» Эпидемия червя Kido, Conficker, Downadup

PavelDD
было такое, утилита ещё та, на форуме каспорского расписывали где поправить реестр, а что конкретно по памяти не вспомню

Уважаемые, подскажите плиз, есть ли патч для антивируса Symantec, чтобы Downadup удалял, а не специальными прогами пользоваться? Чтобы когда Symantec обновлялся, в его базах появлялись и обновления для удаления Downadup?

Обнаружил следующее.
Conficker создаёт задание в Windows\Tasks с названием At1.job
Внутри команда: rundll32.exe oossm,aidwuf
В определённое время (16.00) задание запускается, и Nod блокирует и помещает в карантин файл samqi.n из System32.
Задание удаляю руками или Kidokiller-ом - спустя некоторое время появляется.
Что посоветуете?
Машины win2003,нужные заплатки стоят.

аналогичная проблема с At1.job тока винда 2000 уже не знаю что и делать...

я вроде бы в сетке вывел эту гадость, по крайней мере сервак не падает больше
но прочитав сообщения про AT1.job, решил проверить нет ли у меня такого задания, оказалось есть , правда заплатки не ставил и сервис пак 1 стоит, винда 2003
файл удалил, помотрим появится ли он вновь

Посоветуйте, уважаемые, чем сервер от атак из локалки защитить. Постоянно валятся некоторые службы. У Аваста серверного вроде бы есть какая-то защита от атак, но что-то смущает тем, что нет в ней никаких настроек. Windows 2003 SP2.

Strekodil

Заплатки + файервол

emfs
Заплатки стоят, а по поводу файрвола рекомендации есть?

Strekodil
надо сначала все компы в локалке вылечить, я вылечил и заплатки даже не нужны, пока

freeman440
Правильный совет, но сеть более 300 компов и почти вся не в моем ведении

Strekodil
тогда закономерный вопрос: "Зачем тебе все это надо, если не твое?"

freeman440
Мои полтора десятка пользователей и серверок. Кормлюсь я с этого...

Цитата:

mcafee

- мне помогло

Strekodil

Цитата:

Посоветуйте, уважаемые, чем сервер от атак из локалки защитить. Постоянно валятся некоторые службы. У Аваста серверного вроде бы есть какая-то защита от атак, но что-то смущает тем, что нет в ней никаких настроек. Windows 2003 SP2.

Вот этим можно защитить http://forum.ru-board.com/topic.cgi?forum=5&topic=30588#1

такой вопрос
стоит виндовс 2003 сп2 с заплатками от кидо
но сервер все равно цепляет эту гадость когда какой нить пользователь сует флешку в клиентский компьютер
на клиентских стоит каспер (антихакер включен) версия 6 0 3 837
на 2003 стоит файловый серверный антивирус каспера (антихакера нет) версия 6 0 2 678
что посоветуете товарищи?

ali1977 Отлючить флешки на клиенских компьютерах полностю.... Ну если как серьезно - отключить автозапуск и автозагрузку флешек на клиенских компьютерах, позакрывать на них же порты посредством wwdc.

ali1977

Посоветую

сначала


Цитата:

kk.exe /jtaxzy

а потом,

WindowsServer2003-KB957097-x86-RUS.exe
WindowsServer2003-KB958644-x86-RUS.exe
WindowsServer2003-KB958687-x86-RUS.exe

attaattaatta
спасибо за совет но я вроде в сообщении написал что заплатки уже стоят)))
sumchanin_Yuri
эти советы тоже выполнены ранее а вот на счет wwdc надо попробовать

ali1977

На серваке пароли поменяй на сложные и поставь фаер.

Клиентские компы как взаимодействуют с сервером?

ali1977

Если Вы ставите заплатки на зараженную машину, то они просто напросто не работают в случае заражения Kido.ih и более поздних модификаций.

нет слов

KK запускал, утилитой от ДрВеба почистил. Вроде убрал. Но теперь не ходит в интернет (я про чужой комп). Соединение АДСЛ устанавливает, пингует и по айпу и по имени, но tracert глохнет на первой строке. Никто не сталкивался с таким?

GratefulDead
если у тебя ADSL и tracert глохнет на первой же строчке, это значит что он глохнет на модеме. Странно, что пинги ходят, ибо и ping, и tracert используют icmp протокол, разница лишь в том, что пинг - это эхо-запрос, а tracert использует сообщение TIME EXECEED протокола. Мб в модеме что-то режется, есть ли там встроенный файрвол? если есть, то надо выключить. Если есть возможность - поюзай другой модем

До лечения модем работал. Только медленно - трафик кидо отжирал. Сейчас логинится быстро (ppoe), пингуется без проблем. Провайдер сказал что с его стороны линия нормальная, что первый пакет ко мне проходит, далее блокируется. Он предположил что фаервол блокирует. Но я настройки фаера не менял.
ДР Веб когда лечил, удалил userini.exe и cscr.exe. Перестал входить. Тогда я загрузился с сидюка и скопировал с него эти файлы. Стал загружаться. Поскольку у меня провайдер другой - то более ничего не проверял и отдал ноут хозяину. Там была подозрительная служба (по Anvir Task Meneger). Сейчас следов ее не видно, но служба связанная с сетью. Может остатки вируса не пускают в нет?

Народ, ни у кого такое не наблюдается? 7-8-9 января мучился и вылечил компы (ставил патчи и удалял антивирусом конфикер из сети). Все нормально работало. Вдруг со вчерашного вечера опять началось все....логины блокируются, удаленно всех отсканил и НОД нашел пару Conficker'a в сети и удалил их.....
Откуда взялось и как вылечить теперь сеть?


Добавлено:
только на двух машинах не стоять патчи. Они являются ВПН серверами и когда я установил патч, то ВПН’ы сдохли. Тогда просто решилось и в течении 8-9 месяцев работал нормально, а сейчас...

только патчами и нодом не обойдёшься, по старинке рекомендация - ставь symantec корпоративный, сам тока отмучался, так после установки после касперыча в сети около 100 вирусов ещё обноруженно, хотя каспер на полную работал...

Так и я с этим компом не в первый раз. Пару месяцев назад пропатчил, почистил. Снова пролезли. Они, гады, развиваются

oler2
Цитата:

только патчами и нодом не обойдёшься, по старинке рекомендация - ставь symantec корпоративный, сам тока отмучался, так после установки после касперыча в сети около 100 вирусов ещё обноруженно, хотя каспер на полную работал...

могу утверждать с точностью 100 процентов только наоборот,стоит корпоративный симантек с последними обновами , но на вирусню не реагирует, каспер только и спасает пока

нет, может на этих двух машинах надо ставить какой-нибудь файрвол и позакрывать все порты?

У меня неделю назад тож прошла эпидемия - мож сработал таймер просыпания заложенных в январе бомб? Была большая активность. В основном стоит симантек ендпойнт - прибивал на ходу, да еще в логах писал, что блокирован ип такой-то -очень удобно. Компы без антивирусников, а также с различными авастами и пр. заражаются повторно, патчи из шапки не помогают пока не установишь какой-нидь АВ.Но ХР с 3 сервис паком, всеми обновлениями безопасности и без АВ - ни один не заразился.
Интересные особенности - в сетке постоянно работало 2 RPC сервака - пролечишь пару - еще появляется, пока с пом макафи сканера не проверил всю сетку. Такое впечатление что у него в запасе куча как бы не заразных компов, откуда он при необходимости достает новых ботов .
Из АВ видели и не дали заразиться SEP, KIS8, авира, и нод вроде.