sumchanin_Yuri
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю следующие методы решения как дополнение к тесту ingvar1972
- Обязательно поставить на все компы патчи MS08-067( kb958644 ), а также все последующие новый патч
- Заблокировать 445, 139 и 5555 порты. Для этой цели лучше всего использовать Wwdc
Методы нахождения и уничтожения червя, а также противодействию
По рекомендации kb962007 немного правда оптимизированно 
1. Оcтанавливаем службу сервера "sc stop lanmanserver" или по методике в самой статье (через управление службами)
2. Останавливаем службу планировщика заданий "sc stop schedule".
3. Отключаем запуск службы планировщика заданий regedit --> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\Start параметр Start=4,  закрываем редактор реестра и после этого обязательно перезагружаемся.
4. Загрузите обновление для системы безопасности 958644 (MS08-067) и установите его вручную. Дополнительные сведения см. на следующем веб-узле корпорации Майкрософт (на английском языке):
http://www.microsoft.com/rus/technet/security/bulletin/MS08-067.mspx Примечание. Этот узел может быть заблокирован из-за заражения вредоносными программами. В этом случае необходимо загрузить обновление на компьютер, который не заражен, и переместить файл обновления на зараженный компьютер. Рекомендуется записать обновление на компакт-диск, потому что повторная запись на такой диск невозможна. Следовательно, он не может быть заражен. Если устройство записи компакт-дисков недоступно, единственным способом скопировать обновление на зараженный компьютер может оказаться переносное USB-устройство памяти. При использовании съемного носителя следует помнить, что вредоносная программа может заразить его с помощью файла Autorun.inf. Если устройство памяти можно перевести в режим только для чтения, обязательно сделайте это после записи обновления на него. Обычно для этого используется переключатель на корпусе устройства. После копирования файла обновления на зараженный компьютер следует проверить съемный носитель на наличие файла Autorun.inf.
Если такой файл обнаружен, его необходимо переименовать, например, в Autorun.bad, чтобы при подключении носителя к компьютеру этот файл не был запущен.
Все пароли локального администратора и администратора домена необходимо заменить новыми надежными паролями.
5. Найдите и выберите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
В области сведений щелкните правой кнопкой мыши параметр netsvcs и выберите команду Изменить.
Перейдите к нижней части списка. Если компьютер заражен червем Conficker.b, в нижней части списка появится случайное имя службы. В данном случае пусть, например, вредоносная служба имеет имя "wdlsct". Обратите внимание на имя вредоносной службы. Эта информация потребуется впоследствии при выполнении процедуры устранения червя. Удалите строку, которая содержит ссылку на вредоносную службу. Убедитесь в том, что под последней допустимой записью в списке остается пустая строка, затем нажмите кнопку ОК. 
6. Ограничьте разрешения для раздела реестра SVCHOST, чтобы его нельзя было перезаписать.
Щелкните правой кнопкой мыши подраздел Svchost и нажмите кнопку Разрешения.
В диалоговом окне Элемент разрешений для SvcHost нажмите кнопку Дополнительно.
В диалоговом окне Дополнительно нажмите кнопку Добавить.
В диалоговом окне Выбор: пользователи, компьютеры и группы введите значение "Все" и выберите команду Проверить имена. Нажмите кнопку ОК.
В диалоговом окне Элемент разрешений для SvcHost выберите пункт Только этот раздел из списка Применить к, затем установите флажок Запретить для элемента разрешений Установить значение.
Дважды нажмите кнопку ОК.
На запрос системы безопасности ответьте Да.
Нажмите кнопку ОК.
При выполнении предыдущей процедуры нужно было обратить внимание на имя вредоносной службы. В данном примере ее имя "wdlsct". С учетом этого выполните указанные ниже действия.
В редакторе реестра найдите и выберите подраздел реестра, содержащий вредоносную службу с именем Имя_вредоносной_службы:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wdlsct
В области переходов щелкните подраздел правой кнопкой мыши и выберите пункт Разрешения.
В диалоговом окне Элемент разрешений для SvcHost нажмите кнопку Дополнительно.
В диалоговом окне Дополнительные параметры безопасности установите флажки:
Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне.
Заменить разрешения для всех дочерних объектов заданными здесь разрешениями, применимыми к дочерним объектам
Нажмите клавишу F5, чтобы обновить редактор реестра. В области сведений теперь можно просматривать и редактировать вредоносную библиотеку DLL, которая загружается как "ServiceDll". Для этого выполните действия, описанные ниже.
Дважды щелкните параметр ServiceDll.
Обратите внимание на путь к указанной библиотеке DLL. Эти сведения потребуются далее в этой процедуре. Например, путь к указанной библиотеке DLL может быть следующим:
%SystemRoot%\System32\emzlqqd.dll.
Измените ссылку, чтобы она выглядела следующим образом:
%SystemRoot%\System32\emzlqqd.old
Нажмите кнопку ОК.
7. Удалите запись вредоносной службы из подраздела реестра Run. В редакторе реестра найдите и выберите следующие подразделы:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
В обоих подразделах найдите параметр, имя которого начинается с "rundll32.exe", обращающийся к вредоносной библиотеке DLL, которая загружается как "ServiceDll", обнаруженной в действии 6. Удалите параметр.
Закройте редактор реестра и перезагрузите компьютер.
Это самое главное, все остальное в приведенной статье....
После очистки включить назад службу сервера "sc start lanmanserver"
Восстановите разрешения по умолчанию для раздела реестра SVCHOST.
Установите на компьютер все недостающие обновления для системы безопасности. Для этого используйте центр обновления Windows, сервер служб WSUS, сервер SMS, диспетчер System Center Configuration Manager (SCCM) или программный продукт для управления обновлениями стороннего производителя. При использовании сервера SMS или диспетчера SCCM необходимо сначала включить службу сервера. В противном случае, возможно, не удастся выполнить обновление системы с их помощью.
Здесь уже только мои дополнения ...
Кроме того находим и удаляем HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_wdlsct
Повторяем шаги 5 и 7 для всех ControlSet001 (ControlSet002 и т.д.)
Приведенная методика не является догмой, возможны решения и получше, кстати хотелось бы увидеть их здесь....
командная строка "dir %systemroot%system32 /A:H" - dll которая имеет скрытое имя и выглядит странно (обычно смесь букв) это он и есть (к примеру ghbvd.dll), кстати эту команду можно использовать для нахождения и других вирусов (autorun.inf к примеру)
Поскольку как показывает практика "на антивирусы надейся, а сам не плошай"  , а вирус кидо ещё тот случай.
Вспомогательные утилиты:
unlocker1.8.7 для удаление заблокированного, правой клавишей на зловреде и выбрать "удалить" и "разблокировать все"
Gmer детектор скрытых процессов, ключей, файловых потоков, очень хорошо помогает найти различных зловредов... К тому же бесплатен и не требует установки
Winpatrol менеджер автозагрузки с очень большими возможностями:
- монитор автозагрузки, активных процессов, запланированный задач и т.д. и т.п.
- позволяет делать отложенный запуск, временно отключать (включать) программы автозагрузки
Есть бесплатная версия, русский язык, но требует установки.
AnVir Task Manager - это бесплатная системная утилита, которая позволяет контролировать все, что запущено на компьютере, а также предоставляет удобные инструменты для настройки компьютера:
- Управление автозагрузкой, запущенными процессами, сервисами и драйверами и замена Диспетчера Задач
- Обнаружение и удаление вирусов и spyware
- Тонкая настройка XP и Vista, включая установку скрытых настроек
- Ускорение загрузки Windows и работы компьютера
Требует установки, русская версия беплатная.
Sysinternals Autoruns Мощное средство для проверки различных "закоулков" автозагрузки для выявления по базе и поиску в google, удаления и отключения вредного и лишнего, не требует установки, бесплатно.
Runscanner Ещё одно средство для проверки автозагрузки - один исполняемый файл, бесплатный, подсвечивает цветом ошибки, проверка по MD5 и т.д. и т.п.
Flash_Disinfector.exe "дизинфекции" флешки. Запустите её и следуйте инструкции - может попросить вставить флешку и/или другой сменный носитель с мобильного телефона, вставьте эти диски и разрешите ему очистить эти носители (флешку). Кроме того Flash_Disinfector очищает и локальные диски, если есть заражение autorun.inf, поэтому дождитесь окончание работы программы (во время работы программы может пропадать рабочий стол, меню - но после окончании работы все восстановиться) Перезагрузите компьютер, когда все будет сделано. Очистка заключается в том, что Flash_Disinfector создает скрытый каталог autorun.inf в каждом разделе локального диска и на каждой флешке (носителе), которые вы подключили при запуске. Не удаляйте этот каталог, он как раз и дает защиту от дальнейшего заражения.
Flash Guard для исключения заражения самого компьютера от вирусов с флешки или других сменных носителей. Ниже описание взятое с сайта.
Многие современные вирусы используют функцию Autorun для распространения посредством флэш накопителей.
И часто антивирусные программы не могут их остановить. Вы или ваш администратор можете отключить функцию Autoplay, но вирус все равно будет способен заразить вашу систему с помощью файла Autorun.inf на флэш диске - функция Autorun. Можно полностью отключить Autorun, запретив службу "Shell Hardware Detection", но в этом случае у вас будут проблемы с подключением фото и видеокамер, сканеров и т.д.
Flash Guard может блокировать Autorun и остановить вирусы!
Он запускается при входе пользователя в систему и следит за дисками.
Когда вставляется новый носитель(компакт диск например) или добавляется новый диск(вставляется флэш брелок) Flash Guard может совершать такие действия:
- Удалить добавленные файлом Autorun.inf пункты контекстного меню диска
- Информировать пользователя о наличии на диске файла Autorun.inf
- Удалить файл Autorun.inf
- Удалить все файлы Autorun.*
Поведение программы полностью настраивается пользователем.
Удаление добавочных пунктов меню - это главная особенность программы. Таким образом вы даже можете не удалять вирус с флэш диска и при этом открывать его в Проводнике, не заражая свой компьютер.
Добавлено 06.04.2009
- Тестовая страница для проверки заражения кидо |
. 
) вирус отроравлся по полной программе - хакнул простой пароль админа ( типа 12345). 
