даже не тявкнул, ни одна ремов.утилита ничего не находит...
Очищены все временные папки,закрыты все службы, шары и доступы анонимных пользователей и рабочих столов, обещаный скрытый dll в system32 не находится, зная примерный вес dll, в AVZ, в поиске файлов, указал диапазон 160000-170000 байт и вылез вполне дружелюбный файл C:\WINDOWS\system32\msdtcuiu.dll , НО созданый 16.02. 2009. вес 161172 байт
После запуска Downadup.exe следующие системные события:
0:52:00 Процесс SVCHOST.EXE запущен services.exe и
0:52:00 Командная строка: C:\WINDOWS\System32\svchost.exe -k netsvcs
С помощью AVZ netsvcs откопался теперь в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs\
и кучи ключей типа
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\A ppMgmt\ImagePath = %SystemRoot%\system32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\A udioSrv\ImagePath = %SystemRoot%\System32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\B ITS\ImagePath = %SystemRoot%\system32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\B rowser\ImagePath = %SystemRoot%\system32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\C ryptSvc\ImagePath = %SystemRoot%\system32\svchost.exe -k netsvcs
продолжаю рыть, но надолго меня не хватит ))
Совет тем кто не может вычислить kido в большой сети с доменом:
1) Заходим в управление компьютером
2) смотрим логи system там появляются events SAM 12294? обращаем внимание на время события
3) заходим в лог Security ссылаемся на время System log там можем увидеть запси типа success audit и failure audit , последние записи самые важные, бывает что они проскакивают в единичных случаях, но когда они не прекращаются просматриваем события лога...в которых можно увидеть с какого адреса пытались авторизоваться и с какой учетно записи. Можно увидеть к каким учетным записям перебираются пароли, соответственно они и блокируются...и все с одного IP
4) выбираем IP Компов с которых чаще был Failure audit , проеряем их кидокиллером, по логам ниразу не промахнулись, на каждом комьютере был вылечен вирус! В последующем эти компьютеры не попадались
Думаю это будет полезным в большой сети!
Обнаружена новая версия червя Downadup
http://www.lenta.ru/news/2009/02/20/conficker/
http://mtc.sri.com/Conficker/
скорее всего эта версия у меня и живёт...
при удалении HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs\ сразу же удаляются все сетевые соединения, а при просмотре "служб" - исполняемый файл в свойствах служб числится C:\WINDOWS\system32\svchost.exe -k netsvcs
p.s. хочется пожелать создателям курс ректальной интервенции© у неопытного проктолога...
extension to the netapi32.dll patch and the new named pipe backdoor
а если восстановить dll с дистрибутива.
Сегодня воспользовался восстановлением с дистрибутива, AVZ сразу же обнаружила кучу подозрительных файлов, а вот КАВ после обновления выдал:
21.02.2009 20:15:39 Файл: C:\WINDOWS\system32\ не обработан исключен из проверки ....
100% решения по-прежнему нет или есть? ))
p.s. рубятся попытки переустановки Касперского и не загружаются файлы контроля сетевых процессов файеруолов...
Последний раз редактировалось Kidofinder; 22.02.2009 в 07:40.
Эта новая версия изначально детектилась.
По Dr.Web Win32.HLLW.Shadow.based, по Касперскому Net-Worm.Win32.Kido.ih. И убивается она CureIt или kidokiller v3.1.
Версия которую Вы назвали не патчила netapi32.dll, а в http://mtc.sri.com/Conficker/ перечисляются все версии в том числе и новая
Conficker B++
Recently, the Conficker Cabal [15] announced that it has locked all future Conficker A and B domains to prevent their registration and use. Among its impacts, this action effectively prevents blackhat groups associated with Conficker from globally registering future Conficker Internet rendezvous points, preventing them from performing global census or distributing new binary updates to the infected drones (this does not prevent selective DNS poisoning that could be used to target drones within specific zones). However, a new variant of Conficker B has emerged that suggest the malware authors may be seeking new ways to obviate the need for Internet rendezvous points entirely.
Perhaps as one response to the cabal's action, or simply to produce a more efficient push-based updating service, the Conficker authors have released a variant of Conficker B, which significantly upgrades their ability to flash Conficker drones with Win32 binaries from any address on the Internet. Here, we refer to this variant as Conficker B++, as without direct knowledge of these new features added to this binary variant, it will appear to operate and interact with the Internet identically to that of Conficker B. However, as we outline in this section, some subtle improvements in B++, which include the ability to accept and validate remotely submitted URLs and Win32 binaries, could signal a significant shift in the strategies used by Conficker's authors to upload and interact with their drones.
Overview of Variant B++
On Feb 16, 2009, we received a new variant of Conficker. At a quick glance, this variant resembles Conficker B. In particular, it is distributed as a Windows DLL file and is packed similarly. Furthermore, dynamic analysis revealed that this domain generation algorithm was identical to that of Conficker B. Hence, we initially dismissed this as another packaging of Conficker B. However, deeper static analysis revealed some interesting differences. Overall, when we performed a comparative binary logic analysis (see Appendix 2 - Horizontal Malware Analysis) comparing Conficker B with Conficker B++, we obtained a similarity score of 86.4%. In particular, we found that out of 297 subroutines in Conficker B, only 3 were modified in Conficker B++ and around 39 new subroutines were added.
The overall logic restructuring and extensions for Conficker B++ are illustrated in Figure 9. Among the changes observed, we found a restructuring of the main function and introduction of two new paths leading to the CreateProcess API. The first path connects "patch_NetpwPathCanonicalize" to "call_create_process" through "download_file_from_url" and "accept_validated_file". The second path involves the addition of "set_name_pipeserver" which also leads to "download_file_from_url".
Figure 9: Paths to CreateProcess -- Conficker B vs Conficker B++ (additions in red)
Extensions to Conficker's netapi32.dll Patch
As is common among malware, Conficker incorporates facilities to close the vulnerability that it exploits once it takes ownership of its victim host. Specifically, Conficker provides an in-memory patch to the RPC vulnerability within the netapi32.dll NetpwPathCanonicalize function. However, while this patch protects the host from arbitrary RPC buffer overflow, it is specially crafted to allow other Conficker hosts to reinfect the victim, possibly as a second back door means by which it can install new binary logic into previously infected hosts. [12]. In Conficker A and B, this pseudo-patch parses incoming RPC requests in search of the standard Conficker shellcode exploit string. When this string is encountered, the Conficker-infected host will pull the designated DLL binary payload from the remote attacker, as specified in the URL embedded within the shellcode. The DLL is loaded using the svchost command, as specified in the shellcode. This process is illustrated in the top panel of Figure 10.
Conficker B++ now extends and simplifies the buffer overflow, allowing a remote agent to provide a URL reference to a digitally signed Win32 exectuable. This Win32 executable is pulled by the Conficker B++ host, its digital signature is validated or rejected (see Binary Download and Validation), and if acceptable the Win32 binary is then directly spawned by the CreateProcess routine. This modification is shown in the bottom panel of Figure 10. Conficker B++ is no longer limited to reinfection by similarly structured Conficker DLLs, but can now be pushed new self-contained Win32 applications. These executables can infiltrate the host using methods that are not detected by the latest anti-Conficker security applications.
ну и т.д.
Добавлено через 2 минуты
Хотя может быть новая версия и удаляется указанными Вами утилитами.
Последний раз редактировалось Oleg; 23.02.2009 в 14:06. Причина: Добавлено
Поставил рекомендуемые заплатки + Outpost с настройками политик по умолчанию (Блокировать Remote Procedure Call (TCP,UDP), Блокировать SMB протокол (TCP,UDP))+пароль на Outpost и все нормально, с локальной сети Win32.HLLW.Shadow.based не лезет вторые сутки.
PS До заплаток лез вовсю не взирая на Outpost.
Последний раз редактировалось AleksGl; 23.02.2009 в 14:49.
Речь идет о "in-memory patch". Сам файл не трогает.
Т.е. пока кидо активен - новая Welchia следом не придет, сделано явно против такого.
Kidokiller деактивирует перехваты в памяти, это видел.
Примерно так:
Infected thread was killed in process with PID 928
Infected thread was killed in process with PID 928
Infected thread was killed in process with PID 928
Infected thread was killed in process with PID 928
Infected thread was killed in process with PID 928
Infected thread was killed in process with PID 928
scanning modules in svchost.exe...
Spliced function NtQueryInformationProcess fixed in ntdll.dll module
Spliced function NetpwPathCanonicalize fixed in netapi32.dll module
Spliced function NtQueryInformationProcess fixed in ntdll.dll module
Spliced function DnsQuery_A fixed in dnsapi.dll module
Spliced function DnsQuery_UTF8 fixed in dnsapi.dll module
Spliced function DnsQuery_W fixed in dnsapi.dll module
Spliced function Query_Main fixed in dnsapi.dll module
scanning modules in services.exe...
scanning modules in explorer.exe...
Последний раз редактировалось Alexey P.; 23.02.2009 в 18:57.
А создание нового сетевого имени "\\.\pipe\System_%s%d"?
Сегодня на одной из машин таки отрыл скрытый файл, только не в System32, а в \Local Settings\Temp
под именем etilqs_pywR2MjqQyvF50poxiuw со всеми необходимыми атрибутами, запускаем unlocker1.8.7 )
Подтверждение моих слов о детекте Conficker B++:
Добавлено через 2 минутыКод:File ncdthvyd.dl received on 02.23.2009 23:02:24 (CET) Current status: finished Result: 35/39 (89.75%) Antivirus Version Last Update Result a-squared 4.0.0.93 2009.02.23 Net-Worm.Win32.Kido!IK AhnLab-V3 2009.2.24.0 2009.02.23 Win32/Conficker.worm.169430 AntiVir 7.9.0.88 2009.02.23 TR/Dropper.Gen Authentium 5.1.0.4 2009.02.23 W32/Conficker!Generic Avast 4.8.1335.0 2009.02.23 Win32:Confi AVG 8.0.0.237 2009.02.23 Worm/Downadup BitDefender 7.2 2009.02.23 Win32.Worm.Downadup.F CAT-QuickHeal 10.00 2009.02.22 Win32.Net-Worm.Kido.ih.3.Pack ClamAV 0.94.1 2009.02.23 Trojan.Dropper-18535 Comodo 983 2009.02.20 - DrWeb 4.44.0.09170 2009.02.23 Win32.HLLW.Shadow.based eSafe 7.0.17.0 2009.02.19 Win32.Conficker.worm eTrust-Vet 31.6.6369 2009.02.23 Win32/Conficker F-Prot 4.4.4.56 2009.02.23 W32/Conficker!Generic F-Secure 8.0.14470.0 2009.02.23 Worm:W32/Downadup.gen!A Fortinet 3.117.0.0 2009.02.23 W32/Conficker.B!worm GData 19 2009.02.23 Win32.Worm.Downadup.F Ikarus T3.1.1.45.0 2009.02.23 Net-Worm.Win32.Kido K7AntiVirus 7.10.639 2009.02.21 Net-Worm.Win32.Downadup.ih Kaspersky 7.0.0.125 2009.02.23 Net-Worm.Win32.Kido.ih McAfee 5534 2009.02.23 W32/Conficker.worm.gen.b McAfee+Artemis 5534 2009.02.23 Generic!Artemis Microsoft 1.4306 2009.02.23 Worm:Win32/Conficker.C NOD32 3882 2009.02.23 a variant of Win32/Conficker.AE Norman 6.00.06 2009.02.23 W32/Conficker.FA nProtect 2009.1.8.0 2009.02.23 - Panda 10.0.0.10 2009.02.23 W32/Conficker.C.worm PCTools 4.4.2.0 2009.02.23 - Prevx1 V2 2009.02.23 High Risk Worm Rising 21.18.02.00 2009.02.23 - SecureWeb-Gateway 6.7.6 2009.02.23 Trojan.Dropper.Gen Sophos 4.39.0 2009.02.23 Mal/Conficker-A Sunbelt 3.2.1855.2 2009.02.17 Worm.Win32.Downad.Gen (v) Symantec 10 2009.02.23 W32.Downadup.B TheHacker 6.3.2.5.263 2009.02.23 W32/Kido.ih TrendMicro 8.700.0.1004 2009.02.23 WORM_DOWNAD.AD VBA32 3.12.10.0 2009.02.22 Worm.Win32.kido.122 ViRobot 2009.2.23.1618 2009.02.23 Worm.Win32.Conficker.169430 VirusBuster 4.5.11.0 2009.02.22 Trojan.Conficker.Gen!Pac Additional information File size: 169430 bytes MD5...: ffae14e35c4173f60243c508be04bf56 SHA1..: 2b2e808f3c71e1492b51d4a425ee036c7086c576 SHA256: bc86d9296f24a1e1991d60bc885308097480d921dc18eb640ed0582ee61b8648 SHA512: d7b8681120542325b8a0b77b03078312d56d6728a80bdc9bf9469565a87bc628 e25ce1bf69f32591edcdda9bba3f9a98bbbfecbe5742a34b303534a049595e9f ssdeep: 3072:1UFwfuWLPFXiL2BID2n4++LPxw+79RcbMedKAhs0dYSRor8zkNpIfn/K6M2 oE3:1UOmMXiLh24b5ndygCYSwZqf/joE3 PEiD..: - TrID..: File type identification UPX compressed Win32 Executable (38.5%) Win32 EXE Yoda's Crypter (33.5%) Win32 Executable Generic (10.7%) Win32 Dynamic Link Library (generic) (9.5%) Clipper DOS Executable (2.5%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1001a010 timedatestamp.....: 0x3c6a0a62 (Wed Feb 13 06:40:34 2002) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x4000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x5000 0x16000 0x15200 7.79 1553f8161bf1f0453e32785c07cee9d0 UPX2 0x1b000 0x1000 0x200 3.73 651cb160e4e846ba0b506b2d182a64e8 ( 7 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree > ADVAPI32.dll: IsValidAcl > GDI32.dll: GdiGetBatchLimit > MSVCRT.dll: free > ole32.dll: CoFileTimeNow > SHELL32.dll: - > USER32.dll: GetDC ( 0 exports ) packers (Avast): UPX packers (Kaspersky): PE_Patch.UPX, UPX Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=EAA69712D6D7DEFB95F902D51247B800D5E980ED' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=EAA69712D6D7DEFB95F902D51247B800D5E980ED</a> packers (F-Prot): UPX packers (Authentium): UPX
Для сомневающихся - прошу обратить внимание на детект
Microsoft 1.4306 2009.02.23 Worm:Win32/Conficker.C
и вот эту статью:
http://blogs.technet.com/mmpc/archiv...tionality.aspx
Последний раз редактировалось Alexey P.; 24.02.2009 в 01:17. Причина: Добавлено
Привет народ,я вижу что нашел здесь бойцов со зверем!!!!!!!!! да у меня тоже эта дрянь Win32 Confiker.AL, так его определял NOD32 с обновленной базой сигнатур, утилита AVPTool - Net worm.Win32.Kido.IH (на которого у Каспера нет обновлений),все они его прибивают,но только копии С:/Document and Settings/NetworkService/LocalSettings/Temporary Internet Files/Content IE5/потом в папке с названием типа DFFHGYTYG/и таким же названием dfgre.gif или *.bmp!,а вот корень никто прибить не может,что делать?
Ваши права в разделе
