HAngel Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Kido (также известный под именами Conficker, Downadup) - это компьютерный червь, использующий уязвимость операционных систем Microsoft Windows. Быстрое распространение вируса связано со службой Server service. Используя «дыру» в ней, червь скачивает себя из интернета. Интересно, что разработчики вируса научились постоянно менять свои сервера, что раньше не удавалось злоумышленникам. Также он может распространяться через USB-накопители.   Краткое описание(взято с сайта касперского): Подробнее...   Симптомы заражения: - блокировка учетных записей в домене - некоторые из служб операционной системы отключены (например, Automatic Updates, Background Intelligent Transfer Service (BITS), Windows Defender and Error Reporting Services) - контроллеры домена медленно отвечают на запросы клиентов - черезмерная загруженность локальной сети - недоступность сайтов windows update и сайтов антивирусного ПО   Зараженные компьютеры в локальной сети можно обнаружить при помощи: Подробнее...   Если у вас есть подозрение, что ваш копьютер заражен этим трояном и с этой машины есть доступ в интернет, то вы можете проверить заражен ли этот компьютер перейдя по ссылке http://www.confickerworkinggroup.org/infection_test/cfeyechart.html  (если компьютер заражен, то некоторые изображения не будут видны)   Удаление трояна: Подробнее...   Удаление вирусов: Общие положения...   Описание червя на Википедии Постоянно обновляемый сборник инструкций для удаления и обнаружения конфикера www.dshield.org/conficker порча ссылок в этом разделе запрещена. /emx/ Всего записей: 99 | Зарегистр. 16-10-2004 | Отправлено: 01:36 15-01-2009 | Исправлено: dmitri23, 10:13 23-10-2009

sumchanin_Yuri Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ZAnuX Такое не может быть, поскольку не может быть никогда... Может ты не туда смотрел?! Эти записи будут по любому Проверь ещё раз, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost в нем же (т.е. никуда дальше не идешь)  netsvcs (у меня 9 сверху). Всего записей: 1162 | Зарегистр. 02-01-2002 | Отправлено: 17:01 16-02-2009 | Исправлено: sumchanin_Yuri, 17:03 16-02-2009

gbcfkf Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору dvdm Прямо крик души..   В принципе согласен Не знаю, упоминалось или нет, но эта дрянь помимо всего прочего может заражать графические файлы. Позавчера полная проверка др.вебом нашла на одном компе зараженный jpeg файл с вполне осмысленным именем.. Цитата: Хм.. забавно, сегодня попробую проверить Проверил на трех компах, различий не увидел.. Всего записей: 702 | Зарегистр. 17-10-2006 | Отправлено: 00:24 17-02-2009

gbcfkf Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Что-то странное. Это действительно jpeg или только расширение? поторопился с выводом. Сигнатуру не проверял - антивирус настроен на автоматическое удаление раньше не встречал информации, что вирус создает файлы с осмысленным расширением.. Всего записей: 702 | Зарегистр. 17-10-2006 | Отправлено: 14:09 17-02-2009

ZAnuX Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору sumchanin_Yuri Прошу прощения...А тут то я проверял HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost, я просто еще где-то еще проверял, как было описано в каком-то топике форума) Но все равно хоть и были вирусы, но в конце небыло незнакомых служб( команд, или символов))   Добавлено: dvdm Фиг знает, фиг знает, я вот тоже устал уже бороться, 3-я неделя борьбы, а у меня только половину машин наверное из двухсот обезврежено...Хотя на которых и стоят заплатки и антивирусник, один фиг кидо лезет, и каспер его прибивает, в соновном он поселяется в System Volume Information... и Temporary Internet Files... (это после установок заплаток и лечение с помощью кидокиллер и каспера 6 фор воркстейшен). Но вердик один, заплатки и антивирусник с последними базами должны стоять на всех машинах)     Добавлено: Жесть, новые симптомы обнаружились... вирус уже вышибает драйвера на USB. Если зайти в диспетчер устройств, то на всх USB будет стоять желтый восклицательный знак) во такие дела Всего записей: 12 | Зарегистр. 06-11-2006 | Отправлено: 07:11 18-02-2009

ingvar1972 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ZAnuX Система имеет выход в инет ? Если да, то сочуствую. У меня пока не подтвержденные подозрения, что особую изобретательность зверь проявляет в сетках, подключенных к инету. В "закрытых" же системах он не такой уж и "шалунишка"... А вообще-то лечить рабочие станции надо только отключив от сети. И запускать в работу всю систему можно только тогда, когда проверена последняя рабочая станция. Поэтому кидокиллер - забавка для ленивых админов. Да, при лечении рабочих станций под виндой надо обязательно отключать восстановление системы и вручную шерстить корзину. dvdm Хватит плакать! Ни один, повторяю, ни один антивирус не отработал нормально на начальном, и даже среднем этапе эпидемии! В том числе и макака, и семантек. Макака и доктор вэб в начале, середине и даже в конце января даже не видели зверя! Семантек и Касперский более или менее начали отрабатывать по внешнему периметру защиты системы, если она еще не заражена, с числа 12-го января. По Ноду сказать особо ничего не могу - мало статистики - отзывы были разные. Но про авиру и аваст лучше не надо! Из более чем 30-ти компьютеров, вылеченных (без форматирования винта ) мной после нового года (помимо основной работы), более половины были "защищены" бесплатным авастом. Думаю, комментариев по их поводу больше не надо. Проблемы с лечением внутреннего заражения есть у всех, ибо еще до конца не поняты алгоритм поведения и реальные способности и возможности зверя - недаром мелкософт вываливает 250 тонн зелени за инфу об авторах. Ну, и в завершение, еще раз повторю, что антивирус при защите системы - только малая часть необходимых действий.   Пока все ЗЫ. Касперский, похоже, тебя услышал - уже более недели нет бэт корпоративной 8-ки. До этого выкладывали почти каждый день... Всего записей: 1253 | Зарегистр. 09-04-2006 | Отправлено: 08:45 18-02-2009

ZAnuX Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ingvar1972 Конечно это хорошо отключать все рабочие станции от сети и лечить их этим способом, а вообще лучше конечно всех сразу формат с:\ и зер гуд) но есть большое НО)) в сети у нас машин 200, да и я один админ, а ну и 3-4 сотрудника тех.поддержки, в любом случае одновременно не получиться 200 машин отключть от сетки)))было бы нас человек 150-200 да к тому же есть такие рабочие станции, которых врядли можно отключить, т.к. на них ведутся важные работы...то есть практически с утра до часу ночи...вот соотвественно и вывод, приходиться таким способом и заниматься борьбой     Добавлено: ingvar1972 Это конечно хорошо в тех случаях, когда компьютеров мало, но когда их в сети 200штук, то наврядли прокатит такой подход, поэтому вот и изощераемся по другому) да к тому же на некоторых машинах ведуться производственные задачи, от которых зависит грубо говоря отгрузка товара и прочее... вот. Всего записей: 12 | Зарегистр. 06-11-2006 | Отправлено: 09:34 18-02-2009

ingvar1972 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ZAnuX 1. Не надо мне припысывать "формат с:\"! Это очень дурной тон для хорошего системщика - "формат с:\"! Я поднимаю людям упавшие форточки так, что внешне они не замечают разницы. А "формат с:\" - это прерогатива сервис-центров компьютерных фирм.   2. И у меня в сетке около 200 машин, да еще и в двух зданиях. Если хочешь иметь гемор, возись и дальше. Когда нас прошибла "тенга" с деструктивным потенциалом несоизмеримо выше, чем у "кидо", мы с напарником (!) за ночь вычистили систему. А выйти тебе в воскресенье, к примеру, и "3-4 сотрудника тех.поддержки" - за полдня система вычищается, разумеется с подготовительными мероприятиями, далее пьете пиво в знак победы над врагом. Руководство, думаю, пойдет вам навстречу и даст отгул за этот день. А иначе будете учиться налаживать симбиоз с зверем... Всего записей: 1253 | Зарегистр. 09-04-2006 | Отправлено: 09:56 18-02-2009

ZAnuX Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ingvar1972 Ну простите уж, я не хотел обидеть вас) А сказал образно   Добавлено: ingvar1972 у мя кстати к тому же не только в двух зданиях, да еще раскиданы по заводу. Я по крайне мере стараюсь все делать удаленно, на то есть админ кит, который позволяет запускать и кидокиллер, удалять антивирусники других производителей и устанавливать сам каф 6 фор воркстейшен. К сожаления, WSUS не заработал, а так и заплатки централизованно можно было бы поставить (поэтому приходится в ручную ставить сейчас), видимо кидошник и там покапался. Вычитывал на форуме, что вирус и автоматическое обновление отрубал и не только... Всего записей: 12 | Зарегистр. 06-11-2006 | Отправлено: 11:22 18-02-2009

ZAnuX Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Kentvovan Для обновления (заплатки) винды существует WSUS, ну или скриптами через групповую политику) Правда у мя че то не поднялся, вернее он на серваке работает, но компы не цепляются этим займусь когда вирусню излечим.  kidokiller у меня запускается через Kaspersky Administrator Kit, и Kaspersky Antivirus 6 for Workstation ставиться также через kit. Ну вот, а с Symantec-ом дело не имел, вроде там тоже можно централизованно через админскую часть манипуляции проводить...) Всего записей: 12 | Зарегистр. 06-11-2006 | Отправлено: 16:35 18-02-2009

Mushroomer Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ingvar1972 Цитата: Поэтому кидокиллер - забавка для ленивых админов. Т.е. совсем бесполезен или польза от него все же есть? Всего записей: 22840 | Зарегистр. 19-01-2002 | Отправлено: 23:06 18-02-2009

ingvar1972 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Mushroomer Польза, разумеется, есть! Но применять его надо локально и в комплексе с другими "препаратами", не рассчитывая на волшебное исцеление всей сетки одночасно. Это не панацея. Ибо, как я уже ранее говорил, сетевого червя, особенно такого с до конца не раскрытым функционалом и такой сильной мутагенностью, лечить без отключения рабочих станций от сетки есть не самый оптимальный вариант. Слишком велика вероятность рецидивов. Мои коллеги не послушались меня (разовое ударное лечение с отключением ПК от сети) еще более месяца назад и до сих пор с ним сражаются в своей системе. Конечно, результат есть, но можно было достигнуть и большего.   ЗЫ. Прошу прощения за обилие медицинских терминов. Всего записей: 1253 | Зарегистр. 09-04-2006 | Отправлено: 23:54 18-02-2009

gbcfkf Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: поставить на все машины заплатки, Нужные, например KB958644 можно сразу поставить везде psexec'ом.. а потом уже настроить wsus Час от часу не легче.. вчера обнаружен, что заразился "сервер" 1с. Отвалились сетевые службы, прибежал, а там.. ба! семь заданий в планировщике. А антивирус главное молчит, хоть бы что ему.. kidokiller ничего не находит ( Проводить полную проверку боюсь.. три компа после нее сдохли. Придется снчала сделать образ жесткого, а потом уж лечить Всего записей: 702 | Зарегистр. 17-10-2006 | Отправлено: 00:49 19-02-2009 | Исправлено: gbcfkf, 00:51 19-02-2009

sarti Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору gbcfkf, Kentvovan, backup - как много в этом слове... Не панацея, но иные случаи и не предполагают какого-либо альтернативного решения. Что мешало сделать обычный system state? Это 5-10 минут от силы (и ~1Gb на винте). Пока будет подобное отношение к своему же труду - такие будут и проблемы, уж простите за откровенность. Просто иногда дело вовсе не в уязвимости п/о. Всего записей: 1972 | Зарегистр. 04-08-2006 | Отправлено: 07:28 19-02-2009

ZAnuX Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Kentvovan Доброе время суток господа. Кстати у меня с этого и началось атаки, вернее мы даже не знали что это проделки вируса, по началу пользователи начали звонить, что у них нет доступа к ресурсам на сервере, и то, что их учетные записи заблокированы. Далее на контроллере домена было обнаружено то, что службы которые должны быть запущены автоматом не стартовали. Я взял их и ручками запустил) Думал все нормально, но потом ояпть звонять пользователи и опять у них нет доступа. Смотрю службы опять вырублены ("Сервер", "Вторичный вход в систему" и еще парочка), так сидел запускал пол дня, пока не начали уже ставить заплатки и пробовать различные средства лечения вируса (kidokiller, drwebc, f-downadup). Потом вроде успокоилось, службы больше не отрубались, но там обнаружились другие косячки. Журнал событий просто переполнялся от сообщений типа Отказано в аутентификации (зараженная машина примерно в 1 секунду 10 раз переберала пароль юзверя) пытаясь то ли залогиниться, то ли попасть на другую машину и уже там делать свои черные деяния) Всего записей: 12 | Зарегистр. 06-11-2006 | Отправлено: 07:54 19-02-2009

gbcfkf Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору sarti А никто и не спорит В данной конторе я приходящий программист, а админа там никогда не было. Вот меня и попросили излечить сеть от вируса Бэкап никто настраивать там не будет - некому, а мне это не надо, я за это деньги не получаю ps пардон за оффтоп. Просто замечание о необходимости бэкапа задело за живое Всего записей: 702 | Зарегистр. 17-10-2006 | Отправлено: 08:06 19-02-2009

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Эпидемия червя Kido, Conficker, Downadup

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование