Закрытая тема
Страница 4 из 10 Первая 12345678 ... Последняя
Показано с 61 по 80 из 181.

VirusInfo сообщает об эпидемии сетевого червя Net-Worm.Win32.Kido

  1. #61
    Junior Member Репутация
    Регистрация
    20.01.2009
    Сообщений
    5
    Вес репутации
    56
    Цитата Сообщение от RobinFood Посмотреть сообщение
    Наверняка для кого-то эта новость давно устарела, но может быть кому-то и поможет.

    Microsoft выпустил обновление для своего MRT (Malicious Software Removal Tool), которое видит и лечит kido (по крайней мере ту версию, которая гуляет у нас - fw).
    Плюс на сайте Microsoft выложено подробное (хотя и не полное) описание, с детальным алгоритмом ручного удаления.
    HF версия этой ерундой не находится, это модификация предыдущих версий...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #62
    Незарегистрированный
    Guest
    Цитата Сообщение от J-Dragon Посмотреть сообщение
    Аж да, еще на Windows XP бывает запущено в процессах много rundll32.exe, что является ненормальным, это явное проявление вируса Kido, а копия вируса на этих машинах была обнаружена 5-м каспером в \Window\sistem32
    у Вас в "Планировщике заданий" куча "левых" заданий пытающихся стартовать червя. Потрите всё.

  4. #63
    Junior Member Репутация
    Регистрация
    20.01.2009
    Сообщений
    5
    Вес репутации
    56
    Цитата Сообщение от Незарегистрированный Посмотреть сообщение
    у Вас в "Планировщике заданий" куча "левых" заданий пытающихся стартовать червя. Потрите всё.
    Читай пост выше...

    Добавлено через 4 минуты

    Кстати Dr.Web CureIt! находит этот вирус (dll файлы), мы били в шоке...
    Последний раз редактировалось J-Dragon; 20.01.2009 в 19:56. Причина: Добавлено

  5. #64
    Junior Member Репутация
    Регистрация
    21.01.2009
    Сообщений
    1
    Вес репутации
    56
    Здравствуйте! В сети появилась по признакам одна из разновидностей этого вируса. На эту страницу попасть не мог, касперский не обнаруживал ничего, outpost firewall постоянно регистрировал исходящие и входящие пакеты по сети через службу netbios.
    А главный признак наличия какой то заразы - это после удаления autorun.inf и папки RECYCLER с флешки, а затем её подключения, файлы снова появлялись. Причём дело было только с флешкой, жесткий были без autorun.inf

    Занялся самолечением =)
    1. Сначала сделал поиск в реестре по названию файла, лежащего в RECYCLER\S-...\ и удалил эти ключи
    2. Нашел скрытую .dll в \system32: это можно сделать либо FAR'ом и найти единственную скрытую dll либо средствами windows
    3. Используя ProcessExplorer я нашел процесс, котрый использовал эту dll - это был svchost.exe. Она была единственным файлом с полным путём и расширением.
    4. С помощью этого же ProcessExplorer отключил использование этой dll
    5. Выставил права на вкладке Безопасность для нее (dll) в system32
    6. Удалил её
    7. Запустил CCleaner и произвел поиск и устранение ошибок в реестре
    8. Перезагрузился.
    В итоге исходящих пакетов в подсеть не стало, autorun.inf на флеху писать перестал. Для предупреждения проблемы поставил WindowsXP-KB958644-x86-RUS.
    После этого запускал klwk и windows-kb890830-v2.6.exe - наличие:0
    Возможно причина CCleaner, но ни левой службы, ни задания в реестре не обнаружено (разрешения высставлены).

    Кроме того запускал f-downadup (подозрительная утилита). В конце-концов через час после празднования проблемы, обнаружил, что у меня стали открыты udp порты диапазоном длины около 650.
    CureIT сегодняшний ничего не обнаружил. Лишние udp потры не открылись после перезагрузки.

    Остался вопрос, вредны ли и как бороться с входящими пакетами, которые вливают мне через Netbios_ns по 50-60 Кбайт. Полностью поставить фаервол на блокирование не могу, т.к. раздаю файлы по сети
    Последний раз редактировалось rNix; 21.01.2009 в 03:34.

  6. #65
    Nexus
    Guest
    Цитата Сообщение от ACik Посмотреть сообщение
    я скриптом создал вот это: В ветке HKLM\\SYSTEM\\CurrentControlSet\\Services\\LanmanS erver\\Parameters создать параметр AutoShareWks тип DWORD, значение 0. Перезагрузить комп. и в Logon засунул, будем надеятся что катстрировал эту падлу )) во только в ручную чистить 600+ компов не очень

    Добавлено через 45 минут

    кстати, у меня касперыч арет на Kido.bt, а вут тот описание http://www.viruslist.com/ru/viruses/...rusid=21782725 везде пишут что он прописывает в реестре и нужно удалить пару ключей, ну нету у меня не наодном компьютере данного ключа в реестре
    Возможна модицикация, у мну тож нет таких ключей, а компы поражены...

  7. #66
    Junior Member Репутация
    Регистрация
    20.01.2009
    Сообщений
    5
    Вес репутации
    56
    Цитата Сообщение от J-Dragon Посмотреть сообщение
    Новая модификация вируса Net-Worm.Win32.Kido.hf , ниодин антивирус не находит основные файлы данного вируса.

    (Очень злой неуловимый вирус который самомодифицируется и распространяется по всей сети вне зависимости от установленной версии Windows)

    Начинать надо обязательно с домена и основных серверов, затем менее важные сервера, затем рабочие станции ИТ отдела, а лишь потом все остальные.

    Порядок действий:

    1) Ставим заплатки номер KB958644 от Майкрософта. (помогла, но не на всех компах, тупо перестала вылазить ошибка svchost.exe, поэтому лишней не будет).

    2) Данный вирус запускается оригинальным SVCHOST.EXE с параметром заражённой библиотеки (random_name).dll, лежащей в SYSTEM32 (атрибут билиотеки установлен в "скрытый" или "ситемный"). Необходимо проверить права доступа для этой библиотеки. Как правило, кроме системы, никому доступ не разрешён. После переустановки прав
    (напр., Администраторы=полный доступ), можно убить его UNLOCKERом (http://ccollomb.free.fr/unlocker/).

    Кстати Dr.Web CureIt! находит эти dll файлы и UNLOCKER не понадобится, но при этом надо каспера отключать на время проверки, иначе ничего не найдёт (но на всякий случай лучше проверять еще и самому)

    3) Проверка антивирусом Касперский (не ниже 6-й версии, т.к. 5-я уже не катит - проверено) добивает остатки вируса.

    P.S.: И на последок, если вы сразу проверяли компьютер на вирусы и вирусов не нашлось, то это абсолютно не значит что на нём нету вирусов и даже скорее всего этот компьютер является разносчиком вируса (убедились в этом не раз). Первые признаки, постоянный вылет ошибки svchost.exe, ошибки может и не быть, но машина которая до этого всегда хорошо работала вдруг стала сильно тормозить и выбивать сеть без всяких причин – это вторая причина…

    Все эти действия помогли наладить работу домена и предотвратить дальнейшее распространение данного вируса по серверам домена. Теперь остались рабочие машины с которых вирус на сервера теперь не пробьется. В данный момент занимаемся пользователями… т.к. 6-й Касперский уже не даст распространиться телу вируса на машины где он установлен. (до этого везде стоял 5-й каспер).


    Ах да, еще на Windows XP бывает запущено в процессах много rundll32.exe, что является ненормальным, это явное проявление вируса Kido, а так же в Диспетчере задач запущено множество одинаковых заданий rundll32.dll ************ , которые появляются даже при полном удалении всякого заражения с компа, это просто ужас какой-то... откуда что берётся? на компах пробовали закрывать все шары, в том числе и Admin$, что не помогло, и вся эта ерунда сильно нагружает компы...
    Мы уже устали с ним бороться нах.....

  8. #67
    Незарегистрированный
    Guest
    2Doc18: Подскажите пожалуйста, по вашей подсказке удалил расшаренные ресурсы (диски и админ), после перезагрузки они снова появляются в шаре. Их можно закрыть насовсем???

  9. #68
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Цитата Сообщение от Незарегистрированный Посмотреть сообщение
    Их можно закрыть насовсем???
    Специально в Чаво тема есть такая)
    The worst foe lies within the self...

  10. #69
    Незарегистрированный
    Guest
    2Kuzz: Спасибо! Все аутсорсинговые компутерщики нам ни фига не помогают, уповают на антивири, а kido уже все мозги прогрыз

  11. #70
    Junior Member Репутация
    Регистрация
    19.01.2009
    Сообщений
    2
    Вес репутации
    56
    В ходе борьбы с этой заразой обозначилась следующая проблема на некоторых копмах в сети.
    Попробую описать на примере одного из них.

    На компе стоит 6-й каспер. Комп изначально был не пропатчен, но потом все заплатки поставили. Описанных симптомов заражения нет. Антивирусы на нем ничего подозрительного не находят (и курит в сэйв моде, и сам каспер, и avz).
    Вроде как все чисто....
    На линуховом роутере, к которому подключен этот комп, tcpdump показал такую картину: он в соседнюю мою подсетку отправляет сначала пару ICMP пакетов, потом TCP син на 139 порт, потом на 445.
    Удивляет точность попаданий: эти пакеты отправляются аккуратно на IP адреса недавно флудивших этой заразой в сеть компов, которые (само-собой) либо в этот момент в отключке, либо уже пролечены.
    В целом это происходит, так сказать, не спешно. Сначало на один IP сунулись, минут через 5 на другой и так далее.
    И чего спрашивается этому компу от них надо теперь?...

    Может у кого-то имеет место что-то подобное?
    К сожалению у нас уже поздно, так что более подробно разбираться буду только завтра.

  12. #71
    Junior Member Репутация
    Регистрация
    28.05.2008
    Адрес
    Курск
    Сообщений
    31
    Вес репутации
    58
    Цитата Сообщение от zvs Посмотреть сообщение
    В ходе борьбы с этой заразой обозначилась следующая проблема на некоторых копмах в сети.
    Попробую описать на примере одного из них.

    На компе стоит 6-й каспер. Комп изначально был не пропатчен, но потом все заплатки поставили. Описанных симптомов заражения нет. Антивирусы на нем ничего подозрительного не находят (и курит в сэйв моде, и сам каспер, и avz).
    Вроде как все чисто....
    На линуховом роутере, к которому подключен этот комп, tcpdump показал такую картину: он в соседнюю мою подсетку отправляет сначала пару ICMP пакетов, потом TCP син на 139 порт, потом на 445.
    Удивляет точность попаданий: эти пакеты отправляются аккуратно на IP адреса недавно флудивших этой заразой в сеть компов, которые (само-собой) либо в этот момент в отключке, либо уже пролечены.
    В целом это происходит, так сказать, не спешно. Сначало на один IP сунулись, минут через 5 на другой и так далее.
    И чего спрашивается этому компу от них надо теперь?...

    Может у кого-то имеет место что-то подобное?
    К сожалению у нас уже поздно, так что более подробно разбираться буду только завтра.
    В этой теме уже не раз говорилось о том, что описанные симптомы наличия вируса присутствуют не всегда. О том, что было на моём компьютере я писал здесь.

    Коротко повторю.
    1. Антивирусы (Nod32, Avast, AVZ...) ничего не находили.
    2. Никаких дополнительных ключей в реестре не было.
    3. Данная .dll не отображалась ни AVZ ни Process Explorer'ом.

    Был только странный файл в папке system32, имеющий атрибуты "системный", "скрытый", "архивный" и "только для чтения", который был полностью заблокирован для любых манипуляций. Я не смог его ни удалить, ни скопировать, даже ЗАГРУЗИВШИСЬ С КОМПАКТ ДИСКА!!!. Воспользовавшись поиском в Process Explorer'е по имени .dll, я обнаружил, что она подгружена к процессу svchost, но в списке используемых .dll она не отображалась.

    Исходя из всего описанного, я бы Вам посоветовал, на всякий случай, проверить папку system32. Искать нужно файл с именем *.dll и атрибутом "системный".

    Как его удалять, тоже писали не раз:
    1. Изменить права доступа у этого файла, после чего удалить анлокером.
    либо
    2. выполнить скрипт в AVZ (подставив правильное имя .dll)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('c:\windows\system32\hwapfqbj.dll');
    
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.

  13. #72
    Phoenyx
    Guest
    Столкнулся с этим вирусом.
    Панда молчала, даже когда я ей четко указал на файл (тот самый .dll)
    Обнаруживается CureIt. Им же и удаляется. После перезагрузки становятся доступны сайты антивирусных компаний. Через некоторое время появляется снова.
    Поставил NOD 4 Smart Security Beta.
    Он его прибивает при Flood-атаке с других компьютеров сети или при попытке svhost.exe получить к нему доступ (если файл все-таки проник).
    Часто ему удается попасть в ...IE5\... (выше был указан точный адрес).
    Знаменитая заплатка от МS не помагает, файлу удается попасть на мой компьютер через атаку по http:.

    У меня вопрос. Если с компьютера доступны интернет-ресурсы по безопасности (антивирусные компании, вирус инфо и т.п.), означает ли это, что мой компьютер не заражен данным Конфикером. Или иначе, есть ли это обязательным симптомом??

    http://tmace.com/images/4joa7s1p9lsxz5tk1kbi.jpg
    Это картинка. Как видно, файл сохраняется во временных файлах с произвольным размером..
    Последний раз редактировалось Phoenyx; 22.01.2009 в 12:25. Причина: добавлено изображение

  14. #73
    Junior Member Репутация
    Регистрация
    28.05.2008
    Адрес
    Курск
    Сообщений
    31
    Вес репутации
    58
    Цитата Сообщение от Phoenyx Посмотреть сообщение
    У меня вопрос. Если с компьютера доступны интернет-ресурсы по безопасности (антивирусные компании, вирус инфо и т.п.), означает ли это, что мой компьютер не заражен данным Конфикером. Или иначе, есть ли это обязательным симптомом??
    Ответ есть в сообщении выше. У меня на компьютере никаких проблем не определялось, в т.ч. открывались все сайты.

  15. #74
    Незарегистрированный
    Guest
    Поделюсь опытом! после лечения каспером бесплатной тулзой, проверил Dr.Web CureIt! он нашёл ещё дополнительно пару копий заразы в System Volume Information, после этого поставил Avast и тот тамже после доктор веба ещё штук 5 нашёл!!!, так что будте бдительны перепроверяйте несколькими антивирями.
    а ещё потестите сетку вот этим: http://www.securitylab.ru/analytics/362523.php, не везде с первого раза стали заплатки,
    и кстати на вылеченых (вроде) машинах невозможно отобразить скрытые файлы может кто подскажет как боротся?

  16. #75
    Junior Member Репутация
    Регистрация
    15.01.2009
    Сообщений
    1
    Вес репутации
    56
    А есть ли 100% лекарство против этого червя? Например, если я поставлю новую винду, можно ли что нить установить, чтоб этот вирус не залез? Этот вирус сидит у нас на серваке в городской сети... Помогите, чем можете?

  17. #76
    Незарегистрированный
    Guest
    Цитата Сообщение от Незарегистрированный Посмотреть сообщение
    Поделюсь опытом! после лечения каспером бесплатной тулзой, проверил Dr.Web CureIt! он нашёл ещё дополнительно пару копий заразы в System Volume Information, после этого поставил Avast и тот тамже после доктор веба ещё штук 5 нашёл!!!, так что будте бдительны перепроверяйте несколькими антивирями.
    а ещё потестите сетку вот этим: http://www.securitylab.ru/analytics/362523.php, не везде с первого раза стали заплатки,
    и кстати на вылеченых (вроде) машинах невозможно отобразить скрытые файлы может кто подскажет как боротся?
    Отключил все компы от сети, проходил куритом, ставил заплатки, перегружался, снова куритом, снова перегружался, каждый раз находил что-то новенькое под разными именами в следующих местах (полный поиск - много времени): System 32, c:\doc&set, System Volume Inf, c:\prog files\Movie Maker, шары если есть, так до полной чистоты. После этого подключаю в сеть. Каждый день по нескольку машин, но вроде проблем пока нет. Попутно запрет на флешки (DeviceLock), иначе только за дверь, а там довольный пользователь снова втыкает зараженную флешку.

  18. #77
    Junior Member Репутация
    Регистрация
    28.05.2008
    Адрес
    Курск
    Сообщений
    31
    Вес репутации
    58
    Цитата Сообщение от Незарегистрированный Посмотреть сообщение
    на вылеченых (вроде) машинах невозможно отобразить скрытые файлы может кто подскажет как боротся?
    у меня тоже на всех вылеченных компах не восстанавливается отображение скрытых файлов.

    Цитата Сообщение от Dimon777 Посмотреть сообщение
    А есть ли 100% лекарство против этого червя? Например, если я поставлю новую винду, можно ли что нить установить, чтоб этот вирус не залез? Этот вирус сидит у нас на серваке в городской сети... Помогите, чем можете?
    100% гарантии не даст никто. А свести вероятность до минимума можно:
    1. Чистая винда.
    2. ВСЕ!!! заплатки.
    3. Антивирус со свежими базами.
    4. фаервол (только не встроенный)
    5. Отключить учётную запись админа СОВСЕМ!
    6. Отключить учётную запись гостя.
    7. Все расшаренные папки открывать только на чтение.
    8. Отключить удалённый доступ и удалённого помощника.
    9. Отключьть шару ADMIN$ и расшаривание всех дисков.
    10. Отключить все ненужные службы.

    Пункты 3 и 4 можно объединить, например, поставив KISS. ESS использовать не советую - там фаервол очень глючный (сам сейчас его испытываю - лажа полная).

    Тонкая настройка винды - очень обширная тема. По ней много информации есть и на этом сайте. Ищите, читайте, учитесь.

  19. #78
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Лаборатория Касперского выпустила утилиту KidoKiller для борьбы с сетевым червем Net-Worm.Win32.Kido, утилита содержит generic-детектирование всех известных модификаций червя.

    Алгоритм лечения с помощью данной утилиты описан в данной статье http://www.kaspersky.ru/support/wks6...?qid=208636215

  20. #79
    Незарегистрированный
    Guest
    Цитата Сообщение от Незарегистрированный Посмотреть сообщение
    кстати на вылеченых (вроде) машинах невозможно отобразить скрытые файлы может кто подскажет как боротся?
    VirusHunter_utilities первая по порядковому номеру, как раз борется с этим багом

  21. #80
    Junior Member Репутация
    Регистрация
    17.12.2008
    Сообщений
    93
    Вес репутации
    56
    Поставил заплатку от майкрософта, осмотр папки system32 ничего не выявил (визуально). Нод32 скан ничего не выявил. Кидокиллер ничего не выявил. Машина работает стабильно, но паникую из-за кол-ва процессов svchot.exe и rundll32.exe, по моему их раньше столько не было, или зря паникую ?
    Скрин ниже.
    Последний раз редактировалось koksinator; 23.03.2009 в 03:24.

Закрытая тема
Страница 4 из 10 Первая 12345678 ... Последняя

Похожие темы

  1. По поводу последней эпидемии сетевого червя
    От rasclogin в разделе Вредоносные программы
    Ответов: 3
    Последнее сообщение: 24.05.2009, 17:29
  2. Ответов: 24
    Последнее сообщение: 12.04.2009, 00:10
  3. Ответов: 0
    Последнее сообщение: 17.01.2009, 21:26
  4. «Доктор Веб» сообщает об эпидемии Trojan.Packed.1198
    От SDA в разделе Вредоносные программы
    Ответов: 0
    Последнее сообщение: 27.10.2008, 21:36

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01311 seconds with 17 queries