HAngel Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Kido (также известный под именами Conficker, Downadup) - это компьютерный червь, использующий уязвимость операционных систем Microsoft Windows. Быстрое распространение вируса связано со службой Server service. Используя «дыру» в ней, червь скачивает себя из интернета. Интересно, что разработчики вируса научились постоянно менять свои сервера, что раньше не удавалось злоумышленникам. Также он может распространяться через USB-накопители.   Краткое описание(взято с сайта касперского): Подробнее...   Симптомы заражения: - блокировка учетных записей в домене - некоторые из служб операционной системы отключены (например, Automatic Updates, Background Intelligent Transfer Service (BITS), Windows Defender and Error Reporting Services) - контроллеры домена медленно отвечают на запросы клиентов - черезмерная загруженность локальной сети - недоступность сайтов windows update и сайтов антивирусного ПО   Зараженные компьютеры в локальной сети можно обнаружить при помощи: Подробнее...   Если у вас есть подозрение, что ваш копьютер заражен этим трояном и с этой машины есть доступ в интернет, то вы можете проверить заражен ли этот компьютер перейдя по ссылке http://www.confickerworkinggroup.org/infection_test/cfeyechart.html  (если компьютер заражен, то некоторые изображения не будут видны)   Удаление трояна: Подробнее...   Удаление вирусов: Общие положения...   Описание червя на Википедии Постоянно обновляемый сборник инструкций для удаления и обнаружения конфикера www.dshield.org/conficker порча ссылок в этом разделе запрещена. /emx/ Всего записей: 99 | Зарегистр. 16-10-2004 | Отправлено: 01:36 15-01-2009 | Исправлено: dmitri23, 10:13 23-10-2009

ingvar1972 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Texnar_POLITEX Там cmd-файлы с номерами. Два под номерами "1" различаются только под сервера и рабочие станции. Цитата: А какая последовательность? И насколько это тебе помогло? ) Лучше предохраниться, чем лечить! Я следил за этим действительно выдающимся достижением в вирусописании практически с самого начала и поэтому сумел "предохраниться". Теперь система (180 машин) довольно-таки защищена - за последнюю неделю отбито 8 внешних попыток заражения системы. Всего записей: 1253 | Зарегистр. 09-04-2006 | Отправлено: 19:01 30-01-2009

sumchanin_Yuri Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Texnar_POLITEX Все обновления для XP в соседнем топике вот они . Для полного комплекта ещё предлагаю использовать скриптик anti_kido тутечки очень интересное идет обсуждение. Texnar_POLITEX советую прочитать, кроме того утилиту anti-downadup (от Bitdеfender) там же и описание есть правда на английском.     dmention Цитата: У меня в "управление компьютером -> службы" есть служба "Manager Network". Описания у нее нет. Есть только гиперссылка запустить. При нажатии выдается сообщение об ошибке. В свойства тоже заглянуть не удается, пишет что-то типа "не найден соответствующий раздел реестра или в реестр внесены некорректные данные". судя по всему это и был сам вирус, с диска ты его удалил, а в реестре он остался. Я же приводил методику по очистке реестра   смотри на предудущей странице... У меня сейчас на работе пока инет отключен , а то я бы мог по аське или ещё как то попытаться помочь, пишу пока из дома...   Всего записей: 1162 | Зарегистр. 02-01-2002 | Отправлено: 20:43 30-01-2009 | Исправлено: sumchanin_Yuri, 22:05 30-01-2009

sLap Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: exnar_POLITEX советую прочитать, кроме того утилиту anti-downadup (от Bitdеfender) там же и описание есть правда на английском.   Firefox кричит на эту ссылку "Имеется информация, что этот сайт атакует компьютеры!" http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=ru&site=http://www.bitdefender.com/VIRUS-1000462-en--Win32.Worm.Downadup.Gen.html Всего записей: 214 | Зарегистр. 31-05-2002 | Отправлено: 12:17 31-01-2009

TokImota Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Firefox кричит на эту ссылку "Имеется информация, что этот сайт атакует компьютеры!" http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=ru&site=http://www.bitdefender.com/VIRUS-1000462-en--Win32.Worm.Downadup.Gen.html это сайт разработчика антивирусных программ Всего записей: 721 | Зарегистр. 21-08-2007 | Отправлено: 13:07 31-01-2009

sumchanin_Yuri Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Texnar_POLITEX На предыдущей странице попытался более подробно дать методику нахождения и удаления вируса (или проверки, что вирус вычищен). Всего записей: 1162 | Зарегистр. 02-01-2002 | Отправлено: 08:17 03-02-2009 | Исправлено: sumchanin_Yuri, 22:17 03-02-2009

pasha Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Тоже поимели проблем по полной...   Чего только не делали... Все проблемы начались с того, что был блокирован WSUS... 1. Установили на все р/станции SP3 для Windows XP.   2. Потом рекомендованные обновления (вручную): MS08-067 http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx   MS08-068 http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx   MS09-001 http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx 3. Остальные - с WSUS'а. 4. Запретили автозапуск. 5. Удалили все задания из шедулера. Остановили его. 6. Из Recycler'а удалили все файлы. 7. Прошлись всеми возможными сканерами (от Eset'a, DrWeb'a, Kasper'a, Symantec...). Eset'овская находит крайне редко, KidoKiller - на большинстве машин. Симантековская и ДрВеб - ни разу... M$'ская - тоже ничего не находит... 8. На всех машинах включили брандмауэр.   Накал борьбы спал, но эпизодически всплывают отдельные проблемы...   Кой какие ссылки: http://bishop3000.livejournal.com/105424.html?thread=2020304#t2020304 http://download.eset.com/special/EConfickerRemover.exe http://www.myantispyware.com/2009/01/08/flash-disinfector-free-autoruninf-trojans-removal-tool/ http://support.kaspersky.ru/faq/?qid=208636215 http://support.microsoft.com/kb/962007 http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml Обсуждения: http://forum.isuct.ru/cgi-bin/yabb/YaBB.cgi?num=1231756042 http://sysadmins.ru/topic221033-120.html   PS Кстати, KidoKiller обновился до 3.1. Всего записей: 1207 | Зарегистр. 27-10-2002 | Отправлено: 22:59 03-02-2009 | Исправлено: pasha, 23:14 03-02-2009

Funtik_Vintik Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору В одной из контор установка KB 958644,958687,957097 на W2003 как позже выяснилось, похоже не помогла ! Недавно удаленные задания в планировщике появились вновь, под svchost'ом обнаружились запущенными десяток rundll. Поставленный туда (одновременно с KB) DrwSpider отловил и удалил вновь появившиеся файлы, но как они туда опять по сетке залезли если патчи стоят ???? Непонятно Всего записей: 163 | Зарегистр. 18-07-2007 | Отправлено: 20:28 04-02-2009

TokImota Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: но как они туда опять по сетке залезли если патчи стоят ???? Непонятно админские шары открыты?  под администратором  не мог попасть? Всего записей: 721 | Зарегистр. 21-08-2007 | Отправлено: 21:59 04-02-2009

JetP1L0t Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору http://slil.ru/26620928 - утилиты от ESET и BitDefender, на данный момент помогли без перезагрузки Всего записей: 69 | Зарегистр. 17-04-2003 | Отправлено: 00:13 06-02-2009

ZAnuX Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Доброе время суток. Хочу поедлиться своей историей) Выйдя в понедельник 2 февраля обнаружил странную вещь, на серверах были отключены парочка служб, таких как "Сервер", "Вторичный вход в систему", и еще какие-то, не помню). Начались обильные звонки юзверей, о том что у них не было доступа к расшаренным ресурсам. и то, что учетные записи блокируются. Далее KIS 8.0.0.454 начал выдавать сообщение Intrusion.Win.NETAPI.buffer-overflow.exploit (атака с определенного айпи адреса по 445 порту). Выяснилось, что это проделки вируса Net-Worm.Win32.Kido.fj. Вычитали статьи в интернете, и начали ставить заплатки KB958644, KB957097, KB958687, KB921883 и антивирь, где он не стоял, KIS 8.0.0.506. Дополнительно прибивали вирь утилиткой от касперского Kidokiller в безопасном режиме, далее опять прогон касперским. В принципе вирь убивался (c:\windows\system32\[произвольные символы].dll, c:\Document and settings\Юзверь\Local Settings\Temporary Internet Files\[произвольные символы].bmp или .jpg, c:\Recycler\....\[произвольные символы].vmx), но почему то на следующий день атаки с вылеченного компа возобновлялись. но не со всех. Помогала повторная проверка. А на сервере по началу вылетал процесс svchost, также в "Назначенных заданиях" появлялись и до сих пор поялвяются задачи At1, At2,.... (причем если посмотреть в свойства задачи, было видно запланированный запуск rundll32.exe [произвольные символы].dll каждый день и в определенное время). На сервере в журнале событий в Безопасности постоянно генерируются сообщения об отказе аутентификации, то есть как я понел вирь с зараженного компа пытается подобрать пароли с разными учетными записями в домене, причем по подсчету где-то 11 попыток в секунду. Короче борьба продолжается, и похоже займет еще не одну неделю... Может найдется какой-то универсальный метод Всего записей: 12 | Зарегистр. 06-11-2006 | Отправлено: 14:04 06-02-2009

sumchanin_Yuri Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ZAnuX Я привел как мне кажется именно универсальную методику вот тут дополнив ее методикой от самой Microsoft, согласно её рекомендацией... Всего записей: 1162 | Зарегистр. 02-01-2002 | Отправлено: 17:10 06-02-2009

TokImota Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору можно на время сделать при логоне чтобы у пользователей запускался кидокиллер. только таким образом прекратили эпидемию + все методы с заплатками и антивирусами Всего записей: 721 | Зарегистр. 21-08-2007 | Отправлено: 22:08 06-02-2009

ZAnuX Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору sumchanin_Yuri В принципе на счет рабочих станций мы разобрались, вот единственное это в связи с атакой возникшие косячки устранить осталось, во-первых, эти At1....10.job,которые после удаления все равно через какое-то время появляются, потом остановка некоторых служб, и невозможность их запуска в ручную...хотя на серваке вирусы были и они были удалены успешно, но как будто где-то что-то сидит еще. А по поводу останова планировщика, ведь у мя там делаются бэкапы. и то, что порты перекрывать, наверное в доменной инфраструктуре будет некорректно, а может и корректно))   Добавлено: TokImota А по поводу того, чтобы при логоне у пользователей запускался кидокиллер, это хорошая идея, но тут не всегда кидокиллер помогает, тут лучше сочетание прогона кидокиллером и кисом и лучше в безопасном режиме... Всего записей: 12 | Зарегистр. 06-11-2006 | Отправлено: 00:33 07-02-2009

sumchanin_Yuri Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ZAnuX С этим трудно не согласиться Цитата: во-первых, эти At1....10.job,которые после удаления все равно через какое-то время появляются, потом остановка некоторых служб, и невозможность их запуска в ручную...хотя на серваке вирусы были и они были удалены успешно, но как будто где-то что-то сидит еще. так имеет то же самое, лично у меня при первом обнаружении вируса 5 января (когда ещё не было ни описание толкового как его обнаруживать и уничтожать, почему и были использованы команды досовские) ничего не находилось приведенном в пункте 7 по рекомендациям MS, планировщик тоже пустовал (на рабочих станциях он не используется), потом через время смотрю появились задания в планировщике и то не на всех машинах...     Насчет планировщика - существуют куча куда лучших аналогов, с гораздо большими возможностями, может стоит их применять (nncron, xStarter)   У меня такое ощущение, что действия вируса не до конца изучены, где то он ещё закладывает "временные бомбы". Всего записей: 1162 | Зарегистр. 02-01-2002 | Отправлено: 11:19 07-02-2009 | Исправлено: sumchanin_Yuri, 11:38 07-02-2009

adSka Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору не подскажите, етот зверёк модифицирует исполняемые файлы на диске? Всего записей: 130 | Зарегистр. 13-11-2006 | Отправлено: 16:10 07-02-2009

ZAnuX Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору sumchanin_Yuri Спасибо за совет! Всего записей: 12 | Зарегистр. 06-11-2006 | Отправлено: 08:12 08-02-2009

pasha Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору В каком-то из обсуждений наткнулся на такой пост, что "на машинах, где установлен Avast, пользователи оказались лишены прелести лицезреть Kido и его последствия... " Поставил (для эксперимента) на свою рабочую машину в дополнение к NOD'у - после запуска сканера нашел в RECYCLER две копии вируса! И это после всех танцев с KidoKiller'ом и т.п.... Удалил не содержимое корзины, а саму корзину - задач в шедулере за полдня не появилось, посмотрим что будет дальше.   И еще, кого напрягают _само_ наличие задач - at /delete /yes. Можно рабочий день начинать с этого... Всего записей: 1207 | Зарегистр. 27-10-2002 | Отправлено: 21:21 08-02-2009 | Исправлено: pasha, 21:26 08-02-2009

ZAnuX Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Доброе время суток господа. Дела такие, вроде бы думали что активность вируса понизилась, но не тут то было, теперь уже в C:\WINDOWS\System32\ появились файлы совсем с левыми расширениями, такими как .viv, .bm, также имя файла состоит из различного набора латинских букв. Все это было обнаружено KIS-ом 8.0.0.506. Не у кого не встречалось ли такое? Всего записей: 12 | Зарегистр. 06-11-2006 | Отправлено: 11:03 09-02-2009

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Эпидемия червя Kido, Conficker, Downadup

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование