-
Ну вы наверное мало случаев встречали, где и Нод, Симантек, Доктор Веб и весь мир бессилен...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Незарегистрированный
Guest
эу, так что Нод можно и не ставить? не бомбит? или все ж если от 9го числа , то да?
последний пост такой апокалиптический...
-
-
Нашли два метода борьбы с этой гадостью:
1. Снять винт и проверить его касперским на другой машине.
2. Найти в папке windous\system32 файл размером 164746 кб и удалить его, опять таки на другой машине.
Желательно сделать эти действия на всех машинах одновременно и уж потом вкл. их в сеть. Обязательно установить фаервол.
Это все опыть четырех дней борьбы
-
-
Junior Member
- Вес репутации
- 56
У нас Касперский Work Station 6.0.3.837 ловит и отражает атаки.
Кстати, снятие жесткого диска ничего не дало.
-
Сообщение от
МИ_ХАСЬ
Касательно Dr.Web v.4.44 с базами от 11 января его ловит но не всегда прибивает, но к сожалению он продолжает поражать компы с этим антивирусом.
Это не соответствует действительности. Dr.Web обнаруживает данный вирус и лечит от него систему.
Если компьютеры подключены к локальной сети, необходимо перед лечением отключить все компьютеры от локальной сети и подключать их постепенно после лечения.
Оно пошто поди понятно, оно и правильно, а случись-тко что-нибудь - вот те и пожалуйста...
-
-
Незарегистрированный
Guest
а какой именно версии у вас Др.Веб прибил это Кидо?
а подключение к интернету этот зверек тоже может глючить?
-
-
Junior Member
- Вес репутации
- 56
Сообщение от
ValeryLedovskoy
Это не соответствует действительности. Dr.Web обнаруживает данный вирус и лечит от него систему.
Если компьютеры подключены к локальной сети, необходимо перед лечением отключить все компьютеры от локальной сети и подключать их постепенно после лечения.
Не хочу отрицать, да Dr.Web дейтствительно лечит систему, спору нет. Однако версия Dr.Web 4.44 к величайшему сожалению не отслеживает текущее заражение, не мониторит сетевые обращения (указанного выше зловреда) и не отражает их. А следовательно не выполняет основной своей задачи, обчеспечения работоспособности вычислительной системы, простои которой ведут к немалым затратам. Представьте себе сеть из N персоналок. За каждым компом сидит человек. Этот человек получает зарплату, таким образом получаем немалые потери. И руководство организации заинтересовано чтоб техника работала. А все остальное - полемика.Дальше думаю продолжать нет смысла.
Так вот, NOD и Symantec позволяют продолжать работать системе. И позволяют отследить что где сидит , и оперативно реагировать на эти "звоночки". Если Dr.Web будет позволять то же - буду только рад.
-
Сообщение от
МИ_ХАСЬ
Не хочу отрицать, да Dr.Web дейтствительно лечит систему, спору нет. Однако версия Dr.Web 4.44 к величайшему сожалению не отслеживает текущее заражение, не мониторит сетевые обращения (указанного выше зловреда) и не отражает их. А следовательно не выполняет основной своей задачи, обчеспечения работоспособности вычислительной системы, простои которой ведут к немалым затратам.
какие еще сетевые обращения? это задача файервола. лечить этот вирус в сети любым антивирусом (именно ав) не пропатча (как минимум тремя патчами) машины мало эффективно. пока одну пролечишь с другой уже приползет опять через дыру.
-
-
Незарегистрированный
Guest
Сообщение от
devon
лечить этот вирус в сети любым антивирусом (именно ав) не пропатча (как минимум тремя патчами) машины мало эффективно. пока одну пролечишь с другой уже приползет опять через дыру.
на машины с Windows XP SP3 и со всеми обновлениями Net-Worm.Win32.Kido.bt всё равно лезет
-
-
Незарегистрированный
Guest
:(
Сообщение от
Гриша
весь мир бессилен...
Подхватил этот вирус через флешку( проблема еще у меня вот какя - почемуто скрытые папки перестали отображатся, через меню "СЕРВИС" в папках непомогает... ставлю галочку ОТОБРАЖАТЬ СКРЫТЫЕ ПАПКИ - ПРИНЯТЬ - ОК, а они всеравно скрытые, и даже в БЕЗОПАСНОМ РЕЖИМЕ... У вас тоже так или вирус модернизировали?
-
-
-
-
Незарегистрированный
Guest
Сообщение от
Гриша
Уважаемый...у нас например в конторе около 60 компов,и все разные и sp3 и sp2 и со всеми обновлениями,и все равно все заражены и атаки идут каждые 15-40 мин.И заплатки от Майкрасофта,это все фигня не помогают.
-
-
Сообщение от
Незарегистрированный
на машины с Windows XP SP3 и со всеми обновлениями Net-Worm.Win32.Kido.bt всё равно лезет
заплатки это не все. обязательно нужно сменить пароли на админские учетные записи сделать их не тривиальными (не 12345, root и т.п.), вирус подбирает их по словарю, наиболее простые (в большинстве случаев как видно хватает). тут заплатками не закрыть. либо отключайте скрытые админские шары ADMIN$/IPC$ на всех машинах.
-
-
обращаться к ресурсу по его IP-адресу (216.246.90.119)
шас автор продукта подправит 2 строчки и будет резольвить ИП, тогда пупец настанет
-
Junior Member
- Вес репутации
- 56
Всем привет, может кому-нибудь поможет наш алгоритм борьбы
имеется
Net-Worm.Win32.Kido.em
1.ставим заплатки от майкрософта о которых здесь неоднократно говорилось
2.берём выкачиваем и ставим http://ccollomb.free.fr/unlocker/
3.после этого находим в %systemroot%/system32 файл размера 161612 это хиден dll с произвольным именем
4.клацаем на нем правой кнопкой и выбираем unlock
5.выбираем опцию unlock (разблокировать), кстати за компанию становится видно от какого он процесса
6.тут же по правой кнопке вгоняем этот файл в пасть касперу
7. следует экстренное лечение памяти с перезагрузкой.
8. проверка критической области сразу после перезагрузки компьютера дочищает остатки от вируса в темпах
Каспер 6.0.3.837 b.c.d.e
надеюсь кому-нибудь поможет (сами 2 недели лечились безуспешно - всё равно игнорируя заплатки ЕМ лазит по сети и заново внедряется, у него немного другой механизм регистрации и маскировки, но очень похож на kido.tm)
p.s. khersonec спасибо за наводку про размер вирусного файла, до этого мы не могли его поймать.
-
Незарегистрированный
Guest
:(
Сообщение от
Siam
3.после этого находим в %systemroot%/system32 файл размера 161612 это хиден dll с произвольным именем
у меня ненашло фаила с таким размером, но много фаилов с размером 1616, что делать?
-
-
Junior Member
- Вес репутации
- 56
Как я определил рамер:
у нас в корневых каталогах дисков появился каталог recycler\бла-бла-бла\(набор бковок).vmx
Конкретно у нас
вирус Net-Worm.Win32.Kido.em
Файл: G:\RECYCLER\2312312-31231231-321312\jwgkvsq.vmx
На нем мы посмотрели размер.
И потом по размеру стали искать dll в system32
Размер зависит от версии гадости
Причем каспер не смог удалить и вот этот jwgkvsq.vmx
-
Junior Member
- Вес репутации
- 56
Сообщение от
devon
какие еще сетевые обращения? это задача файервола. лечить этот вирус в сети любым антивирусом (именно ав) не пропатча (как минимум тремя патчами) машины мало эффективно. пока одну пролечишь с другой уже приползет опять через дыру.
а вы уважаемый на инфицырованной машине в режиме командной строки выполните команду netstat -a, посмотрите листинг а потом посмотрите что вы в посте написали, может ваше мнение несколько изменится.
Если поделитесь номерами заплаток буду признателен. Про KB958644 можно не писать, его уже многораз помянули, однако "Воз и ныне там".
Рекомендую обазательно проверять папку System Volume Information (если не отключено "Восстановление системы"), в ней как показывает практика лежит екземплярчик зловреда, который система успела забекапить. Проблема в том, что по умолчанию сия папочка имеет разрешения на доступ лишь от System. Надо добавить разрешение полного доступа от текушей учетки, после чего проверить папку антивирусом и прибить паршивца.
-
Ура
У меня была модификация Kido.BW
Это полный пипец ))
В сети 250 машин. Больше суток мучались - пришлось всё же все отключать от сети (в т.ч. серваки), каждый лечить с помощью заплатки мелкософта + KLWK утилитки от Каспера - и только тогда обратно пускать в сеть с двумя перезагрузками...
http://www.life.ru/news/53165
-
-
Junior Member
- Вес репутации
- 56
Сообщение от
KonSer
...... каждый лечить с помощью заплатки мелкософта ...
подскажите какие заплатки ставили?