HAngel Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Kido (также известный под именами Conficker, Downadup) - это компьютерный червь, использующий уязвимость операционных систем Microsoft Windows. Быстрое распространение вируса связано со службой Server service. Используя «дыру» в ней, червь скачивает себя из интернета. Интересно, что разработчики вируса научились постоянно менять свои сервера, что раньше не удавалось злоумышленникам. Также он может распространяться через USB-накопители.   Краткое описание(взято с сайта касперского): Подробнее...   Симптомы заражения: - блокировка учетных записей в домене - некоторые из служб операционной системы отключены (например, Automatic Updates, Background Intelligent Transfer Service (BITS), Windows Defender and Error Reporting Services) - контроллеры домена медленно отвечают на запросы клиентов - черезмерная загруженность локальной сети - недоступность сайтов windows update и сайтов антивирусного ПО   Зараженные компьютеры в локальной сети можно обнаружить при помощи: Подробнее...   Если у вас есть подозрение, что ваш копьютер заражен этим трояном и с этой машины есть доступ в интернет, то вы можете проверить заражен ли этот компьютер перейдя по ссылке http://www.confickerworkinggroup.org/infection_test/cfeyechart.html  (если компьютер заражен, то некоторые изображения не будут видны)   Удаление трояна: Подробнее...   Удаление вирусов: Общие положения...   Описание червя на Википедии Постоянно обновляемый сборник инструкций для удаления и обнаружения конфикера www.dshield.org/conficker порча ссылок в этом разделе запрещена. /emx/ Всего записей: 99 | Зарегистр. 16-10-2004 | Отправлено: 01:36 15-01-2009 | Исправлено: dmitri23, 10:13 23-10-2009

sumchanin_Yuri Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору VovaII Это удаление всех запланированных заданий в планировщике.   ZAnuX Цитата: C:\WINDOWS\System32\ появились файлы совсем с левыми расширениями, такими как .viv, .bm Такое может быть - у меня тоже было, методика   посмотри приведенную комманду dir, к тому эту самую методику дополнил инструментарием, который позволит в дальнейшем избежать заражений... Я так надеюсь . Всего записей: 1162 | Зарегистр. 02-01-2002 | Отправлено: 12:40 09-02-2009 | Исправлено: sumchanin_Yuri, 12:42 09-02-2009

Nezumiiro Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Часть компьютеров перестали обновляться после заражения Kido. Windows Update пишет Код ошибки: 0x8024D007. Служба BITS и Авто обновления запущены. Вручную обновить пробовал, рисует ошибку мол прав не достаточно. Кто нибудь сталкивался с такой проблемой? Всего записей: 14 | Зарегистр. 18-08-2008 | Отправлено: 09:18 11-02-2009

sumchanin_Yuri Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Nezumiiro Чтобы знать, что Вам посоветовать, надо знать, что Вы делали (как лечили). Судя по всему "недолечение". Проверьте по методике, ничего ли не осталось в реестре и не дай бог на диске. Всего записей: 1162 | Зарегистр. 02-01-2002 | Отправлено: 12:15 11-02-2009 | Исправлено: sumchanin_Yuri, 12:17 11-02-2009

TokImota Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Можно ли как нибудь централизованно, например через групповые политики, ПРИ ВКЛЮЧЕННОЙ СЕТИ, вылечить зараженную сеть?   можно, создать логон скрипт который будет запускать кидокиллер например , и всем ребутнуть компы , ну и соответсвенно пользователям указание ничего не закрывать при логоне. Всего записей: 721 | Зарегистр. 21-08-2007 | Отправлено: 17:50 12-02-2009

Mushroomer Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Texnar_POLITEX Цитата: Можно ли как нибудь централизованно, например через групповые политики, ПРИ ВКЛЮЧЕННОЙ СЕТИ, вылечить зараженную сеть?   Я бы попытался средствами Админкита от Касперского http://support.kaspersky.ru/wks6mp3/error?qid=208636215 1) ставится MSDE 2) ставится Админкит 4) делается пакет kidokiller и он накатывается на все компьютеры сети.   Не уверен надо ли на всех компьютерах ставить агент администрирования. Если нужно, то это будет пункт 3. Всего записей: 22844 | Зарегистр. 19-01-2002 | Отправлено: 00:50 13-02-2009

ZAnuX Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Mushroomer Совершенно верно. Нужно поставить админ кит (я ставил по крайне мере у себя), предварительно поставив либо MSDE, либо SQL сервер..., либо выбрать имеющийся сервер в сети. Скачать кидокиллер 3.1 и в админ ките создать инсталляционный пакет, далее через админ кит инициировать установку на всех пк в сети. Подробная инструкция: http://support.kaspersky.ru/wks6mp3/error?qid=208636215   Добавлено: сорри за дубляж))) Всего записей: 12 | Зарегистр. 06-11-2006 | Отправлено: 13:53 13-02-2009

ingvar1972 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: на одном из форумов проскользнула мысль, чтобы поставили расладку украинскую Да неужто помогает ?!! А если серьезно, то развертывание админкита в сети совместно с последующей установкой на рабочих станциях агента администрирования во-первых безвредно для твоего Нода, а во-вторых действительно позволит тебе запускать удаленно задачи практически любого направления, в том числе и лечение сетки кидокиллером, на клиентских компьютерах. И еще "весточка с фронта": Цитата: Корпорация Microsoft предложила вознаграждение в 250 тысяч долларов за информацию, которая поможет в поимке автора или авторов червя Downadup, известного также как Conficker и Kido. Об этом пишет Information Week.   Microsoft также договорилась о партнерстве с несколькими организациями, целью которого станет уничтожение червя. В этом корпорации помогут ICANN, Neustar, VeriSign, CNNIC, Afilia, Public Internet Registry, а также AOL, F-Secure, Symantec и академические исследователи.   Червю Downadup понадобилось всего несколько дней, чтобы заразить десять миллионов компьютеров. За последние пять дней, по данным компании Symantec, червь W32.Downadup.A в среднем заражал по 500 тысяч компьютеров в день, а W32.Downadup.B - по 1,7 миллиона.   Ботнет, образованный зараженными компьютерам, является одним из крупнейших в мире. Его размер во много раз превосходит одну из самых известных сетей такого рода - Storm. Его сложно остановить, в частности, из-за того, что ежедневно он псевдослучайным образом генерирует список доменов, которые могут быть использованы в качестве площадки для распространения и обновления. Ну, и напоследок. В январе, в самый "разгар боев" словил я этого зверя диковинного живым и поселил в старенький комп для проведения над ним всяческих опытов и экпериментов... Всего записей: 1265 | Зарегистр. 09-04-2006 | Отправлено: 16:07 13-02-2009 | Исправлено: ingvar1972, 16:09 13-02-2009

Mushroomer Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ingvar1972 Цитата: развертывание админкита в сети совместно с последующей установкой на рабочих станциях агента администрирования Так все-таки, агент администрирования надо ставить на локальные компьютера или достаточно будет одного Админкита? Ведь, если я правильно понял, инсталляционный пакет kidokiller создается от имени Админкита.   Всего записей: 22844 | Зарегистр. 19-01-2002 | Отправлено: 05:52 14-02-2009

Klisha Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Подцепили эту заразу. Никак не побороть в сети около 100 машин. 10 серверов.   Что сделано в данный момент: на все сервера установлены заплатки, заменены пароли локальных администраторов. В домене отключены все пользователи с правами больше чем PowerUsers. ежечасно проверяем сервера различными средствами типа Kidokiller, итог один - вирус опять обнаруживается. Вопрос как он попадает в пропатченные машины? Всего записей: 683 | Зарегистр. 03-10-2001 | Отправлено: 14:25 14-02-2009 | Исправлено: Klisha, 14:32 14-02-2009

gbcfkf Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Не получается вылечить как минимум 4 машины с XP заплатки поставил, поставил сложные пароли на учетки, отключил от сети.. проверял: кидокиллером, др вебом, нодом, Microsoft Conficker removal tool, f-secure, спец утилитой от касперского для профилактики отключил автозапуск и планировщик заданий Все впустую - регулярно загружается на 100% процессор и др Веб сигнализирует об обнаружении kido.. Всего записей: 702 | Зарегистр. 17-10-2006 | Отправлено: 14:36 14-02-2009

TokImota Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Вопрос как он попадает в пропатченные машины? закройте  на период лечения админские шары admin$, с$ Всего записей: 721 | Зарегистр. 21-08-2007 | Отправлено: 15:49 14-02-2009

pasha Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Снес AVAST! ( http://forum.ru-board.com/topic.cgi?forum=8&topic=30669&start=40#19 ), поставил Avira (+ NOD) - теперь этот антивирус нашел 2 копии вируса в System Volume Information... и это после всего... Всего записей: 1207 | Зарегистр. 27-10-2002 | Отправлено: 19:55 14-02-2009 | Исправлено: pasha, 19:55 14-02-2009

ZAnuX Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору mantopterabogomol 3 дня это ерунда, у мя уже две недели борьба идет, "спасибо" автару вируса, так как в сети 200 машин... К тому же переустановка оси конечно хорошо, но это не один два компьютера же, тут уже нужно более глобально думать)) а тем более на серверах что то мне не хочется переустанавливать оси... Пока что лучшее решение вижу для себя, это установка заплаток в ручную, потом уже в действие вступает админ кит с кидокиллером и кав6 фор воркстейшен с последними обновлениями... вроде пока помогает, атак стало меньше. Но заметил интересную вещь, сам вирус хоть и сидит на рабочих станциях (до установок заплаток и лечение антивирусом и кидокиллером), но не атакуют все разом, а с какой то переодичностью, причем изборочно, может один день с одной машины атаковать, там прибьешь его, на другой день с другой) во такие дела... ничего скоро мы его выживем с локалки, надеюсь Всего записей: 12 | Зарегистр. 06-11-2006 | Отправлено: 07:17 15-02-2009

sumchanin_Yuri Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Некоторые факты из лечения kido: kidokiller v 3.1  антивирус каcперский (kav 7), активный, т.е работает: Цитата:   completed Infected files:                 1 Infected threads:               2 Splices functions:              3 Cured files:                    1 Fixed registry keys:            3   Второй случай - условия те же (вирус тот же), но установлен drweb 5, то же активный: Цитата:   completed Infected files:                 1 Infected threads:               0 Splices functions:              0 Cured files:                    1 Fixed registry keys:            0     Отсюда вывод - при лечении необходимо отключать все конкурирующие продукты (для kidokiller все антивирусы, кроме касперского), возможно для других утилит излечения kido это что-то другое и поведение будет другое.   Единственное, что печально, kidokiller v 3.1 из реестра удаление записей проводит не совсем коректно, по-крайнем мере для svchost - согласно рекомендаций MS после последней записи в параметре netsvcs должна быть пустая строке, а  после лечения пустой последней строки нету. К чему это может привести одной MS известно Всего записей: 1162 | Зарегистр. 02-01-2002 | Отправлено: 17:52 15-02-2009 | Исправлено: sumchanin_Yuri, 17:57 15-02-2009

ZAnuX Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору sumchanin_Yuri Добро время суток. По поводу параметра в реестре, сколько я не смотрел, у меня не было параметра вообще netsvcs, причем смотрел на нескольких рабочих станция, с чем это может быть связано интересно... Всего записей: 12 | Зарегистр. 06-11-2006 | Отправлено: 07:04 16-02-2009

gbcfkf Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору sumchanin_Yuri Хм.. забавно, сегодня попробую проверить Всего записей: 702 | Зарегистр. 17-10-2006 | Отправлено: 10:42 16-02-2009

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Эпидемия червя Kido, Conficker, Downadup

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование