Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3 4 5 След.
RSS
Вирус Conficker.X, Червь для корпоративных сетей
 
CureIT, по заявлением ДохтурВебовцев тоже обучен уже удалению заразы.
Изменено: SOLDIER - 18.01.2009 14:04:54
 
Насчет "утилиты от дяди Жени" - тестировал, работает, так что всем рекомендую.
А НОД32 про эту утилиту говорит что "вероятно модифицированный Win32/Genetik троян"!!!!
 
Цитата
metos пишет:
А НОД32 про эту утилиту говорит что "вероятно модифицированный Win32/Genetik троян"!!!!
логично, он же сигнатуру зверушек своих содержит.
 
Цитата
логично, он же сигнатуру зверушек своих содержит
не логично... все антивирусные базы в том или ином виде содержат сигнатуры вирусов, при этом антивирусники на базы не ругаются.
Изменено: metos - 18.01.2009 16:39:55
 
Цитата
metos пишет:
не логично... все антивирусные базы в том или ином виде содержат сигнатуры вирусов, при этом антивирусники на базы не ругаются.
во времена моей молодости большинство антивирей ругались на базы коллег, потом скорее всего научились использовать исключения, но так как утиилтка не слишком популярна ее в этих списках нет (кстати, насколько помню, нод еще и базы AVZ палит)
 
Тоже заразился данной бякой.
КАВ определяет как kido.by
Заражены сервера Windows 2003.
На данный момент установлены патчи, остановлена служба Taks manager(Планировщик заданий).
Утилитами klwk и CureIT проверены сервера, которые грохнули dll в system32 и куски виря в темпах IE.
Посмотрим что будет в после выходных.
 
Блин еле прошел путь регисрации сюда чтобы запостить вам Хелп! :evil:

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

Вот обновление заплатка - шобы Conficker  не лезли !!!

Если помогло - можно мне прислать по имейлу спасибо!  ;)

payats@mail.ru

мне будет и приятно и полезно - потому, как нужно знать кому помогло.

http://www.donbass.ua/news/technology/2009/01/15/pandalabs-soobschaet-ob-jepidemii-setevogo-chervja-conficker.html

А это общая инфа про вирусяку эту. (что пишут)
Изменено: Payats Pupkin - 19.01.2009 10:55:21
 
На отдельно взятой системе лечится довольно легко, gmer, combofix видят (AVZ иногда, видит dll из system32, по ре-ту "прямое чтение"), удаялть вручную по рез-м логов, зловредную dll отправлять в вирлаб для пополнения лечения с помощью утилит.
 
Добрый день. После нового года у меня была такая же ситуация, как и в певром посте, антивирус на всех компах в сети стоит symantec. Описание по удалению вируса на сайте symantec не помогло и пришлось обратиться за помощью к ним непосредственно. Вобщем хочу немного уточнить процедуру лечения, которая действительно помогла мне:

Вот статья и ссылки на то, что надо качнуть.

http://yabloger.org.ua/articles/31/po-povodu-trojanwin32agentbcjv-on-zhe-win32confickeraa-koroche-conficker - описание вирусняка

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx - ссылка на сайте microsoft – выбираешь версию операционки и сервиспак свой – появится ссылка на заплатку

вот утилита для удаления вирусняка с компа -
http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDow­nadup.exe
(запускать с админскими правами на машину)

как удалять :
1)      качаешь все это;
2)      отключаешься от сетки;
3)      ставишь заплатку для винды;
4)      запускаешь утилиту для удаления вирусняка – полная проверка;
5)      перегружаешься и включай сеть;
6)      радуешься жизни))

после проделанной процедуры на компах больше не наблюдается проявление вируса.

Да, чуть не забыл - вирус перебирает пароли локальных админов тоже, поэтому рекомендую сменить имена типа admin, administrator и аналоги на какие-нить другие и сменить пароли этих же локальных админов.

Надеюсь информация будет кому-то полезна
 
Стас Колебанов,
Сделал всё что Вы написали выше.
Установил заплатку (скачать не получалось, принёс от товарища).
Полная проверка сказала что всё чисто.
Перегрузился, подключил сеть.
Ввожу адрес http://www.microsoft.com/downloads/details.aspx?familyid=0D5F9B6E-9265-44B9-A376-2067B73D6A03&displaylang=en , после чего меняю язык файла для скачки на "Russian" - любой браузер просто вылетает.
Что делать - ума не приложу.
 
Alex Dem
Если Вы уже принесли заплатку от друга, зачем вам еще одна? Возможно на машине живет другой вирус, можно попробовать бесплатной утилитой от dr.web - ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
возможно она что-то прояснит.
 
Стас Колебанов,
Других вирусов не обнаружено, искал именно предложенной Вами утилитой.
Ещё одна заплатка конечно же не нужна. Я вообще к тому, что даже после всех манипуляций остаётся эффект от вируса, а именно - не доступная ссылка на заплатку.
 
Была аналогичная проблема.  Решено было все следующими методами:
Установка  заплаток  KB958644, KB958687, KB957097 как на сервера так и на рядовые машины.  Потом залезть  в "Назначеные задания"  эта зараза может там прописываться и всякие подозрительные  задания удалять ( еще службу "Планировщик задач" вообще стопануть ) Прогнать систему софтиной kb890830. Потом полное сканирование системы Доктором Вэбом ( Портабл версию можно бесплатно найти ) И по возможности  установить ESET NOD32 третью версию,  так как 2.7 хоть и видет его, но не удаляет.  Вообще Доктора и НОДА лучше использовать в тандеме  они друг-друга дополняют.
 
Запустил оба из указанных ниже по очереди, если сервис пак 3 на Индос ХП уже стоит, то один из них не ставится, какой не помню.Это и не важно. От мгновенной перезагрузки отказался. И запустил KidoKiller_v3.Показал что все в норме.Потом перезагрузился и..
Инет стал летать, а до этого показывал что он (инет) есть, а зайти не мог ни я ни остальные, кто через мой комп в инет заходил.Комп на работе используется не как сервак, а настроен как шлюз для доступа в инет др.пользователей.Исчезли глюки с повисанием компа и выдачей ошибки связанной с СВхост службой, после чего собственно и входил в кому комп не реагируя ни на что.
WindowsXP-KB921883-x86-RUS
WindowsXP-KB958644-x86-RUS
Идея не моя.
Понимаю, что надо еще и чистить комп, свой и всех остальных, но где и как не знаю.Подскажите. Заранее спасибо.
П.с.Нод v.2.7 вирус видел и бросал в карантин с оговоркой, что удалил или угрозу заблокировал, но эта дрянь появлялась с завидной регулярностью снова и ничем он мне так и не помог.
Трюк с прогой gmer у меня не прокатил.
Изменено: * - 05.02.2009 02:41:20
 
Безумец, gmer, после установки заплаток, уже похоже не видит, т.к. восстанавливаются права на ветку реестра, искать вручную
C:\windows\tasks - проверить на наличие скрытых задач, автозапуск отключить, папку Recycler (на всех дисках) очистить от всего лишнего,очистить все временые папки, в т.ч. Local Settings\Temporary Internet Files\ во всех профилях. Поискать файл с атрибутами ashr в папке system32, последнее можно попробовать так - пуск - выполнить- cmd
Код
dir C:\windows\system32\ /A:ashr

поискать по имени файла ищете службу в реестре, подробнее Краткое описание и инструкция по удалению от Microsoft
Цитата
Безумец пишет:
но эта дрянь появлялась с завидной регулярностью снова и ничем он мне так и не помог.
Включите встроенный брандмауэр windows, уберите в исключениях общий доступ к файлам и принтерам, дополнительно можете воспользоваться утилитой wwdc, см. также здесь
Можете ещё отключить административный доступ к локальным дискам, для это примените твик реестра
Код
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareWks"=dword:00000000
"AutoShareServer"=dword:00000000


Утилита для удаления Net-Worm.Win32.Kido обновилась
Доп. Net-Worm.Win32.Kido.by и KidoKiller 3.1
Изменено: Alexey I - 05.02.2009 10:25:17
 
Увидели в eset conficker.x это не повод паниковать!
за вышеупомянутый он так же принимает downbackup и hijaker которые не так страшны + еще пару софтин для захвата видео с игр. И читов(но это со слов знакомого, читами не пользуюсь)
Kido реально помогает только на лакальных тачках, в сети и 90% гарантии нет!
Заплатка от MS устраняет лишь 1 способ запуска так что лажа! Причем удалив sp3 и поставив 958644 вы откроете гараздо больше дыр, опять лажа!
Про флешки вранье!!! Не распространяется он таким способом, по крайней мере тот что мне попался! боюсь как бы не нов версия...

Интерестная особенность: отваливается значек громкость, вместе с микшерами и прочим из диспетчера устройств, хотя звук то есть то нет. И не работает Sequoia (может просто совпадение). Не работают обновления винды и нода. При запуске полноэкранных приложений не уходит пуск.И все тормозит!

avast не дает этой сволочи папасть на комп, с подопытными я соединен сетью, но вот насчет удаления\лечения хз.

про Ad-Aware забудте!!! такое чувство что она считает опасным все что только можно запустить!!! из 456 сообщений не подтвердилось ни одно!

CureIT чего-то там удаляла... не справилась короче.
про каспера и веба писать не стану что бы не разжигать холиваров.

Что помогло спасти другу друга!:) - Руки, левая и правая!

удаляем :
system32\x
system32\x.268 (x.264 - это вроде от кодека не путайте)
system32\*.am, *.jm, *jz.
чистим все Temporary Internet Files всех пользователей! там куски тела вируса, по мимо гифоф и пнгшек обнвружил iui.mp3 Не запускайте сразу BSOD.
в момент зачистки в сети закрываем 139 и 445 порт.
отключаем в службах Tasks
чистим все корзинки и темпы
Удаляем нафиг папочку Prefetch из windows
а дальше eset...
Должно помочь!

З.Ы.Ждите новых вирусов на уязвимости МС которая до сих пор не закрыта!!!
+ ссылка на видео как ломается любой комп под управлением win2k-win7 используя ту самую уязвимость!!!
Жмякни_Меня
 
Цитата
Alex Qeuper пишет:
Заплатка от MS устраняет лишь 1 способ запуска так что лажа!
Там 3 заплатки
http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx
http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx
http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx
Добавлю ещё, что надо ставить сложные пароли администратора (актуально для серверов DC, где порты обычно не закрывают фаерволом), встречались случаи успешного подбора паролей (обычно в таких случаях появляется проблема с блокированием учеток)
Цитата
Alex Qeuper пишет:
Причем удалив sp3 и поставив 958644 вы откроете гараздо больше дыр, опять лажа!
Зачем удалять sp3?
Цитата
Alex Qeuper пишет:
Про флешки вранье!!!
Это вы вирлабы обвиняете, что анализ червя не правильно провели? :) Распространяетя через флешки, проверено, мне приносили такие флешки :)
KidoKiller обновился до версии 3.2 умеет теперь удалять назначенные задания.
Изменено: Alexey I - 12.02.2009 19:45:20
 
Цитата
Alexey I пишет:
Там 3 заплаткиhttp://www.microsoft.com/technet/secu...8-067.mspxhttp://www.microsoft.com/technet/secu...8-068.mspxhttp://www.microsoft.com/technet/secu...9-001.mspx

MS08-068
Windows XP Service Pack 3 Remote Code Execution Important None
MS08-067
Windows XP Service Pack 3 Remote Code Execution Critical None

Одна из них точно не ставится на sp3(может последствия вируса). Скрин в студию с 3мя этими заплатками на sp3!!! И отчет сканера уязвимостей, которым вы пользуетесь. Я оставляю за собой право ошибаться в мелочах, но суть останеться сутью.
Пару дней назад появилась на работе эта тварь(не модифицированная не лезла из prefetch), на машинах где стояли эти заплатки, все равно пролезла. Админы явно не дураки!

Цитата
Alexey I пишет:
Это вы вирлабы обвиняете, что анализ червя не правильно провели? :) Распространяетя через флешки, проверено, мне приносили такие флешки :)
Ни кого ни в чем я обвинять не буду, они знают свое дело, сами ведь их пишут )))
Повторюсь но не заражается через флешки!!! Жаль нет его больше, а то бы я вам его скинул.;) Я пишу о том что это какая-то модифицированная дрянь она немного отличается от того что было... и файлы были не по 165 не по 164 кб а 170кб. Честно думал что написал об этом в первом посте.

И вообще я ни о чем не спрашивал я всего лишь поделился информацией и наблюдениями. Мне не платять за всевозможные исследования вирусов!
 
Alex Qeuper, то, что вы смотрите как None, это "Bulletins Replaced by this Update"
Цитата
Одна из них точно не ставится на sp3(может последствия вируса)
Или уже установлено или не ту версию смотрите.
Цитата
Скрин в студию с 3мя этими заплатками на sp3!!! И отчет сканера уязвимостей, которым вы пользуетесь
Надеюсь я вас не сильно огорчу, но у меня не WinXP :)
Цитата
они знают свое дело, сами ведь их пишут )))
Нет, не пишут.
Цитата
Жаль нет его больше, а то бы я вам его скинул
Ничего никуда скидывать не надо, достаточно проверить на virustotal и зловред попадет в вирлабы (если у кого-то нет)
Цитата
Повторюсь но не заражается через флешки!!!
Заражаются, поверьте, опыт в лечении этого червя у меня накопился достаточно большой, если у вас есть проблемы с лечением от зловредов, см. подпись.
 
Бла бла бла... Alexey I Завязывайте, не обращаете внимание на смайлы, выдергиваете фразы из контекста, отправляете меня к статьям для ламеров. Ужас! Я вам про Фому а вы мне про Ерему. Давайте просто закончим.
Страницы: Пред. 1 2 3 4 5 След.
Читают тему