DiZka Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Это пробовали? Всего записей: 374 | Зарегистр. 16-08-2005 | Отправлено: 10:35 26-01-2009 | Исправлено: DiZka, 10:36 26-01-2009

zemych Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору И не только это пробовали. Все утилиты говорят что вируса нет. А он через время снова в system32 Всего записей: 127 | Зарегистр. 20-11-2007 | Отправлено: 10:42 26-01-2009

DiZka Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Тогда это И почитайте это Всего записей: 374 | Зарегистр. 16-08-2005 | Отправлено: 10:53 26-01-2009 | Исправлено: DiZka, 10:54 26-01-2009

ipmanyak Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору zemych http://news.drweb.com/show/?i=204&c=5   Процедура лечения системы от Win32.HLLW.Shadow.based и меры по профилактике подобных методов заражений 1.    Установить патчи, указанные в следующих информационных бюллетенях Microsoft:   o    MS08-067 (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx); o    MS08-068 (http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx);   o    MS09-001 (http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx). 2.    Отключить компьютер от локальной сети и от Интернета. Если компьютеры подсоединены к локальной сети, то вылеченный компьютер необходимо подключать обратно к локальной сети лишь после того, как будут вылечены все компьютеры, находящиеся в сети. 3.    Скачать текущую версию утилиты Dr.Web CureIt! на неинфицированном компьютере, перенести ее на инфицированный и просканировать все диски, тем самым произведя лечение системы. ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe Для профилактики распространения вирусов рекомендуется отключать на компьютерах автозапуск программ со съёмных носителей, использовать автоматическое обновление Windows, не применять простые пароли входа в систему.   ---------- В сортире лучше быть юзером, чем админом... Всего записей: 11746 | Зарегистр. 10-12-2003 | Отправлено: 06:44 27-01-2009

zemych Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 2ipmanyak:   Спасибо за совет. В этой последовательности уже всё делал и не раз   Подскажи, какой утилитой можно посмотреть с каких сетевых адресов происходят атаки на сервер? Всего записей: 127 | Зарегистр. 20-11-2007 | Отправлено: 08:13 27-01-2009 | Исправлено: zemych, 08:13 27-01-2009

Zenith1983 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору zemych KiS вам в руки! Всего записей: 297 | Зарегистр. 21-03-2008 | Отправлено: 14:17 27-01-2009

sumchanin_Yuri Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору zemych Один из методов (способов) лечения привел   Эпидемия Net-Worm.Win32.Kido.dz   Коллеги может стоит объеденить эти топики как имеющее аналогичное решение и общие проблемы?! Всего записей: 1162 | Зарегистр. 02-01-2002 | Отправлено: 08:22 28-01-2009

Ozzy13 Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Предлагаю попробовать утилиту AVZ много раз меня выручала в таких ситуациях. Очень у неё удобно система AVZGuard реализована. Всего записей: 276 | Зарегистр. 19-12-2006 | Отправлено: 10:41 28-01-2009 | Исправлено: Ozzy13, 10:43 28-01-2009

Kristaliar Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Насколько я помню как такового сервиса у этого вируса нет. Он является частью одного из процессов svchost.exe и лечится базой 22.12 от symantec. Всего записей: 835 | Зарегистр. 29-08-2002 | Отправлено: 11:02 28-01-2009

sumchanin_Yuri Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору По совету модераторов повторяю здесь один из методов лечения:   - Обязательно поставить на все компы патчи  MS08-067( kb958644 ), а также все  последующие   -  Заблокировать 445, 139 и 5555 порты. Для этой цели лучше всего использовать Wwdc   Методы нахождения зловреда 1. командная строка "dir %systemroot\system32 /A:H" -  dll которая имеет скрытое имя и выглядит странно  (обычно смесь букв) это он и есть (к примеру ghbvd.dll).   2. через regedit в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost - параметр netsvcs - зловред прописывается в конец этого списка (для примера wdlsct - имя отличается от имени найденной библиотеки).   3. Для удаление заблокированного можно использовать кучу программ, вплоть до безопасного режима и установки разрешений безопасности, но unlocker1.8.7 лучше всего для этого дела подходить, правой клавишей на зловреде и выбрать "удалить" и "разблокировать все"   4.  далее берем из cписка svchost имя сервиса зловреда (найденного в пункте 2) и ищем его в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ по этому имени (wdlsct),  этот сервис  заблокирован - надо его разблокировать, правой клавишей на этом сервисе и выбрать разрешения, добавить пользователя "Все" при этом дав ему полные права и не наследовать разрешения от родителя (удалить их). Теперь HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wdlsct можно будет удалить....   Приведенная методика не является догмой, возможны решения и получше, кстати хотелось бы увидеть ....     Поскольку как показывает практика "на антивирусы надейся, а сам не плошай" , а вирус кидо ещё тот случай. Всего записей: 1162 | Зарегистр. 02-01-2002 | Отправлено: 08:56 29-01-2009

procesha Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Я такой же вирус изгоняю из сети, только называетсxя Conficker A.A. излечил способом   Установил заплатки     WindowsXP-KB894391-x86 WindowsXP-KB921883-x86 WindowsXP-KB923414-x86 WindowsXP-KB924270-x86 WindowsXP-KB952954-x86 WindowsXP-KB952954-x86 WindowsXP-KB952954-x86   После закрыл порты на рабоч и серверах 137,139,445,5555   На каждой рабочей вкл Бренмауэр без исключений   И почистил NOD32 ver 3 вроде все нашел и вылечил , компы после этого не атакуют Всего записей: 159 | Зарегистр. 02-03-2006 | Отправлено: 09:57 29-01-2009

sumchanin_Yuri Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору procesha Conficker A.A, Kido..., Win32.HLLW.Shadow.based, Downadup и другие возможные названия - это один и тот же вирус (или его модификации), просто разные антивирусные компании называют его по-разному... Всего записей: 1162 | Зарегистр. 02-01-2002 | Отправлено: 10:34 29-01-2009

sumchanin_Yuri Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору splinterello У меня такое ощущение, что касперский, как и dr.web не до конца разобрались что на самом деле делает вирус, поскольку описание у них явно не полное, кроме того они лечать следствия (не вычищая реест) только удаляя файлы.... Или я не прав Всего записей: 1162 | Зарегистр. 02-01-2002 | Отправлено: 16:01 29-01-2009

q111111 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору дайте, пожалуйста, прямые ссылки на заплатки закрывающие дырки используемые этим вирусом. для х86 и х64 версий w2k3sp2 для х86 wXPsp3 и для x86 w2ksp4 а то никак не разберусь в этих дебрях майкрософтовских сайтов   заранее благодарен! Всего записей: 1657 | Зарегистр. 05-03-2008 | Отправлено: 20:21 20-02-2009

Страницы: 1 2

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Закладки » Помогите с вирусом W32.Downadup.B

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование