Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Эпидемия червя Kido, Conficker, Downadup

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

Открыть новую тему     Написать ответ в эту тему

HAngel



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Kido (также известный под именами Conficker, Downadup) - это компьютерный червь, использующий уязвимость операционных систем Microsoft Windows.

Быстрое распространение вируса связано со службой Server service. Используя «дыру» в ней, червь скачивает себя из интернета. Интересно, что разработчики вируса научились постоянно менять свои сервера, что раньше не удавалось злоумышленникам. Также он может распространяться через USB-накопители.
 
Краткое описание(взято с сайта касперского):
Подробнее...
 
Симптомы заражения:
- блокировка учетных записей в домене
- некоторые из служб операционной системы отключены (например, Automatic Updates, Background Intelligent Transfer Service (BITS), Windows Defender and Error Reporting Services)
- контроллеры домена медленно отвечают на запросы клиентов
- черезмерная загруженность локальной сети
- недоступность сайтов windows update и сайтов антивирусного ПО
 
Зараженные компьютеры в локальной сети можно обнаружить при помощи: Подробнее...
 
Если у вас есть подозрение, что ваш копьютер заражен этим трояном и с этой машины есть доступ в интернет, то вы можете проверить заражен ли этот компьютер перейдя по ссылке http://www.confickerworkinggroup.org/infection_test/cfeyechart.html  (если компьютер заражен, то некоторые изображения не будут видны)
 
Удаление трояна: Подробнее...
 
Удаление вирусов: Общие положения...
 
Описание червя на Википедии
Постоянно обновляемый сборник инструкций для удаления и обнаружения конфикера www.dshield.org/conficker





порча ссылок в этом разделе запрещена. /emx/

Всего записей: 99 | Зарегистр. 16-10-2004 | Отправлено: 01:36 15-01-2009 | Исправлено: dmitri23, 10:13 23-10-2009
freeman440

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Strekodil
тогда закономерный вопрос: "Зачем тебе все это надо, если не твое?"

Всего записей: 2503 | Зарегистр. 17-09-2008 | Отправлено: 16:57 15-09-2009
Strekodil

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
freeman440
Мои полтора десятка пользователей и серверок. Кормлюсь я с этого...

Всего записей: 5 | Зарегистр. 13-02-2008 | Отправлено: 17:10 15-09-2009
CASHis

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
mcafee
- мне помогло

Всего записей: 1 | Зарегистр. 18-11-2007 | Отправлено: 11:30 25-09-2009
vasko86



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Strekodil

Цитата:
Посоветуйте, уважаемые, чем сервер от атак из локалки защитить. Постоянно валятся некоторые службы. У Аваста серверного вроде бы есть какая-то защита от атак, но что-то смущает тем, что нет в ней никаких настроек. Windows 2003 SP2.  

Вот этим можно защитить http://forum.ru-board.com/topic.cgi?forum=5&topic=30588#1

Всего записей: 3 | Зарегистр. 23-09-2009 | Отправлено: 16:01 25-09-2009
ali1977



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
такой вопрос
стоит виндовс 2003 сп2 с заплатками от кидо
но сервер все равно цепляет эту гадость когда какой нить пользователь сует флешку в клиентский компьютер
на клиентских стоит каспер (антихакер включен) версия 6 0 3 837
на 2003 стоит файловый серверный антивирус каспера (антихакера нет) версия 6 0 2 678
что посоветуете товарищи?

Всего записей: 606 | Зарегистр. 15-07-2006 | Отправлено: 17:55 28-09-2009
sumchanin_Yuri



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ali1977 Отлючить флешки на клиенских компьютерах полностю.... Ну если как серьезно - отключить автозапуск и автозагрузку флешек на клиенских компьютерах, позакрывать на них же порты посредством wwdc.

Всего записей: 1162 | Зарегистр. 02-01-2002 | Отправлено: 20:15 28-09-2009 | Исправлено: sumchanin_Yuri, 20:24 28-09-2009
attaattaatta



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ali1977
 
Посоветую
 
сначала
 

Цитата:
kk.exe /jtaxzy

 
а потом,
 
WindowsServer2003-KB957097-x86-RUS.exe
WindowsServer2003-KB958644-x86-RUS.exe
WindowsServer2003-KB958687-x86-RUS.exe

----------
Фрилансю

Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 20:28 28-09-2009
ali1977



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
attaattaatta
спасибо за совет но я вроде в сообщении написал что заплатки уже стоят)))
sumchanin_Yuri
эти советы тоже выполнены ранее а вот на счет wwdc надо попробовать
 

Всего записей: 606 | Зарегистр. 15-07-2006 | Отправлено: 09:54 29-09-2009
emfs

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ali1977
 
На серваке пароли поменяй на сложные и поставь фаер.
 
Клиентские компы как взаимодействуют с сервером?

Всего записей: 900 | Зарегистр. 09-07-2007 | Отправлено: 14:00 29-09-2009
attaattaatta



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ali1977
 
Если Вы ставите заплатки на зараженную машину, то они просто напросто не работают в случае заражения Kido.ih и более поздних модификаций.

----------
Фрилансю

Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 12:06 01-10-2009 | Исправлено: attaattaatta, 12:06 01-10-2009
legko_kiev

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
нет слов

Всего записей: 92 | Зарегистр. 10-09-2005 | Отправлено: 13:38 01-10-2009 | Исправлено: legko_kiev, 06:03 06-10-2009
GratefulDead

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
KK запускал, утилитой от ДрВеба почистил. Вроде убрал. Но теперь не ходит в интернет (я про чужой комп). Соединение АДСЛ устанавливает, пингует и по айпу и по имени, но tracert глохнет на первой строке.  Никто не сталкивался с таким?

Всего записей: 107 | Зарегистр. 17-03-2004 | Отправлено: 15:50 06-10-2009
dekstero4eg

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
GratefulDead
если у тебя ADSL и tracert глохнет на первой же строчке, это значит что он глохнет на модеме. Странно, что пинги ходят, ибо и ping, и tracert используют icmp протокол, разница лишь в том, что пинг - это эхо-запрос, а tracert использует сообщение TIME EXECEED протокола. Мб в модеме что-то режется, есть ли там встроенный файрвол? если есть, то надо выключить. Если есть возможность - поюзай другой модем

Всего записей: 441 | Зарегистр. 29-06-2009 | Отправлено: 17:19 06-10-2009
GratefulDead

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
До лечения модем работал. Только медленно - трафик кидо отжирал.  Сейчас логинится быстро (ppoe), пингуется без проблем. Провайдер сказал что с его стороны линия нормальная, что первый пакет ко мне проходит, далее блокируется. Он предположил что фаервол блокирует. Но я настройки фаера не менял.
ДР Веб когда лечил, удалил userini.exe и cscr.exe. Перестал входить. Тогда я загрузился с сидюка и скопировал с него эти файлы. Стал загружаться. Поскольку у меня провайдер другой - то более ничего не проверял и отдал ноут хозяину.  Там была подозрительная служба (по Anvir Task Meneger). Сейчас следов ее не видно, но служба связанная с сетью. Может остатки вируса не пускают в нет?

Всего записей: 107 | Зарегистр. 17-03-2004 | Отправлено: 17:50 06-10-2009
rkhodjaev



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Народ, ни у кого такое не наблюдается? 7-8-9 января мучился и вылечил компы (ставил патчи и удалял антивирусом конфикер из сети). Все нормально работало. Вдруг со вчерашного вечера опять началось все....логины блокируются, удаленно всех отсканил и НОД нашел пару Conficker'a в сети и удалил их.....
 Откуда взялось и как вылечить теперь сеть?
 
 
Добавлено:
только на двух машинах не стоять патчи. Они являются ВПН серверами и когда я установил патч, то ВПН’ы сдохли. Тогда просто решилось и в течении 8-9 месяцев работал нормально, а сейчас...

Всего записей: 1002 | Зарегистр. 05-05-2006 | Отправлено: 12:08 07-10-2009
oler2



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
только патчами и нодом не обойдёшься, по старинке рекомендация - ставь symantec корпоративный, сам тока отмучался, так после установки после касперыча в сети около 100 вирусов ещё обноруженно, хотя каспер на полную работал...

Всего записей: 1194 | Зарегистр. 14-03-2006 | Отправлено: 16:47 07-10-2009
GratefulDead

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Так и я с этим компом не в первый раз. Пару месяцев назад пропатчил, почистил. Снова пролезли. Они, гады, развиваются

Всего записей: 107 | Зарегистр. 17-03-2004 | Отправлено: 17:08 07-10-2009
fedoseevka



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
oler2
Цитата:
только патчами и нодом не обойдёшься, по старинке рекомендация - ставь symantec корпоративный, сам тока отмучался, так после установки после касперыча в сети около 100 вирусов ещё обноруженно, хотя каспер на полную работал...
могу утверждать с точностью 100 процентов только наоборот,стоит корпоративный симантек с последними обновами , но на вирусню не реагирует, каспер только и спасает пока
 

Всего записей: 302 | Зарегистр. 09-02-2006 | Отправлено: 20:49 07-10-2009
rkhodjaev



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
нет, может на этих двух машинах надо ставить какой-нибудь файрвол и позакрывать все порты?

Всего записей: 1002 | Зарегистр. 05-05-2006 | Отправлено: 07:17 08-10-2009
slay1212

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У меня неделю назад тож прошла эпидемия - мож сработал таймер просыпания заложенных в январе бомб? Была большая активность. В основном стоит симантек ендпойнт - прибивал на ходу, да еще в логах писал, что блокирован ип такой-то -очень удобно. Компы без антивирусников, а также с различными авастами и пр. заражаются повторно, патчи из шапки не помогают пока не установишь какой-нидь АВ.Но  ХР с 3 сервис паком, всеми обновлениями безопасности и без АВ  - ни один не заразился.
   Интересные особенности - в сетке постоянно работало 2 RPC сервака - пролечишь пару - еще появляется, пока с пом макафи сканера не проверил всю сетку. Такое впечатление что у него в запасе куча как бы не заразных компов, откуда он при необходимости достает новых ботов .  
   Из АВ видели и не дали заразиться SEP, KIS8, авира, и нод вроде.

Всего записей: 336 | Зарегистр. 28-05-2008 | Отправлено: 09:17 08-10-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Эпидемия червя Kido, Conficker, Downadup


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru