» Эпидемия червя Kido, Conficker, Downadup

slay1212
На всех машинах установил патчи(там СП2) и просканил антивирусом, вроде все чисто и работает нормально с января. Но одна проблема осталась.У меня есть ВПН сервер, где работает ОС win2k3 enter без SP'шок, вот там и не удаляется вирус(точнее удаляется но через некоторое время опять появляется), и думаю из-за этого мои учетные записи блокируются до сих пор и зависают сетевые ресурсы уже 3 дня. Не могу на эту машину, где стоит win2k3 и работает служба ВПН ставит эти патчи.... так как требует установки SP1 и SP2, а после того как я ставлю СПешки и патчи, то ВПН подключение пропадает, то есть маршрутизация умирает. Думаю пачти и ЭСПешки блокируют что-то.
Не подскажите как выйти из ситуации.

rkhodjaev - разобраться в первопричине -
Цитата:

после того как я ставлю СПешки и патчи, то ВПН подключение пропадает

Установить SP2 + зайти на windows update и обновиться до конца
Тема про vpn тут http://forum.ru-board.com/topic.cgi?forum=8&topic=0152&start=1380

ОЧень прошу помочь у кого есть время. Сам мало понимаю в этом.
В последнее время НОД, одновляемый каждый день, стал выдавать тревогу о вирусах: Например файл:
C:\WINDOWS\Temp\INFB4.tmp (каждый раз название разное INFB5.tmp, INFA6.tmp, INF105.tmp, INFB36D.tmp и т.д... )
Вирус: Win32/Conficker.AD червь
Комментарий: Событие при попытке доступа к файлу приложением C:\WINDOWS\system32\cidaemon.exe
Сначала это сообщение выскакивало раз-два в день, сегодня чуть ли не каждые 10 минут.
Сканил систему нодом - ничего не находит. Скачал утилиту KK.exe - тоже ничего не нашла. Захожу по ссылке в шапке - все картинки видны...
Винда XP SP2, комп в локалке, винду давно не обновлял.
Подскажите, пожалуйста, что это и что можно сделать. Заранее благодарю.

6OPOB
патчи установи от мелкомягких MS08-067, MS08-068, MS09-001 при отключенной сети

6OPOB
Загрузитесь через LiveCD, удалите все файлы из C:\WINDOWS\Temp. Ставьте пачти и сканируете комп c АВ. После этого для вашего компа и вам будет счастье.

6OPOB обновлять винду, ставить symantec corporate
kk.exe пройтись тоже следует

Цитата:

ставить symantec corporate

реклама?

konungster

Цитата:

реклама?

причём явная

6OPOB
обновлять винду не обяз. если не надо, для именно этого червя достаточно указанных патчей.

есть утилитка для скана сетки на проверку наличия червя на удалённом хосте от
mcafee

работает неплохо и позволяет узнать откуда лезет к тебе

вот она
http://www.mcafee.com/us/local_content/downloads/conficker_detection_tool.zip

konungster опыт с трёх мест работы
а какже kk.exe? типа один чел две фирмы рекламирует?

oler2

Цитата:

а какже kk.exe? типа один чел две фирмы рекламирует?

никаких претензий у меня нет
я вот могу и трендмикро и майкрософт форефронт порекомендовать.
просто не так явно,чтоли

Всем огромное спасибо! ЩАс буду пробовать.
Только уточню:
Цитата:

Загрузитесь через LiveCD, удалите все файлы из C:\WINDOWS\Temp. Ставьте пачти и сканируете комп c АВ. После этого для вашего компа и вам будет счастье.

эта процедура обязательна? В папке Темп ничего нет важного? Обязательно это делать через ЛайвСИДИ или можно еще как-то? Просто не знаю что это. АВ - это авира? НОД вместо него не прокатит?
И еще: после установки патчей как я понимаю этот червь не должен лезть ко мне, но у меня-то он где-то сидит... как его найти и удалить с меня, если учесть, что ни kk.exe ни указанный в шапке сайт мне ничего не находят... Или они его не находят потому что я его нодом удаляю, а потом он опять пролазит?

Добавлено:

Цитата:

есть утилитка для скана сетки на проверку наличия червя на удалённом хосте от
mcafee
работает неплохо и позволяет узнать откуда лезет к тебе
вот она
http://www.mcafee.com/us/local_content/downloads/conficker_detection_tool.zip

эта утилита показывает все компы в моей сети, в том числе и мой, и придает им статус "Not infected"

6OPOB
Без патчей от мелкософта вирус постоянно будет пролазить к тебе, нод только обнаруживает зараженность компьютера, когда конфикер уже в твоём компьютере.

Добавлено:

Цитата:

Или они его не находят потому что я его нодом удаляю, а потом он опять пролазит?

да

6OPOB

Цитата:

эта процедура обязательна? В папке Темп ничего нет важного?

Он как hidden сидит, то есть скрытый. Лично у меня такая проблема была, загрузился из LiveCD Bart PE или можете через Dr.LiveCD. В обоих случаях, вы увидите файлы

Цитата:

C:\WINDOWS\Temp\INFB4.tmp (каждый раз название разное INFB5.tmp, INFA6.tmp, INF105.tmp, INFB36D.tmp и т.д... )

удаляйте их, потом не забудьте ставить пачти.


Цитата:

АВ - это авира?

Любой АнтиВирус.


Цитата:

НОД вместо него не прокатит?

Катит, у меня он ловит нормально.

rkhodjaev
спасибо. сейчас загрузился с лайвсиди, *.tmp файл скрытый как вы говорите виден, но не удаляется, так и должно быть? Его только АВ можно удилить?

Добавлено:
Вобщем при загрузке с alkid livecd от 1.10.2009 из проводника не удается удалить файл с-виндоуз-темп-inf101.tmp - говорит "нет доступа, диск переполнен или защищен от записи"
Запуск с того же лайвсиди антивирей: nod4, фвира - не помогает, они его не идентифицируют как вирус.

Добавлено:
че-та даже не верится... касперыч с лайв сиди только его захапал, и то, только когда я ему указал конкретную папку для сканирования...
надеюсь проблема разрешилась, всем спасибо за помощь!

6OPOB

Цитата:

Его только АВ можно удилить?

АВ удалить, но после рестарта опять появится этот файл.

Как я Вам вчера написал:

Цитата:

6OPOB
Загрузитесь через LiveCD, удалите все файлы из C:\WINDOWS\Temp. Ставьте пачти и сканируете комп c АВ. После этого для вашего компа и вам будет счастье.

Цитата:

или можете через Dr.LiveCD.

100% даст возможность удалить файлы из темпа. Пробуйте Dr.LiveCD.

Народ кому нужна помощь в борьбе с этим гадом в сети обращайтесь.
Вот здесь мой скромный труд: http://forum.oszone.net/post-1145010-7.html
и некоторые замечания: http://forum.oszone.net/post-1216669-43.html

Основной момент в лечении - надо закрывать сразу и все дырки. Одни обновления не помогут. Учтите это. Кроме того если в сети до останется хоть один компьютер зараженный этой гадастью вся сеть будет потенциально в опастности - переустановили Win - подключили к сети и компьютер сразу заражен. Решили поменять пароль - сбросили его и вирус уже у вас в гостях

100% даст возможность удалить файлы из темпа. Пробуйте Dr.LiveCD

Так-же можно использовать загрузочный диск создаваемый Касперским при помощи BartPE

Цитата:

переустановили Win - подключили к сети и компьютер сразу заражен.

ДАже если СП3 ставишь?

Цитата:

ДАже если СП3 ставишь?

XP с "голым" SP3 не содержит обновления, закрывающие дырки, которые юзает Kido.
P.S. Точнее дырки обнаружились уже после выхода SP3.

сегодня попала и наша сеть в @#$%^ руки 'kido'..

пока пытаемся ставить следующее:

пользователи:
утилита с сайта касперского по удалению червя
KB958644
KB957097
ребут
повторный запуск утилиты и скан касперским

сервер win2003 sp2:
утиль
KB957097
KB958644
KB958687
ребут
утиль


пока после основного и неожиданного удара все затихло, но битва еще не окончена чую =\
каспер 6.0.4 прошляпил всухую, после лечения только теперь попискивает что вирус пытается проц запустить или что-то такое.

не нашел еще, какие патчи следует ставить на 2003, если SP не стоит? или таких нет..

Цитата:

какие патчи следует ставить на 2003, если SP не стоит

Не знаю, мы у себя навсяк случай SP2 накатили

это старенький серв у нас с голой 2003 доживает последнюю неделю, две утиль показывает все чисто, но блин параноя мучает теперь этого кида вижу повсюду уже

doc58_81oB0t

Цитата:

не нашел еще, какие патчи следует ставить на 2003, если SP не стоит? или таких нет..

Есть такие, сперва накатите SP. А потом пробуйте ставить эти патчи.

http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx

http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx

http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx

doc58_81oB0t
почитайте по ссылке которую я привел выше.
Там все подробно описанно.

Цитата:

Вот здесь мой скромный труд: http://forum.oszone.net/post-1145010-7.html
и некоторые замечания: http://forum.oszone.net/post-1216669-43.html

для сервера 2003 есть те же обновления ,


Код: KB957097
KB958644
KB958687

Что меня больше всего поражает - что я вначале, что другие админы -
относятся к этому зловреду както безалаберно - ай фигня какаято - поставлю заплатки и все ок. Еще парится искать dll-ки.... Пусть антивирус работает.

А если следующая модификация KIDO будет удялть файлы *.doc *.xls ???
Да за один день вся контора потеряет всю информацию. Представьте, на кого повесят вынужденный простой ?????

сервер 2008 sp2 уже содержит заплатки чтоль?

скачал:
Windows6.0-KB957097-x64.msu
Windows6.0-KB958644-x64.msu
Windows6.0-KB958687-x64.msu

не требуются пишет

VOLK1234
+100% согласен.
Но что им надо делать, что предлагаете

doc58_81oB0t

Да, в Win 7 и W2k8R2 этой уязвимости нет.

rkhodjaev
По ссылкам выше я все описал, что делать.
А в домене еще проще админам.

А еще модификация AB жестоко убивает доступ к компам из сети. приходится ресетить политики и колупать реестр

GodVart

Можно поподробннее, как именно закрывает доступ ?