» Эпидемия червя Kido, Conficker, Downadup

Да читал, майкрософт конечно виднее, но данные политики предполагают полную блокировку записи планировщика заданий даже для администратора вообще, а указанные мною только по сети, а в интерактивном режиме (консоль или терминал) можно. Полную блокировку Software\Microsoft\Windows NT\CurrentVersion\Svchost но есть и легитимные установки ее использующие (хоть и не часто), и не останавливает запись вредоноса system32, который потом героически будет удаляться антивирусом. Спорно все это.

Добавлено:
может хотите сказать что описанное работать не будет?

А ходили слухи что 3 мая вирус прекратит свою работу. Оказалось только слухи.

Ситуация такая, после заражения kido пришлось пролечит все компы, в основном система Win XP pro SP2 естественно заплатки были поставлены, но так же есть 20 компов с Win 2k SP3 которые находятся в отдельной локалке из 60и машин под управлением Win2003 (тоже вылечен и пропатчен). Попробовал обновить часть 2к ов до SP4 и поставил заплатки (Windows2000-KB914389-x86-RUS, Windows2000-KB921883-x86-RUS, Windows2000-KB923414-x86-RUS). В итоге после включеня зараженных компов пропатченные снова подхватывают заразу + пропатченые XP в той же локалки после атаки выдают сообщения о падении svhost, что само по себе не критично, но сильно раздражает. Можно как нибудь Win2k окончательно вылечить?

Сетевые ресурсы пропадают, на Терминальном сервере Print Spooler занимает 95-100% и очень медленно работают подключенные юзера, а когда отключаешь пользователи могут подключится нормально и работает. Есть ВПН сервер, оттуда идет и конфикер, то есть там сейчас нет Security Updates, потому что когда ставишь то маршрутизация пропадает.
Не подскажите, это конфикер и как решать проблему.

Итак, на ноутбуке с вистой х32 Kido подпортил запуск шелла, теперь при загрузке не запускается оболочка. Червячка-то я удалил, а вот как восстановить запуск Explorer, не знаю. Может тупо добавить в реестр?

Nuts2002

1) Если существует, удалить ветку реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]
2) Проверить значение:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
если другое - заменить на приведенное выше
3) В этой ветке:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]
добавить значение, если оно отсутствует:
"Shell"="SYS:Microsoft\Windows NT\CurrentVersion\Winlogon"

Nuts2002
В avz в восстановлении системы должна быть соответствующая микропрограмма. Не знаю правда насколько корректно она работает в Vista

Добавлено:
BagIra
Цитата:

HKEY_LOCAL_MACHINE\SOFTWARE\

Насколько я помню в Vista другие ссылки в реестре.

я правильно понял что в AVZ нет резидентного модуля ?

а почему интересно автор не сделает, ну хотя бы по более упрощенной схеме чем основная программа

еще нужно отключить (stop, disable) все шедулеры на ВСЕХ ПК в сети (с помощью sc ).. они называются At0..AtN время на их выполнение (старт) с 17 до 18-19 часов. конечно созданы под SYSTEM.

Обнаружен баг, после применения сего ... отключается раскладка клавы, пока что буду думать как исправить.

У кого домен. В GP "Computer configuration" перевести в disable службу шедулер. Админам дать права read. В GP так же поставить в автозапуск службы, автообновление и BITS. Плюс для подстраховки в "User configuration" в логон поместил батник с содержанием:

net use w: \\ip сервера\сетевая папка > nul
net use w: /delete >nul
net use w: \\ip сервера\сетевая папка
copy w:\wsus.reg "C:\Documents and
Settings\All Users\Application Data"
cd "C:\Documents and Settings\All Users\Application Data"
regedit.exe /s "C:\Documents and Settings\All Users\Application Data\wsus.reg"
wuauclt.exe /detectnow

Содержание WSUS.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://сервер wsus"
"WUStatusServer"="http://сервер wsus"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"AUOptions"=dword:00000003
"AutoInstallMinorUpdates"=dword:00000001
"DetectionFrequencyEnabled"=dword:00000001
"DetectionFrequency"=dword:00000003
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"NoAutoUpdate"=dword:00000000
"RebootRelaunchTimeoutEnabled"=dword:00000001
"RebootRelaunchTimeout"=dword:00000030
"ResucheduleWaiteTime"=dword:0000003c
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:0000000f
"UseWUServer"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000000
"NoWelcomeScreen"=dword:00000001

P.S Так же в рег файле сразу поставил блокировку автозапуска flash и cd.
P.S 2 - Если у пользователей урезаны права и wsus.reg не применяется, то в GP дать права на запись в реестр к веткам...
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

Прошло больше часа - машины не заражаются.

sJey
для тех у кого есть сервер wsus,вы такое хотели добавить и забыли об этом.

sJey
смысл все равно сводится к основным обязанностям сисадмина. Обновления -необходимый элемент. У кого вовремя пришьли обновления у тех собственно и проблем нет Ну и естественно разумная раздача прав пользователям+антивирусная защита. Даже большая сеть такими элементарными вещами предотвращается от лишних нападок на ура.

эти чертовы вирусы в этом году, вкупе с появлением инета в сетке, привели косвенно к падению производительности всего парка компов на фирме, из за антивирусов и экранов.


а память добавить весьма затруднительно, компам нужны ddr400 в основном и некоторым вообще еще более раннюю подавай, а ее фиг найти не говоря уж о бешенных ценах.

а что можете посоветовать по борьбе с этим вирусом и другими при таких условиях
приносные устроства пользователей ноутбки, нетбуки.
т.е. на них крутиться Ось как правило для домашнего пользования т.е в домен ввести не получиться -> как результат прав в ОС пользовательских ноубуков никаких, вручную ж ходить их чистисть не будешь? (в нашей сети пользовательских ноутов перевалило за 100 ).

какими методами можно бороться с вирусами на юзерских ноутах?
конечно есть вариана баны по IP-MAC-Port или что то еще есть?

icea
в топку и из окна все приносные и домашние компы...
давече как недавно, одна мадам засрать хотела рабочую сетку(везде уже заплатки были),приносила флешку..с ней провел беседу - она в отпор,мол муж сказал что с работы принесла, подкосячила рабочий комп и на файлообменнике понасоздоалось параши.
мда...

Добавлено:
icea
"есть вариана баны по IP-MAC-Port"
так.

Добавлено:
anpsoft
как вариант все в реестре поотключать автораны (сопуствуя исключить их вообще запуск).запретить создавать "левые" папки на дисках. и можно не заморачиваться на памяти особо.

KK_v3.4.7 http://support.kaspersky.ru/faq/?qid=208636215

как относитесь к бану по мак адресу с использованием такой длл? (конечто при условии что уровень пользователя ПК низкий, и\или нет у него на ПК админских прав )

__http://blogs.technet.com/teamdhcp/archive/2007/10/03/dhcp-server-callout-dll-for-mac-address-based-filtering.aspx

Добрый день) есть такой вопрос( возможно не очень умный)

если сервера имеют последние заплатки и kido на них уничтожен -но являются файл-сервером -

то есть пользователи имеют возможность сохранять свои документы на этих серверах

если мы имеем в этом случае

а) раб станция -зараженная kido
b) Сервер c обновлениями и без kido

c a) копируется файл на b)

сервер не может быть заражен по причине установленных обновлений
либо раз файл копируется то может быть занесен и kido

?

заранее спасибо) очень важно понять это)

100_let:

файловый сервер где хранятся профиля и\или сетевые диски?

если да то.. вирус там будет (скорее всего храниться что тоже не очень хорошо... ) (( антивирус должен его сразу отлавливать (антивирус файлового сервера).

заражений файлового сервера не замечено (антивирус отлавливает, а так кто его знает этот кидо... )

Цитата:

файловый сервер где хранятся профиля и\или сетевые диски?

нет

просто расшаренная папка на сервере в которую могут все кидать с зараженных компутеров

- в этом случае


Цитата:

сервер не может быть заражен по причине установленных обновлений
либо раз файл копируется то может быть занесен и kido

?

Добавлено:
или поставим вопрос так)

последний патч - последнее обновление в принципе не позволяет вирусу проникать на компьютер потому как вирус использует уязвимость которая в этом случае закрыта и проникнуть не может как бы заражен не был компьютер с которого копируются файлы на сервер

либо же последнее обновление просто не позволяет вирусу лезть в интернет( что в моей ситуации все равно -потому как интернета ни у кого нет и не будет)

Цитата:

100_let:
просто расшаренная папка на сервере в которую могут все кидать с зараженных компутеров

(кидо атакует по 445 порту, (Server service) у нас в сети есть машины на которых обновления стоят... но оно как то туда залазило... (были шары), + он атакует через http port 80.
(точно выяснить не удалось). на наши файловые сервера не залазит (что з файрволом что без))

думаю что не должен заразить ваш сервер, но компы в сети лучше проверить.

Здравствуйте !!! Поставил заплатки на серверах, но job-ы всеравно создаются...Кто нибудь с этим сталкивался ????

alexey_t
Кроме установки заплаток, надо все таки вирус найти и обезвредить, а установкой заплаток Вы только систему уберегли от дальнейших заражений... Просмотрите тему в режиме для печати - тут все уже объяснено до мелочей..

при возможности и желании можно отклюичить сервис сервер вобще .
правда удаленное управлении ммц не будет работать и конечно но же шары (обычные и админ.)

(тока лучше такое делать если есть чем удаленно админить машину - радмин, внц, ремот десктоп).

есть машина установлены обновления (win xp s2) , но вирус переодически появляется там..
что можете посоветовать ? доп . инфа есть еще идентичные машины тоже с 2м сп и также с обновлениями, но они чистые...

Поставь SP3 и прочие обновления

Вот наиболее "популярные" вирусы на июнь 2009:

мы победили kido установкой обновлений от мелкомягких и установкой антивируса ESET 4 версии

После лечения Кидо-вируса утилитой КК на сервере 2003SP2eng и установки патчей перестали выполняться таск-задания(job) по архивированию и удалению логов...
(Или так совпало, до этого все работало...).
При попытке пересоздать или создать новое задание окошко задумывается навсегда при запросе и вводе пароля админа(правильного).
Кто-то сталкивался?

А если создавать задания с помощью штатной утилиты schtasks и потом запускать эти задания. Будет выполнение или нет?