Закрытая тема
Страница 5 из 10 Первая 123456789 ... Последняя
Показано с 81 по 100 из 181.

VirusInfo сообщает об эпидемии сетевого червя Net-Worm.Win32.Kido

  1. #81
    Junior Member Репутация
    Регистрация
    21.01.2009
    Адрес
    Санкт-петербург
    Сообщений
    2
    Вес репутации
    56
    А у меня вообще какая-то странная модификация. Доступ к сайтам не блокируется, компы работают стабильно, антивирусы (нод, касперыч и всякие утилиты по борьбе с этим вирусом) ничего не находят. НО несколько раз в день (почти на всех компах) нод блокирует зараженную dll'ку. просто появляется сообщение о том что нод нашел зараженный файл и очитил его удалением (и она реально удаляется). И постоянно (не пойму как) в планировщик добавляются задачи, пробовал удалять всякими разными способами - все-равно появляются. Установил все заплатки - все равно продолжается, правда устанавливал я их уже на зараженные компы. в реестре вроде ничего подозрительного нет. карзины проверил, все аутораны поудалял. По-началу эта хрень даже создавала аутораны в сетевых (рабочих) папках пользователей но потом когда я дня три вручную их удалял появляться перестали и на серваках служба "серевер" переодически вылетала. Разные проги находили разные вирусы (нод говорил что это conficker.aa, касперыч - KIDO, другой его называл downdup) и успешно удаляли. Но сейчас вот до сих пор на большистве рабичих станциях срабатывает нод и отлавливает зараженную библиотеку! и задачи продолжают создаваться!! может к вас есть какие-нить варианты?

    P.S. в папке tasks бывает еще СКРЫТАЯ задача - будте внимательны

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #82
    Незарегистрированный
    Guest
    Цитата Сообщение от koksinator Посмотреть сообщение
    Поставил заплатку от майкрософта, осмотр папки system32 ничего не выявил (визуально). Нод32 скан ничего не выявил. Кидокиллер ничего не выявил. Машина работает стабильно, но паникую из-за кол-ва процессов svchot.exe и rundll32.exe, по моему их раньше столько не было, или зря паникую ?
    Скрин ниже.
    Об этом уже говорилось - смотри назначенные задачи

  4. #83
    Незарегистрированный
    Guest
    Цитата Сообщение от zood Посмотреть сообщение
    P.S. в папке tasks бывает еще СКРЫТАЯ задача - будте внимательны
    Поясни пожлста скрытая задача это как?

  5. #84
    Junior Member Репутация
    Регистрация
    17.12.2008
    Сообщений
    93
    Вес репутации
    56
    Цитата Сообщение от Незарегистрированный Посмотреть сообщение
    Об этом уже говорилось - смотри назначенные задачи
    У меня Windows XP SP2, вы смотрели прикреплённое изображение ?

  6. #85
    Junior Member Репутация
    Регистрация
    20.01.2009
    Сообщений
    5
    Вес репутации
    56
    Цитата Сообщение от koksinator Посмотреть сообщение
    Поставил заплатку от майкрософта, осмотр папки system32 ничего не выявил (визуально). Нод32 скан ничего не выявил. Кидокиллер ничего не выявил. Машина работает стабильно, но паникую из-за кол-ва процессов svchot.exe и rundll32.exe, по моему их раньше столько не было, или зря паникую ?
    Прибивай абсолютно все процессы rundll32.dll, выключаешь все антивирусы, запускаешь Dr. web (бесплатный), он находит dll-ку и удаляет, включаешь обратно антивир, смотришь "Диспетчер задач" и удаляешь там все задания, ставишь заплатку винды, и перегружаешь тачку. Смотришь опять процессы на наличие rundll32.dll (если есть, прибиваешь) и сканишь всю систему антирусом с последними базами. Усё, живи спокойно.

  7. #86
    Junior Member Репутация
    Регистрация
    21.01.2009
    Адрес
    Санкт-петербург
    Сообщений
    2
    Вес репутации
    56
    "СКРЫТАЯ задача" - в смысле скрытый файл

  8. #87

  9. #88
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DoSTR
    Регистрация
    10.10.2006
    Адрес
    Казань
    Сообщений
    137
    Вес репутации
    88
    После того как вы поставили все три(KB958644, KB957097, KB958687) критические заплатки, то далее нужно запустить NoAutorun_vs_No_AutoShareWks.reg(прикрепил) :
    Цитата Сообщение от Незарегистрированный Посмотреть сообщение
    Их можно закрыть насовсем???
    Да, с помощью прикрепленного в архиве файла NoAutorun_vs_No_AutoShareWks.reg (извлечь из архива, запустить, согласиться с установкой).
    Файл, вносит записи в реестр, которые отключают автозапуск червей со сменных носителей(например с USB-Flash) и отключает шару ADMIN$
    Код:
    REGEDIT4
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
    @="@SYS:DoesNotExist"
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
    "AutoShareWks"=dword:00000000
    P.S. После этого нужно перезагрузить компьютер, для того, чтобы изменения вступили в силу.
    Вложения Вложения
    Последний раз редактировалось DoSTR; 28.01.2009 в 08:00.

  10. #89
    Незарегистрированный
    Guest
    Встречал машины, на которых падал svhost или тачка висла. помогала заплатка или отключение портов с помощью http://www.firewallleaktester.com/tools/wwdc.exe.

  11. #90
    Junior Member Репутация
    Регистрация
    28.01.2009
    Сообщений
    1
    Вес репутации
    56
    Только сегодня обратил внимание на появившуюся папку на флешке H:\RECYCLER...
    Еще подумал во давно бы надо а то удаляешь с флешки и не востановимо...
    и тут наткнулся на ваш форум и... п...ц!
    папка RECYCLER \S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
    присутствует правда только дошел до файла так DR web 4.44 c с базами от 27.01.09 дал знать что iнфiкований Win32.HLLW.Shadow.based після підтвердження лікування видалив..

  12. #91
    seregaaa
    Guest

    а ето что за модификация?!

    Net-Worm.Win32.Kido.bu. У нас все сетка с Symantec Corpor. Edition забита этой дрянью

  13. #92
    Незарегистрированный
    Guest

    Ошибка программы установки KB958644

    Диспетчеру установки не удалось проверить целостность файла Update.inf. Убедитесь, что службы криптографии запущены на данном компьютере.

  14. #93
    Junior Member Репутация
    Регистрация
    28.05.2008
    Адрес
    Курск
    Сообщений
    31
    Вес репутации
    58
    Позавчера возился с одним компьютером в нашей локалке. По клинике - опять kido: пропадал звук, на флешке появлялась папка Recycled с описанным выше в теме содержимым и на всех дисках файлы Autorun. В NOD32 - как обычно, вроде вот этого:
    Цитата Сообщение от Бергсон Посмотреть сообщение
    27.01.2009 16:18:40 AMON файл С:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\EHWBQR8L\kkver[1].jpg модифицированный Win32/Conficker.AA червь изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением С:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
    27.01.2009 16:18:37 IMON файл 10.22.144.19:2913/kkver модифицированный Win32/Conficker.AA червь NT AUTHORITY\SYSTEM
    Столкнулся с новыми интересными вещами:
    1. *.dll в папке system32 не нашёл (сначала проверил её Нодом, затем AVZ, потом вручную - нет файла. А явные признаки заражения есть!!!)
    2. На компьютер не ставился SP3 (стоял WinXP SP2 Home) и не ставились никакие заплатки. В конце распаковки выскакивало сообщение, что какой-то файл повреждён. (каждый раз - разный) перезагрузка не помогала. Попытался ставить из сети (не скачивая на комп) - не помогло.
    3. Нашёл службу с названием из случайных английских букв. строка запуска типа c:\Windows\system32\svchost.exe fqweghua - Единственная зацепка!!! Служба работала. Остановить её было невозможно. Отключил, перезагрузился - SP3 и заплатки стали!
    4. Начал поиски в реестре по названию службы и файла (они отличались) - ничего.
    искал тотал командором файл по всем дискам, сначала fqweghua.dll, потом fqweghua.* - опять ничего. Запустил полную проверку Нодом (самый глубокий анализ) - опять ничего. Искал Process Explorerom по названию .dll - опять ничего.

    В общем, сам вирус так и не нашёл... Но проблемы на компьютере прекратились.

    P.S.: До того, как отключил левую службу и перезагрузился, AVZ при детектировании руткитов сообщал об ошибке обмена данными с драйвером. После всё работало. - явный признак вируса с неплохой системой самозащиты. Встречался с таким не раз, в том числе с таким поведением у kido. Поэтому в том, что машина была заражена уверен. Непонятно только, куда делся инфицированный файл.

    Кто-нибудь с таким поведением kido сталкивался? Может быть, подскажите, как эту дрянь найти? Если она осталась, конечно.

  15. #94
    Junior Member Репутация
    Регистрация
    19.01.2009
    Сообщений
    2
    Вес репутации
    56
    Цитата Сообщение от Doc18 Посмотреть сообщение
    В общем, сам вирус так и не нашёл... Но проблемы на компьютере прекратились.

    ... Непонятно только, куда делся инфицированный файл.

    Кто-нибудь с таким поведением kido сталкивался? Может быть, подскажите, как эту дрянь найти? Если она осталась, конечно.
    Очень весело... Мы тоже голову ломаем над этим.
    Проявлялась и у нас подобная клиника на нескольких машинах.

  16. #95
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    Оффтоп отделён в соответствующий раздел - http://virusinfo.info/showthread.php?t=38544
    Впредь просьба придерживаться темы разговора

  17. #96
    Junior Member Репутация
    Регистрация
    29.01.2009
    Сообщений
    4
    Вес репутации
    56
    Цитата Сообщение от zvs Посмотреть сообщение
    Очень весело... Мы тоже голову ломаем над этим.
    Проявлялась и у нас подобная клиника на нескольких машинах.
    если бы я разрабатывал этот вирус, то удалял бы dll файл после запуска службы, а при перезагрузке снова записывал на диск. вот антивирусы и не находят ничего на дисках, но это сугубо моя версия

    на windows2003 sp1 лечил модификацию kido.ih с помощью http://support.microsoft.com/kb/890830.
    при заражении было замечено, что блокируются пользователи домена, видимо из-за неудачных 3 попыток подбора паролей,
    вирус Conficker (http://support.microsoft.com/kb/962007/ru-ru) удалился полностью после ребута, атаки на раб станции пока прекратились
    заплатки на серваки предварительно поставил.
    Последний раз редактировалось 3-man; 30.01.2009 в 01:31. Причина: примечание

  18. #97
    Junior Member Репутация
    Регистрация
    28.05.2008
    Адрес
    Курск
    Сообщений
    31
    Вес репутации
    58
    Цитата Сообщение от 3-man Посмотреть сообщение
    если бы я разрабатывал этот вирус, то удалял бы dll файл после запуска службы, а при перезагрузке снова записывал на диск. вот антивирусы и не находят ничего на дисках, но это сугубо моя версия
    Это, действительно, распространённый способ сокрытия инфицированного файла. Однако, есть 2 нюанса:
    1. Несколько модификаций kido, с которыми я сталкивался, этого не делали. Но прогресс есть прогресс....
    2. Остановить службу я не смог. Я её отключил (чтоб не запустилась заново после перезагрузки). В этом случае файл должен был записаться. Полная проверка нодом ничего не дала, а ранее он этого червя находил.

    Вот теперь ломаю голову: либо файл не записался, либо Нод его не определил.

    Хотя.... Не исключено, что вирус проверяет, не отключена ли его служба. Но тогда логично бы было создать новую.... Или замаскировать файл на компьютере.
    В общем, хорошая головоломка.
    Последний раз редактировалось Doc18; 30.01.2009 в 07:52. Причина: Добавлено

  19. #98
    Junior Member Репутация
    Регистрация
    29.01.2009
    Сообщений
    4
    Вес репутации
    56
    Цитата Сообщение от Doc18 Посмотреть сообщение
    Вот теперь ломаю голову: либо файл не записался, либо Нод его не определил.
    у меня на паре компов были задания (8 шт)
    кот должны были запустить в 10.00, в 12.00... чтото типа
    rundll32.exe lchqa.gh,kjzok - что бы это значило таких файлов не нашел, то ли вирус не успел их записать, то ли удалились уже.

    Заметил, что там где стоял антивирус (web444,kav7) вирусов не обнаружилось ни в реестре ни в корзине ни в system32 (только задания), проверял утилитами kb890830-v2.6.exe, cureit, kidokiller и вручную - ничего, а при сетевых атаках вирус отлавливался в system32 и удалялся антивирусами сразу.
    На всякий случай сделал через скрипт автозапуска в домене
    1. net share admin$ /d - остальные шары мне нужны.
    2. at /d /y - задания пользователям не нужны
    3. regedit -s ... NoAutorun.reg (см.пост#88 )
    есть еще регфайл для отключения автозапуска и флешек
    Код:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
    "AutoRun"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
    "NoDriveTypeAutorun"=dword:000000ff
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
    "Start"=dword:00000004

  20. #99
    Junior Member Репутация
    Регистрация
    31.01.2009
    Адрес
    Кировск Мурманской обл.
    Сообщений
    23
    Вес репутации
    56
    99% где стоял и стоит каспер - Net-Worm.Win32.Kido.ih отлавливался на подлете в папке систем32 но создавались задания (правда без исполняемого файла вполне безобидные) и засирался лог каспер админкита

    ни какие вышеперчисленные заплатки мокрософта не помогают

    помогло напрочь избавиться от алертов и попыток инсталлить вирус на машины
    убить админскую шару - [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanserver\parameters]
    "AutoShareWks"=dword:00000000
    что не есть гуд - но тут уж не до жиру

    на всякий случай решил поставить еще модули в каспере анти-хакер и анти-шпион - наслышан о проблемах с некоторым софтом с этими модулями - но опять же - если впервые за 8лет пошла такая бойня - тут уж не до тонкостей

    а вот на машинах куда попал вирус таки (есть несколько где антивирус тормознул бы работу конкретно - серваки кассовые, и есть одна машина как минимум где каспер такой же как и везде пропустил вирус почему то) - засада полная - и админские шары убил, и KidoKiller запустил, и CureIT полную проверку (хотя находит он вирье только в документ ад сеттинг и систем32) - но через какое то время и судя по всему не извне и под той же локальной системой - опять все появляется и вирус, ип сканы в сетку (их хорошо видно на машине где стоит оутпост - десятка а то и сотня тысяч нетбиос запросов за несколько минут), и попытки поставить вирус туда где еще не убиты админские шары

    счас собираю логи по инструкции http://forum.kaspersky.com/index.php?showtopic=68668 ибо 100% убивается только активная часть известного вируса, а есть еще какая то часть кторая не детектиться пока мест. она кстати еще с утреца ломилась в инернет за обновлением вируса - заблокировал фаерволл корпоративный керио я его настроил на блок адресов указанных в http://support.kaspersky.ru/faq/?qid=208636215 причем больше попыток не было - хитер гад - внимание лишнее старается не привлекать.

    иногда машины работают вирусованные почти не заметно а иногда подвисают конкретно. и еще есть какая то разновидность котору сюреИД подозревает вирусом - но не детектирует определенно и опять же только результат - созданный авторан в папку которая подключена сетевым диском в созданной папке корзины
    "Дьявол рождается из пены на губах ангела, защищающего правое дело". ГРИГОРИЙ ПОМЕРАНЦ

  21. #100
    Junior Member Репутация
    Регистрация
    31.01.2009
    Адрес
    Кировск Мурманской обл.
    Сообщений
    23
    Вес репутации
    56
    Цитата Сообщение от 3-man Посмотреть сообщение
    есть еще регфайл для отключения автозапуска и флешек
    Код:
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
    "Start"=dword:00000004
    я бы тут написал крупными буквами - отключение вообще всех флешек - если вам не нужны вообще флешки (они даже не монтируются) %)
    "Дьявол рождается из пены на губах ангела, защищающего правое дело". ГРИГОРИЙ ПОМЕРАНЦ

Закрытая тема
Страница 5 из 10 Первая 123456789 ... Последняя

Похожие темы

  1. По поводу последней эпидемии сетевого червя
    От rasclogin в разделе Вредоносные программы
    Ответов: 3
    Последнее сообщение: 24.05.2009, 17:29
  2. Ответов: 24
    Последнее сообщение: 12.04.2009, 00:10
  3. Ответов: 0
    Последнее сообщение: 17.01.2009, 21:26
  4. «Доктор Веб» сообщает об эпидемии Trojan.Packed.1198
    От SDA в разделе Вредоносные программы
    Ответов: 0
    Последнее сообщение: 27.10.2008, 21:36

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00504 seconds with 18 queries