Здравствуйте! В сети появилась по признакам одна из разновидностей этого вируса. На эту страницу попасть не мог, касперский не обнаруживал ничего, outpost firewall постоянно регистрировал исходящие и входящие пакеты по сети через службу netbios.
А главный признак наличия какой то заразы - это после удаления autorun.inf и папки RECYCLER с флешки, а затем её подключения, файлы снова появлялись. Причём дело было только с флешкой, жесткий были без autorun.inf
Занялся самолечением =)
1. Сначала сделал поиск в реестре по названию файла, лежащего в RECYCLER\S-...\ и удалил эти ключи
2. Нашел скрытую .dll в \system32: это можно сделать либо FAR'ом и найти единственную скрытую dll либо средствами windows
3. Используя ProcessExplorer я нашел процесс, котрый использовал эту dll - это был svchost.exe. Она была единственным файлом с полным путём и расширением.
4. С помощью этого же ProcessExplorer отключил использование этой dll
5. Выставил права на вкладке Безопасность для нее (dll) в system32
6. Удалил её
7. Запустил CCleaner и произвел поиск и устранение ошибок в реестре
8. Перезагрузился.
В итоге исходящих пакетов в подсеть не стало, autorun.inf на флеху писать перестал. Для предупреждения проблемы поставил WindowsXP-KB958644-x86-RUS.
После этого запускал klwk и windows-kb890830-v2.6.exe - наличие:0
Возможно причина CCleaner, но ни левой службы, ни задания в реестре не обнаружено (разрешения высставлены).
Кроме того запускал f-downadup (подозрительная утилита). В конце-концов через час после празднования проблемы, обнаружил, что у меня стали открыты udp порты диапазоном длины около 650.
CureIT сегодняшний ничего не обнаружил. Лишние udp потры не открылись после перезагрузки.
Остался вопрос, вредны ли и как бороться с входящими пакетами, которые вливают мне через Netbios_ns по 50-60 Кбайт. Полностью поставить фаервол на блокирование не могу, т.к. раздаю файлы по сети
Последний раз редактировалось rNix; 21.01.2009 в 03:34.
2Doc18: Подскажите пожалуйста, по вашей подсказке удалил расшаренные ресурсы (диски и админ), после перезагрузки они снова появляются в шаре. Их можно закрыть насовсем???
Специально в Чаво тема есть такая)
The worst foe lies within the self...
2Kuzz: Спасибо! Все аутсорсинговые компутерщики нам ни фига не помогают, уповают на антивири, а kido уже все мозги прогрыз
В ходе борьбы с этой заразой обозначилась следующая проблема на некоторых копмах в сети.
Попробую описать на примере одного из них.
На компе стоит 6-й каспер. Комп изначально был не пропатчен, но потом все заплатки поставили. Описанных симптомов заражения нет. Антивирусы на нем ничего подозрительного не находят (и курит в сэйв моде, и сам каспер, и avz).
Вроде как все чисто....
На линуховом роутере, к которому подключен этот комп, tcpdump показал такую картину: он в соседнюю мою подсетку отправляет сначала пару ICMP пакетов, потом TCP син на 139 порт, потом на 445.
Удивляет точность попаданий: эти пакеты отправляются аккуратно на IP адреса недавно флудивших этой заразой в сеть компов, которые (само-собой) либо в этот момент в отключке, либо уже пролечены.
В целом это происходит, так сказать, не спешно. Сначало на один IP сунулись, минут через 5 на другой и так далее.
И чего спрашивается этому компу от них надо теперь?...
Может у кого-то имеет место что-то подобное?
К сожалению у нас уже поздно, так что более подробно разбираться буду только завтра.
В этой теме уже не раз говорилось о том, что описанные симптомы наличия вируса присутствуют не всегда. О том, что было на моём компьютере я писал здесь.
Коротко повторю.
1. Антивирусы (Nod32, Avast, AVZ...) ничего не находили.
2. Никаких дополнительных ключей в реестре не было.
3. Данная .dll не отображалась ни AVZ ни Process Explorer'ом.
Был только странный файл в папке system32, имеющий атрибуты "системный", "скрытый", "архивный" и "только для чтения", который был полностью заблокирован для любых манипуляций. Я не смог его ни удалить, ни скопировать, даже ЗАГРУЗИВШИСЬ С КОМПАКТ ДИСКА!!!. Воспользовавшись поиском в Process Explorer'е по имени .dll, я обнаружил, что она подгружена к процессу svchost, но в списке используемых .dll она не отображалась.
Исходя из всего описанного, я бы Вам посоветовал, на всякий случай, проверить папку system32. Искать нужно файл с именем *.dll и атрибутом "системный".
Как его удалять, тоже писали не раз:
1. Изменить права доступа у этого файла, после чего удалить анлокером.
либо
2. выполнить скрипт в AVZ (подставив правильное имя .dll)
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('c:\windows\system32\hwapfqbj.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Столкнулся с этим вирусом.
Панда молчала, даже когда я ей четко указал на файл (тот самый .dll)
Обнаруживается CureIt. Им же и удаляется. После перезагрузки становятся доступны сайты антивирусных компаний. Через некоторое время появляется снова.
Поставил NOD 4 Smart Security Beta.
Он его прибивает при Flood-атаке с других компьютеров сети или при попытке svhost.exe получить к нему доступ (если файл все-таки проник).
Часто ему удается попасть в ...IE5\... (выше был указан точный адрес).
Знаменитая заплатка от МS не помагает, файлу удается попасть на мой компьютер через атаку по http:.
У меня вопрос. Если с компьютера доступны интернет-ресурсы по безопасности (антивирусные компании, вирус инфо и т.п.), означает ли это, что мой компьютер не заражен данным Конфикером. Или иначе, есть ли это обязательным симптомом??
http://tmace.com/images/4joa7s1p9lsxz5tk1kbi.jpg
Это картинка. Как видно, файл сохраняется во временных файлах с произвольным размером..
Последний раз редактировалось Phoenyx; 22.01.2009 в 12:25. Причина: добавлено изображение
Поделюсь опытом! после лечения каспером бесплатной тулзой, проверил Dr.Web CureIt! он нашёл ещё дополнительно пару копий заразы в System Volume Information, после этого поставил Avast и тот тамже после доктор веба ещё штук 5 нашёл!!!, так что будте бдительны перепроверяйте несколькими антивирями.
а ещё потестите сетку вот этим: http://www.securitylab.ru/analytics/362523.php, не везде с первого раза стали заплатки,
и кстати на вылеченых (вроде) машинах невозможно отобразить скрытые файлы может кто подскажет как боротся?
А есть ли 100% лекарство против этого червя? Например, если я поставлю новую винду, можно ли что нить установить, чтоб этот вирус не залез? Этот вирус сидит у нас на серваке в городской сети... Помогите, чем можете?
Отключил все компы от сети, проходил куритом, ставил заплатки, перегружался, снова куритом, снова перегружался, каждый раз находил что-то новенькое под разными именами в следующих местах (полный поиск - много времени): System 32, c:\doc&set, System Volume Inf, c:\prog files\Movie Maker, шары если есть, так до полной чистоты. После этого подключаю в сеть. Каждый день по нескольку машин, но вроде проблем пока нет. Попутно запрет на флешки (DeviceLock), иначе только за дверь, а там довольный пользователь снова втыкает зараженную флешку.
у меня тоже на всех вылеченных компах не восстанавливается отображение скрытых файлов.
100% гарантии не даст никто. А свести вероятность до минимума можно:
1. Чистая винда.
2. ВСЕ!!! заплатки.
3. Антивирус со свежими базами.
4. фаервол (только не встроенный)
5. Отключить учётную запись админа СОВСЕМ!
6. Отключить учётную запись гостя.
7. Все расшаренные папки открывать только на чтение.
8. Отключить удалённый доступ и удалённого помощника.
9. Отключьть шару ADMIN$ и расшаривание всех дисков.
10. Отключить все ненужные службы.
Пункты 3 и 4 можно объединить, например, поставив KISS. ESS использовать не советую - там фаервол очень глючный (сам сейчас его испытываю - лажа полная).
Тонкая настройка винды - очень обширная тема. По ней много информации есть и на этом сайте. Ищите, читайте, учитесь.
Лаборатория Касперского выпустила утилиту KidoKiller для борьбы с сетевым червем Net-Worm.Win32.Kido, утилита содержит generic-детектирование всех известных модификаций червя.
Алгоритм лечения с помощью данной утилиты описан в данной статье http://www.kaspersky.ru/support/wks6...?qid=208636215
Поставил заплатку от майкрософта, осмотр папки system32 ничего не выявил (визуально). Нод32 скан ничего не выявил. Кидокиллер ничего не выявил. Машина работает стабильно, но паникую из-за кол-ва процессов svchot.exe и rundll32.exe, по моему их раньше столько не было, или зря паникую ?
Скрин ниже.
Последний раз редактировалось koksinator; 23.03.2009 в 03:24.