А у меня вообще какая-то странная модификация. Доступ к сайтам не блокируется, компы работают стабильно, антивирусы (нод, касперыч и всякие утилиты по борьбе с этим вирусом) ничего не находят. НО несколько раз в день (почти на всех компах) нод блокирует зараженную dll'ку. просто появляется сообщение о том что нод нашел зараженный файл и очитил его удалением (и она реально удаляется). И постоянно (не пойму как) в планировщик добавляются задачи, пробовал удалять всякими разными способами - все-равно появляются. Установил все заплатки - все равно продолжается, правда устанавливал я их уже на зараженные компы. в реестре вроде ничего подозрительного нет. карзины проверил, все аутораны поудалял. По-началу эта хрень даже создавала аутораны в сетевых (рабочих) папках пользователей но потом когда я дня три вручную их удалял появляться перестали и на серваках служба "серевер" переодически вылетала. Разные проги находили разные вирусы (нод говорил что это conficker.aa, касперыч - KIDO, другой его называл downdup) и успешно удаляли. Но сейчас вот до сих пор на большистве рабичих станциях срабатывает нод и отлавливает зараженную библиотеку! и задачи продолжают создаваться!! может к вас есть какие-нить варианты?
P.S. в папке tasks бывает еще СКРЫТАЯ задача - будте внимательны
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Поставил заплатку от майкрософта, осмотр папки system32 ничего не выявил (визуально). Нод32 скан ничего не выявил. Кидокиллер ничего не выявил. Машина работает стабильно, но паникую из-за кол-ва процессов svchot.exe и rundll32.exe, по моему их раньше столько не было, или зря паникую ?
Скрин ниже.
Об этом уже говорилось - смотри назначенные задачи
Поставил заплатку от майкрософта, осмотр папки system32 ничего не выявил (визуально). Нод32 скан ничего не выявил. Кидокиллер ничего не выявил. Машина работает стабильно, но паникую из-за кол-ва процессов svchot.exe и rundll32.exe, по моему их раньше столько не было, или зря паникую ?
Прибивай абсолютно все процессы rundll32.dll, выключаешь все антивирусы, запускаешь Dr. web (бесплатный), он находит dll-ку и удаляет, включаешь обратно антивир, смотришь "Диспетчер задач" и удаляешь там все задания, ставишь заплатку винды, и перегружаешь тачку. Смотришь опять процессы на наличие rundll32.dll (если есть, прибиваешь) и сканишь всю систему антирусом с последними базами. Усё, живи спокойно.
После того как вы поставили все три(KB958644, KB957097, KB958687) критические заплатки, то далее нужно запустить NoAutorun_vs_No_AutoShareWks.reg(прикрепил) :
Сообщение от Незарегистрированный
Их можно закрыть насовсем???
Да, с помощью прикрепленного в архиве файла NoAutorun_vs_No_AutoShareWks.reg (извлечь из архива, запустить, согласиться с установкой).
Файл, вносит записи в реестр, которые отключают автозапуск червей со сменных носителей(например с USB-Flash) и отключает шару ADMIN$
Только сегодня обратил внимание на появившуюся папку на флешке H:\RECYCLER...
Еще подумал во давно бы надо а то удаляешь с флешки и не востановимо...
и тут наткнулся на ваш форум и... п...ц!
папка RECYCLER \S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
присутствует правда только дошел до файла так DR web 4.44 c с базами от 27.01.09 дал знать что iнфiкований Win32.HLLW.Shadow.based після підтвердження лікування видалив..
Позавчера возился с одним компьютером в нашей локалке. По клинике - опять kido: пропадал звук, на флешке появлялась папка Recycled с описанным выше в теме содержимым и на всех дисках файлы Autorun. В NOD32 - как обычно, вроде вот этого:
Сообщение от Бергсон
27.01.2009 16:18:40 AMON файл С:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\EHWBQR8L\kkver[1].jpg модифицированный Win32/Conficker.AA червь изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением С:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
27.01.2009 16:18:37 IMON файл 10.22.144.19:2913/kkver модифицированный Win32/Conficker.AA червь NT AUTHORITY\SYSTEM
Столкнулся с новыми интересными вещами:
1. *.dll в папке system32 не нашёл (сначала проверил её Нодом, затем AVZ, потом вручную - нет файла. А явные признаки заражения есть!!!)
2. На компьютер не ставился SP3 (стоял WinXP SP2 Home) и не ставились никакие заплатки. В конце распаковки выскакивало сообщение, что какой-то файл повреждён. (каждый раз - разный) перезагрузка не помогала. Попытался ставить из сети (не скачивая на комп) - не помогло.
3. Нашёл службу с названием из случайных английских букв. строка запуска типа c:\Windows\system32\svchost.exe fqweghua - Единственная зацепка!!! Служба работала. Остановить её было невозможно. Отключил, перезагрузился - SP3 и заплатки стали!
4. Начал поиски в реестре по названию службы и файла (они отличались) - ничего.
искал тотал командором файл по всем дискам, сначала fqweghua.dll, потом fqweghua.* - опять ничего. Запустил полную проверку Нодом (самый глубокий анализ) - опять ничего. Искал Process Explorerom по названию .dll - опять ничего.
В общем, сам вирус так и не нашёл... Но проблемы на компьютере прекратились.
P.S.: До того, как отключил левую службу и перезагрузился, AVZ при детектировании руткитов сообщал об ошибке обмена данными с драйвером. После всё работало. - явный признак вируса с неплохой системой самозащиты. Встречался с таким не раз, в том числе с таким поведением у kido. Поэтому в том, что машина была заражена уверен. Непонятно только, куда делся инфицированный файл.
Кто-нибудь с таким поведением kido сталкивался? Может быть, подскажите, как эту дрянь найти? Если она осталась, конечно.
Очень весело... Мы тоже голову ломаем над этим.
Проявлялась и у нас подобная клиника на нескольких машинах.
если бы я разрабатывал этот вирус, то удалял бы dll файл после запуска службы, а при перезагрузке снова записывал на диск. вот антивирусы и не находят ничего на дисках, но это сугубо моя версия
на windows2003 sp1 лечил модификацию kido.ih с помощью http://support.microsoft.com/kb/890830.
при заражении было замечено, что блокируются пользователи домена, видимо из-за неудачных 3 попыток подбора паролей,
вирус Conficker (http://support.microsoft.com/kb/962007/ru-ru) удалился полностью после ребута, атаки на раб станции пока прекратились
заплатки на серваки предварительно поставил.
Последний раз редактировалось 3-man; 30.01.2009 в 01:31.
Причина: примечание
если бы я разрабатывал этот вирус, то удалял бы dll файл после запуска службы, а при перезагрузке снова записывал на диск. вот антивирусы и не находят ничего на дисках, но это сугубо моя версия
Это, действительно, распространённый способ сокрытия инфицированного файла. Однако, есть 2 нюанса:
1. Несколько модификаций kido, с которыми я сталкивался, этого не делали. Но прогресс есть прогресс....
2. Остановить службу я не смог. Я её отключил (чтоб не запустилась заново после перезагрузки). В этом случае файл должен был записаться. Полная проверка нодом ничего не дала, а ранее он этого червя находил.
Вот теперь ломаю голову: либо файл не записался, либо Нод его не определил.
Хотя.... Не исключено, что вирус проверяет, не отключена ли его служба. Но тогда логично бы было создать новую.... Или замаскировать файл на компьютере.
В общем, хорошая головоломка.
Последний раз редактировалось Doc18; 30.01.2009 в 07:52.
Причина: Добавлено
Вот теперь ломаю голову: либо файл не записался, либо Нод его не определил.
у меня на паре компов были задания (8 шт)
кот должны были запустить в 10.00, в 12.00... чтото типа
rundll32.exe lchqa.gh,kjzok - что бы это значило таких файлов не нашел, то ли вирус не успел их записать, то ли удалились уже.
Заметил, что там где стоял антивирус (web444,kav7) вирусов не обнаружилось ни в реестре ни в корзине ни в system32 (только задания), проверял утилитами kb890830-v2.6.exe, cureit, kidokiller и вручную - ничего, а при сетевых атаках вирус отлавливался в system32 и удалялся антивирусами сразу.
На всякий случай сделал через скрипт автозапуска в домене
1. net share admin$ /d - остальные шары мне нужны.
2. at /d /y - задания пользователям не нужны
3. regedit -s ... NoAutorun.reg (см.пост#88 )
есть еще регфайл для отключения автозапуска и флешек
99% где стоял и стоит каспер - Net-Worm.Win32.Kido.ih отлавливался на подлете в папке систем32 но создавались задания (правда без исполняемого файла вполне безобидные) и засирался лог каспер админкита
ни какие вышеперчисленные заплатки мокрософта не помогают
помогло напрочь избавиться от алертов и попыток инсталлить вирус на машины
убить админскую шару - [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanserver\parameters]
"AutoShareWks"=dword:00000000
что не есть гуд - но тут уж не до жиру
на всякий случай решил поставить еще модули в каспере анти-хакер и анти-шпион - наслышан о проблемах с некоторым софтом с этими модулями - но опять же - если впервые за 8лет пошла такая бойня - тут уж не до тонкостей
а вот на машинах куда попал вирус таки (есть несколько где антивирус тормознул бы работу конкретно - серваки кассовые, и есть одна машина как минимум где каспер такой же как и везде пропустил вирус почему то) - засада полная - и админские шары убил, и KidoKiller запустил, и CureIT полную проверку (хотя находит он вирье только в документ ад сеттинг и систем32) - но через какое то время и судя по всему не извне и под той же локальной системой - опять все появляется и вирус, ип сканы в сетку (их хорошо видно на машине где стоит оутпост - десятка а то и сотня тысяч нетбиос запросов за несколько минут), и попытки поставить вирус туда где еще не убиты админские шары
счас собираю логи по инструкции http://forum.kaspersky.com/index.php?showtopic=68668 ибо 100% убивается только активная часть известного вируса, а есть еще какая то часть кторая не детектиться пока мест. она кстати еще с утреца ломилась в инернет за обновлением вируса - заблокировал фаерволл корпоративный керио я его настроил на блок адресов указанных в http://support.kaspersky.ru/faq/?qid=208636215 причем больше попыток не было - хитер гад - внимание лишнее старается не привлекать.
иногда машины работают вирусованные почти не заметно а иногда подвисают конкретно. и еще есть какая то разновидность котору сюреИД подозревает вирусом - но не детектирует определенно и опять же только результат - созданный авторан в папку которая подключена сетевым диском в созданной папке корзины
"Дьявол рождается из пены на губах ангела, защищающего правое дело". ГРИГОРИЙ ПОМЕРАНЦ