Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Саня Паков, http://www.viruslist.com/ru/alerts?c...cuss=203698715
Я как раз там бился с Kido.ih, когда на каспере даже описания не было..
Ник тотже, где-то внизу, может будет полезно.
Не думаю, что полезно - там скорее вредные советы.Сообщение от deepray
Удалять всё, что покажется подозрительным - верный путь к переустановке винды с нуля. В очередной раз.
Добавлено через 13 минут
Мне больше всего понравилась инструкция Микрософт.
http://support.microsoft.com/kb/962007
Самое толковое описание, как его бить, особенно в ситуации, когда ничто не помогает, и ни CureIt, ни Kidokiller v3.1 червя не видят. К сожалению, уже несколько раз видел такое. При этом добытый вручную экземпляр червя оказывался Kido.ih и всеми детектился. Почему утилиты его не обнаруживали - чесслово, не знаю. Должны были, но не видели.
Единственный момент, который в той статье упущен - очень стоит в начале и в конце лечения проверить отсутствие процессов rundll32.exe, запускающих троянскую dll, и при их наличии прибить все.
Последний раз редактировалось Alexey P.; 03.03.2009 в 02:48. Причина: Добавлено
= Ну, начнём с того, что из 20 машин не упала ни одна!
= Ссылка дана для ознакомления, а не в качестве безукоризненного исполнения. Судя по вопросу - Саня Паков не дебил, разберётся.
= Только попЫ, как им кажется, изгоняют бесовЯ же перед принятием решения удалять именно эти файлы принял вовнимание все возможные признаки заражения.
---------
С уважением...
------------------
Хорошая статья!, спасибо.
Только для меня поздновато. А эта гадость у меня с конца января поселилась (( когда его и знать незнали... Пришлось самому. А кто новичок в "кидо" )) в самый раз!... пока снова не мутирует...
Последний раз редактировалось deepray; 03.03.2009 в 03:05.
Это слишком зависит от опыта лекаря. Если уж давать советы - рассчитывайте на всех, так вернее.
Переустановка винды с нуля-это не выход,у меня зараза походу даже на цыфровой камере! AntiAutoran тоже ни чего не дает,я уже перебивал винду,и заразился с диска на котором было музло,который я предварительно записал!
Саня Паков,авторан нужно отключить в самой системе, в чаво есть рег файл для удобства.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
на днях была такая проблема http://virusinfo.info/showthread.php?t=40843
Возможны ли сбой в работе сетевого принтера от этой(Kido) заразы?
Признаки - бесконечная распечатка одно и того же файла, с разных компов
а что печатает?
то что я ему посылаю,
останавливаться не хочет
3-man А какие файлы там должны быть а какие нет???!
Блин так говорят про этот кидо что кажется что страшнее него ничего нет!!!!!!!!!
У меня Домашний комп Подкл тока один провод от нета, к другим компам по сети доступного подкл нет, могу ли я заразится из локальных ресурсов с вкл и выкл нетом. Есть локальный torrents (http://torrents.bks-tv.ru) , и есть (ftp.bks-tv.ru) Тоесть как и через что Kido может попасть на комп?!? А если винду переустановить то Kido исчезает??!!!
Последний раз редактировалось zhelezyaka; 13.03.2009 в 13:03.
И Тишина......
Здраствуйте,
как можно защитится от атак kido ???
Я обслуживаю много организаций,
и во всех только бухгалтерию (от 1 до 8 компов).
А во всех организациях до 300 компов бывает.
Почти везде этот вирус.
На всех компах моих клиентов стоит NOD v2,
котрый прекрасно отражает все атаки с других компов,
и каждый раз после того как вирус пролезает пришибает его.
Везде настроил чтобы IMON не выскакивал каждый раз...
Заплатки все везде ставлю... (все три) не помогает!
Но дело в том, что сервис "Сервер" после атаки падает,
я в сервисах настроил чтобы он перезагружался,
но из бухгалтерии всеравно все вылетают
(бухгалтерия использует шару на одном из бухгалтерских компов).
Как вариант я отделяю сетку бухгалтерии от общей сети
(сменой ип-диапазона или физически),
но это возможно не везде.
Фаирволом я тоже не могу настроить правило на svhost.exe,
)-: фарволы считают его системным м не дают с ним че либо делать.
Если вы в Москве, то прочтите вот это: http://virusinfo.info/showthread.php?t=41602
Нет, я в сибири
Пароли на администратора компьютера более надёжные ставить, ну и где возможно акаунты по умолчанию только ограниченного пользователя, тогда банально прав у червя не будет окопаться.
Ну зачем бугалтерам права админа? - не понимаю
P.S. Nod второй версии морально устарел.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Под ограниченным пользователем программа на FoxPro8 не работает корректно (ODBC и т.п. - да просто нет прав изменения файлов).Пароли на администратора компьютера более надёжные ставить, ну и где возможно акаунты по умолчанию только ограниченного пользователя, тогда банально прав у червя не будет окопаться.
Ну зачем бугалтерам права админа? - не понимаю
P.S. Nod второй версии морально устарел.
Да и причем тут это???
svhost.exe - процес системный, неважно какой там пользователь.
Тем более на сервере бухгалтерской программы обычно вообще никто не работает.
Окопаться-то червь и так не может, как защитится от атак???
Тогда могу предложить прочитать это: http://www.secureblog.info/articles/439.html
А че не по русски?
А касперского только 3.3 версия лежит.
Как доп. информационная мера... Поставьте еще на одну из машин RA сервер и консоль (если клиенты на 2.7, то достаточно сервер 1.15), подключите все ваши клиентские машины через настройки удаленного управления к серверу для передачи логов.... через консоль будете видеть с каких машин -айпишников идет атака на ваши компьютеры). можно создать отчеты и выслать в почту руководителям и администраторам (если есть такие) данной сети.
Это уже сделано, причем еще в феврале - эффекта нуль.
Я не достучусь до админов, пока все нормально они и палец о палец
не ударят. То что у них в локалке вирус они знают.
Но не работает веть только бухгалтерия - это проблемы
дилера программы - а это я.
Мне всего лиш нужен способ, чтобы svhost.exe не вылетал при атаках
на одном из компов (сервере бухгалерии).
Может есть какой файрвол, чтобы он мог блокировать этот сервис
и разрешать его только определенным ip???
Ваши права в разделе
