HAngel Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Kido (также известный под именами Conficker, Downadup) - это компьютерный червь, использующий уязвимость операционных систем Microsoft Windows. Быстрое распространение вируса связано со службой Server service. Используя «дыру» в ней, червь скачивает себя из интернета. Интересно, что разработчики вируса научились постоянно менять свои сервера, что раньше не удавалось злоумышленникам. Также он может распространяться через USB-накопители.   Краткое описание(взято с сайта касперского): Подробнее...   Симптомы заражения: - блокировка учетных записей в домене - некоторые из служб операционной системы отключены (например, Automatic Updates, Background Intelligent Transfer Service (BITS), Windows Defender and Error Reporting Services) - контроллеры домена медленно отвечают на запросы клиентов - черезмерная загруженность локальной сети - недоступность сайтов windows update и сайтов антивирусного ПО   Зараженные компьютеры в локальной сети можно обнаружить при помощи: Подробнее...   Если у вас есть подозрение, что ваш копьютер заражен этим трояном и с этой машины есть доступ в интернет, то вы можете проверить заражен ли этот компьютер перейдя по ссылке http://www.confickerworkinggroup.org/infection_test/cfeyechart.html  (если компьютер заражен, то некоторые изображения не будут видны)   Удаление трояна: Подробнее...   Удаление вирусов: Общие положения...   Описание червя на Википедии Постоянно обновляемый сборник инструкций для удаления и обнаружения конфикера www.dshield.org/conficker порча ссылок в этом разделе запрещена. /emx/ Всего записей: 99 | Зарегистр. 16-10-2004 | Отправлено: 01:36 15-01-2009 | Исправлено: dmitri23, 10:13 23-10-2009

smartiom Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору всех приветсвую   писал в отдельной теме: Цитата:  Уже несколько дней происходит странные вещи с моим домашним сервером. Во первых, скажу сразу о себе - я не могу считать себя админом с образованием в области сетей, но и не "домохозяйка", так что принимаю любые советы - от чисто технических до общи-философских :).   Сервер домашний для выхода LAN-пользователей в инет, пенёк старый с Windows XP Pro SP1 (знаю что не лучший выбор, но в *никсах не очень разбераюсь и не было время для экспериментов). 2 сетевые карты Realtek 8139/810x. Выход в мир по Ethernet-у (оптика). IP получаю по DHCP, реальный и статический (всегда один и тот же IP). Программное обеспечение для межсетевого управления: Lan2net 1.4.067, содержит в себе файрвол + NAT + eщё разные полезные функции. Только это и содержит: чистый WinXP + Lan2net, больше ничего.   До сих пор (больше 2 лет, около года на ADSL-е и ещё год уже по Ethernet-у) всё было нормально, со своей задачей справлялся. Но уже несколько дней (где-то 5-8 дней) начал очень сильно тормозить, процессор почти всегда на 100% .. тут я заметил что он создаёт очень много соединений: раньше было от 300 до 800 (очень редко до 2000 доходило), сейчас же 10.000-12.000. Соединения создаёт сервер к произвольно разным IP и ко всем хочет послать 124 байта по 445 порту. Соединения в состоянии SYN_SENT (будто сервер инициирует DoS акати по произвольным адрессам).   Сформатировал диск, поставил свежий WinXPSP1 + Lan2net. Всё это сделал в изолированном состоянии (сетевых кабелей небыло подключено). В файрволе закрыл всё что приходит из вне и всё что посылается в инет, потом подключил инет-кабель и сразу после этого начались те же проблемы.   То же самое началось после того как подключил инет-кабель сразу к моему компютеру. У меня он так же начал каждую секунду создавать соединения. И это уже сквозь Comodo Firewall Pro 3.0.25.   И на сервере и на моём компе после подключения кабеля один из процессов svchost.exe создаёт себе много thread-ов (до: ~50 thread-ов, после: ~170 thread-ов), он и создают эти соединения постоянно.   Ещё интересный симптом: сайты microsoft.com, eset.com, kaspersky.com и др. связанные с врусами не грузятся, сразу выдёт сообщение будто нет инета. Все остальные загружаются нормально.     мне подсказали что это kido   есть несколько вопросов: 1. этот вирус/червь kido проходит сквозь файрвол? 2. он заражает другие файлы? (.exe, .dll, и.т.д.) 3. от него невозможно избавиься? можно только устранить его вредные действия? 4. если не стоит Win XP SP3 + самые свежие обновления, то зря стараться что-то сделать?  особенно на SP1       Всего записей: 109 | Зарегистр. 17-03-2006 | Отправлено: 14:08 05-04-2009

dimasikl Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору стоят все заплатки, стоит симантек корпорэйт, обновляемый, но все равно, периодически, на некоторых машинах, вываливается сообщение о том, что generic host process for win32 services обнаружена ошибка приложение будет закрыто. После этого, спустя некоторое время, отрубается сетка и машина виснет наглухо! А также симантек рапортует о том, что средствами автоматической защиты был отловлен вирусяка Downladup.B. При запуске KidoKiller ничего не видит. Прогонял утилиткой от симантека - та что то находила, вроде как удаляла, но через некоторое время те же симптомы. На одной машине не могу поставить 3-й сервис пак, говорит, что отказано в доступе в середине установки(запускаю с админскими правами). CureIT тоже ничего не нашла, как и утилита от Касперского для сканирования. В общем, тварь эта расползлась, Сегодня снова утром нашел ее на серваках, прибил KidoKillerom, чего ждать дальше - не знаю, какие меры еще можно принять!? Всего записей: 21 | Зарегистр. 01-03-2007 | Отправлено: 10:16 06-04-2009

TheSerpens Newbie Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору smartiom, если это - kido, то первое что надо - поставить SP3! и заплатки: KB957097 KB958644 KB958687 иначе kido через теже дыры будет приходить к те снова и снова.   Если SP3 ставить не хочешь - то обязательно KB921883! В SP3 она уже есть.   Кстати, по этому Цитата: Ещё интересный симптом: сайты microsoft.com, eset.com, kaspersky.com и др. связанные с врусами не грузятся, сразу выдёт сообщение будто нет инета. Все остальные загружаются нормально.   скорее всего  что kido.   1. этот вирус/червь kido проходит сквозь файрвол?   не знаю, не проверял 2. он заражает другие файлы? (.exe, .dll, и.т.д.)   нет. сам кучу создает - rnd.exe,jpg,bmp,gig,png - короче под картинки маскируется. еще создает в recycled rnd.vmx и запускает autorun.inf его. 3. от него невозможно избавиься? можно только устранить его вредные действия?   уже можно. 4. если не стоит Win XP SP3 + самые свежие обновления, то зря стараться что-то сделать?  особенно на SP1 типа того.   http://www.viruslist.com/ru/alerts?alertid=203698715 - про kido и модификации, как бороться и че качать.   Удачи. Всего записей: 2 | Зарегистр. 21-10-2005 | Отправлено: 10:59 06-04-2009 | Исправлено: TheSerpens, 11:02 06-04-2009

dimasikl Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: http://www.viruslist.com/ru/alerts?alertid=203698715 - про kido и модификации, как бороться и че качать.     Удачи. Статья старая, ничего толкового нет... проблема остается актуальной! Всего записей: 21 | Зарегистр. 01-03-2007 | Отправлено: 11:40 06-04-2009

TheSerpens Newbie Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Учитывая, какие вопросы задает smartiom, что у него до сих пор ХРень с SP1, то ему она - в самый раз. Всего записей: 2 | Зарегистр. 21-10-2005 | Отправлено: 11:52 06-04-2009

sumchanin_Yuri Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору dimasikl Внимательно прочитайте всю эту страницу в режиме для печати, изучите все приведенные здесь рекомендации, и многое станет ясно... Добавил ссылку для проверки зараженности компьютера. Всего записей: 1162 | Зарегистр. 02-01-2002 | Отправлено: 21:02 06-04-2009

vovanj7 Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору у меня результаты борьбы с Kido тоже довольно печальны. Сеть из около 200 ПК. Эта зараза расползлась буквально за считаные минуты.  - поставил всем SP3 + заплатки  - на серверах тоже заплатки поставил  - благо флешки у всех забанены, так что с этим проще  - посканил у всех утилитами(AGENTCLN , f-downadup , SysClean-WORM_DOWNAD,  Anti-Downadup,  EConfickerRemover,  FixDownadup,  stinger10000482 ,  KidoKiller  )  Они то все находят, но через некоторое время опять появляется. Антивырусы у всех NOD32 Avast. обнаруживают угрозу, типа удаляют ее, но толку мало.  вот сегодня еще просканил, жду завтра  Может кто еще подскажет, как побороть эту гадость ---------- Ваши руки ввели идиотскую команду и будут ампутированы. Всего записей: 3378 | Зарегистр. 07-09-2006 | Отправлено: 20:32 07-04-2009

Edinolichnick Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Подскажите, как эту дырочку замазать на прокси? FreeBSD 7.1 + Squid Всего записей: 49 | Зарегистр. 30-08-2008 | Отправлено: 23:00 07-04-2009

StasKarabas Newbie Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Тоже была такая проблема, порядка 5 десятков компов, и 8 серваков, червь жил 1 день, после чего почитав сделал такую вот тему http://admindays.1gb.ru/index.php?newsid=4 ,внизу можно скачать решение всех ваших проблем а именно что входит:     Состав: SFX архив с автоматическим извлечение во временную папку и запуском CMD файла.   @echo off REGEDIT /S noautorun.reg   KidoKiller.exe -r -f -y -a   KidoKiller.exe -z -y WinXPKB958687RUS.exe /quiet /norestart WinXPKB958644RUS.exe /quiet /norestart WinXPKB957097RUS.exe /quiet /norestart shutdown -f -t 0 -r     1. Отключение обработки autorun.inf файлов на переносных устройствах 2. Запуск проверки -r (переносные устройства), -f (фиксированые устройсва), -y (пропускаем нажатие клавиши), -a (отключаем автораны). 3. -z (восстановление служб), -y (пропускаем нажатие клавиши) 4-6. Установка заплаток 7. Перезагрузка ПК.   Удачи.   Добавлено: Цитата: у меня результаты борьбы с Kido тоже довольно печальны. Сеть из около 200 ПК. Эта зараза расползлась буквально за считаные минуты.    - поставил всем SP3 + заплатки    - на серверах тоже заплатки поставил    - благо флешки у всех забанены, так что с этим проще    - посканил у всех утилитами(AGENTCLN , f-downadup , SysClean-WORM_DOWNAD,  Anti-Downadup,  EConfickerRemover,  FixDownadup,  stinger10000482 ,  KidoKiller  )  Они то все находят, но через некоторое время опять появляется. Антивырусы у всех NOD32 Avast. обнаруживают угрозу, типа удаляют ее, но толку мало.    вот сегодня еще просканил, жду завтра    Может кто еще подскажет, как побороть эту гадость     Ха, делаеться все просто, отрубаешь комп от сети и проверяешь и так каждый!!! не включая провереные в сеть пока все не провериться, так как комп заразиться в секунды! Всего записей: 12 | Зарегистр. 07-04-2009 | Отправлено: 09:51 08-04-2009 | Исправлено: StasKarabas, 10:06 08-04-2009

VEnZ0ja Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору обновился KKiller_v3.4.4.zip   с оф источников не удается скачать, если есть у кого поделитесь. Всего записей: 166 | Зарегистр. 17-05-2006 | Отправлено: 10:16 08-04-2009

vovanj7 Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата:   Ха, делаеться все просто, отрубаешь комп от сети и проверяешь и так каждый!!! не включая провереные в сеть пока все не провериться     именно это и делалось вырубил всех на cisco catalyst и пока всех не проверил, не запустил, ну окромя windows 98 . Эти машины он не задевает, так чо хоть какая-то польза от 98-й   сегодня вроде немного стихло, так изредка появляются, запускаю kidokiller(научил пользователей периодически его запускать ), кстати от версии 3.4.4 тоже бы не отказался ---------- Ваши руки ввели идиотскую команду и будут ампутированы. Всего записей: 3378 | Зарегистр. 07-09-2006 | Отправлено: 12:03 08-04-2009

StasKarabas Newbie Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: именно это и делалось  вырубил всех на cisco catalyst и пока всех не проверил, не запустил, ну окромя windows 98 . Эти машины он не задевает, так чо хоть какая-то польза от 98-й   Кхм ну если без циски они друг друга не видят, то ладно, еще я пробовал последний Virus Removal Tool с базами от 3его месяца, он тоже находит и убивает его, так что проверить желательно все машины, а лучше конечно физически отрубить комп, надежней   Если у когото не качаеться (что странно) можите слить отсюда http://admindays.1gb.ru/index.php?newsid=4 , внизу kkiller_v3.4.4.zip [159.06 Kb]. Всего записей: 12 | Зарегистр. 07-04-2009 | Отправлено: 12:34 08-04-2009 | Исправлено: StasKarabas, 12:40 08-04-2009

vovanj7 Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору StasKarabas   ага, пасиб, уже скачал, сейчас сканю им понемножку ---------- Ваши руки ввели идиотскую команду и будут ампутированы. Всего записей: 3378 | Зарегистр. 07-09-2006 | Отправлено: 13:42 08-04-2009

anpsoft Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору вирус в сетке вроде затих моей но от него на компах некоторых непонятки остались все связанные с сетью то она сама по себе отрубается вообще то после некоторого времени гаснут службы то просто не работают некоторые экзотические программы   кроме переустановки пока ничего не помогает слава богу сам вирус все реже виден, обычно на флешках случайных посетителей     Всего записей: 120 | Зарегистр. 13-10-2002 | Отправлено: 18:30 08-04-2009

StasKarabas Newbie Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата:   1)Все просто, качаем на флешку уже не раз озвученый набор заплаток, kidokiller, AVZ, корейт от веба, плюс каспер на всех машинах стоял.   2)подходишь к машине, фставляешь флешку.   3) выдераешь сеть из сетевухи!!!!!!!!!!!!!!!!!!!!!!!!!!!!!   4) ставишь заплатки и запускаешь сканирование всеми утилитами что есть и отключаешь автораны   5) выдераешь флешку, и выбираешь новую жертву.   6) если еще есть необработаные компы, то на пункт 2, если таких больше нет, то выход   Мдя, сначала тоже так делал с флешкой, но когда флешка здохла после 20 компа с ценной инфой, вот тогда я плюнул на все это, а не легче расшарить на компе или серваке, всеравно все заражено, стянул нужный софт с компа, отключился от сети, проверил. Насчет AVZ, он нихрена не видит, ну может со свежими базами, КурИТ тоже, чтото видит но удалить не может. Мой вам совет, Virus Removal Tool со свежими базами и желательно в безопасно режиме, или Kaspersky Internet Security 2009, поставил на большинство компов, отражает сетевые атаки Кидо, и находит и фиксит его. А так пока проблем не имею, но из за кидо службы на серваках поотваливались, и на некоторых машинах. Всего записей: 12 | Зарегистр. 07-04-2009 | Отправлено: 10:04 09-04-2009

vovanj7 Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору StasKarabas Цитата:   или Kaspersky Internet Security 2009     это все конечно хорошо, но вот есть маленький "ОЙ" . Лицензионный каспер стоит денег немаленьких, к тому же еще и корпоративный. А закуплены были НОД и АВАСТ   ---------- Ваши руки ввели идиотскую команду и будут ампутированы. Всего записей: 3378 | Зарегистр. 07-09-2006 | Отправлено: 11:09 09-04-2009

StasKarabas Newbie Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: это все конечно хорошо, но вот есть маленький "ОЙ" . Лицензионный каспер стоит денег немаленьких, к тому же еще и корпоративный. А закуплены были НОД и АВАСТ   Насчет Аваста, на личном ноуте стоит хом, полугодовой, с новой базой обезреживает вирусню, нод на работе на некоторых компах стоит, базы с января месяца, ничего не видит и бездействует вообще. Всего записей: 12 | Зарегистр. 07-04-2009 | Отправлено: 11:26 09-04-2009

vovanj7 Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору как я уже писал выше, НОД с базами апрельскими видит и пишет, что обезвредил, но наскаольно эффеткивно сложно сказать.  В сети вроде пока затихла эта эпидемия    По поводу АВАСТа тоже обнаруживает и пишет, что удалил Avast! 4.8.1335 Professional Edition ---------- Ваши руки ввели идиотскую команду и будут ампутированы. Всего записей: 3378 | Зарегистр. 07-09-2006 | Отправлено: 11:48 09-04-2009

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Эпидемия червя Kido, Conficker, Downadup

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование