Показано с 1 по 16 из 16.

Kido вернулся? Как? (заявка № 51793)

  1. #1
    Junior Member Репутация
    Регистрация
    10.08.2009
    Адрес
    Киев
    Сообщений
    8
    Вес репутации
    31

    Kido вернулся? Как?

    Всем доброго времени суток! Где-то в мае этого года моя сетка из 30 компьютеров подверглась атаке вируса Kido, примерно за пол дня были заражены абсолютно все компьютеры и втечении нескольких дней заражение было локализовано при помощи критических обновлений Майкрософта и KidoKiller v3.4.7. С тех пор на всех компьютерах с операционкой Xp SP3 стоят обновления Майкрософта по апрель месяц, активная антивирусная защита от AVG 8.5. Но в былую пятницу, вечерком на одном из компьютеров AVG обнаружил подозрительную dll-ку в system32, это был набор символов.dll, к понедельнику были заражены все, KidoKiller ничего не показывает, что делать незнаю
    Помогите ПЖЛ
    Логи с моей машини:
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Лог gmer сделайте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    10.08.2009
    Адрес
    Киев
    Сообщений
    8
    Вес репутации
    31
    готово:
    Вложения Вложения
    • Тип файла: log gmer.log (17.2 Кб, 9 просмотров)

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
    Код:
    gmer.exe -del service bxppqcyft
    gmer.exe -del service lvwadh
    gmer.exe -del file "C:\WINDOWS\system32\zdmrtyzb.dll"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bxppqcyft"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\lvwadh"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\bxppqcyft"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\lvwadh"
    gmer.exe -reboot
    И запустите cleanup.bat
    Компьютер перезагрузится

    Сделать новый лог gmer
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    10.08.2009
    Адрес
    Киев
    Сообщений
    8
    Вес репутации
    31
    что-то он агресивненько поплёвывался, типа немогу найти указаный путь, указаный модули и т.д.

    log:
    Вложения Вложения
    • Тип файла: log gmer2.log (8.2 Кб, 2 просмотров)

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    В логе чисто
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    10.08.2009
    Адрес
    Киев
    Сообщений
    8
    Вес репутации
    31
    Ок, спасибо, а незнаете случайно, это Кидо? Если да то как он снова записался если стоят обновления? Не судите строго мне ещё 30 компов лечить

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Он еще и на флешках распространяется..
    + пытается подбирать пароли к учетным записям
    The worst foe lies within the self...

  10. #9
    Junior Member Репутация
    Регистрация
    10.08.2009
    Адрес
    Киев
    Сообщений
    8
    Вес репутации
    31
    это всё понятно, только вирус распространился по сети! Как он это сделал если Майкрософт выпустил обновление которое не позволяет ему этого делать, это обновление стоит на всех компах, как?

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Цитата Сообщение от klegionk Посмотреть сообщение
    Как он это сделал если Майкрософт выпустил обновление
    Цитата Сообщение от Kuzz Посмотреть сообщение
    + пытается подбирать пароли к учетным записям
    ...
    The worst foe lies within the self...

  12. #11
    Junior Member Репутация
    Регистрация
    10.08.2009
    Адрес
    Киев
    Сообщений
    8
    Вес репутации
    31
    Хотя я думаю иначе - соглашусь т.к. пароль с давних пор не менялся и имеет 6 символов, его я щас заменю.

    Ещо есть какие-то мысли о том как кидо мог распространиться по сети в которой все компьютеры имеют Майкрософтофскую антиKIDOвскую защиту (в лице критических обновлений) и антивирусную защиту?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от klegionk Посмотреть сообщение
    Ещо есть какие-то мысли о том как кидо мог распространиться по сети ....
    Задайте этот вопрос Вашему системному администратору.

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    А сколько патчей поставили? Один или три?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    10.08.2009
    Адрес
    Киев
    Сообщений
    8
    Вес репутации
    31

    Я и есть системный администратор!

    Патчи все 3 на SP2 и серверах, на SP3 сборка обновлений по апрель месяц в которых включены эти патчи.

    Я вот почиму-то всегда думал что этот вирус сначала попадает на компьютер а потом генерирует пароли, а не с одной машини генерирует пароли на другую, тоесть даже если пероль был взломан патчи должны БЫЛИ недопускать запись вируса по какому-то там протаколу. Есть какие-то мысли по этому поводу?

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Цитата Сообщение от klegionk Посмотреть сообщение
    тоесть даже если пероль был взломан патчи должны БЫЛИ недопускать запись вируса по какому-то там протаколу
    Нет. Патчи не допускают заражения машины в обход системы паролей. Если же на какую то машину попадает (напр. с флешки), то далее перебирая пароли получает легитимный (т.е. подтвержденный логином/паролем) доступ и ставится как сервис
    The worst foe lies within the self...

  17. #16
    Junior Member Репутация
    Регистрация
    10.08.2009
    Адрес
    Киев
    Сообщений
    8
    Вес репутации
    31
    Спасибо, я всё понел

    На основе gmer попробую выличить все компьютеры, примерный смысл работы программы я вроде понел.

    Пароли я поменял, посмотрим будут ли заражаться вылеченые машины

  • Уважаемый(ая) klegionk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Червь вернулся!
      От Vip-anton в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 09.01.2011, 21:59
    2. cfdrive32 вернулся!!
      От spax333 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 30.09.2010, 22:32
    3. SCR вирус вернулся
      От ookazi в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 09.01.2010, 08:52
    4. KIDO вернулся?
      От Dana в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 17.08.2009, 13:48

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01474 seconds with 17 queries