» Эпидемия червя Kido, Conficker, Downadup

Добрый день!

Подскажите как удалить ручками последствия вируса?
Поскольку, сетевые атаки прекратились, службы не останавливаются, учетка не блокируется, планировщик задач очищен и отключен, левые процессы отсутствуют, реестр поправлен....
из чего я сделал вывод, что вирус обезврежен и единственное что беспокоит, это периодическое (каждые мин 5-10) выскакивание предупреждение НОД32 о вирусе..

Как очистить окончательно?

Texnar_POLITEX, ответ очевиден: либо обновить сам NOD (и/или его сигнатуры), либо поставить нормальный антивирусник, который вместо выдачи предупреждений займётся, наконец, настоящим делом - т.е. непосредственно чисткой от вирусов.
А какой вариант тут ещё может быть?

базы самые последние, аналог симантек с обновленными базами выдает такой же результат..

Texnar_POLITEX
заплатки поставил? Если компьютер чист, значит кто-то пытается заразить из сети

Texnar_POLITEX
если комп чист, сомтри откуда идет атака в сети...

CEMEH


Цитата:

Для подшефных надо софтину писать "безоговорочно удалять autoran.inf со сменных носителей"

Именно это ниндзя и делает.
Плюс, она может удалять с флешки экзешники из составленного админом списка (стандартный список небольшой, но вполне показательный и безопасный).
А ХРеновый авторан для сменных носителей она может и не отключать. Она срабатывает быстрее "Определения оборудования оболочки", которое уже получает вполне безопасный сменный носитель.

Кстати, есть похожая приблуда от касперского. Она сканирует съёмные носители по прилагаемым базам и вычищает autorun.inf вместе с экзешниками.
Вот это "вместе с экзешниками" - единственный плюс её по сравнению с ниндзей, имхо.
Минусы: шароварная, более ресурсоёмкая, взаимодействующая с пользователем.

FreemanRU


Цитата:

При "щелчке" на диске в проводнике срабатывает авторан (то, что записано в autorun.inf)

Не совсем так, там всё сложнее (могу ошибаться, пишу по памяти, проверить не на чем). Если щёлкаем по заражённой флешке в панели файлов, то безусловно будет проанализирован autorun.inf и выполнена та пакость, что в нём прописана. Если же у нас открыто дерево каталогов (в Проводнике), и переход на флешку делается щелчком по сменному диску в дереве, то будет просто открыт корневой каталог флешки/телефона/карты памяти. Вирус будет в пролёте.

Добавлено:
LeshiyRUS

Windows 2000 не подвержена полностью вирусам этого класса. Там нет дурости под именем "определение оборудования оболочки". А так в принципе да, если к тому же есть домен, то выключать через политики удобнее. Если без домена, можно использовать .reg или .bat

Новинка! Совершенно бесплатно!

Цитата:

"Лаборатория Касперского", ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает о появлении новой версии Kido, которая отличается от предыдущих разновидностей усиленным троянским функционалом.

Новая модификация вредоносной программы Kido, представленная Net-Worm.Win32.Kido.ip, Net-Worm.Win32.Kido.iq и другими вариантами, способна противодействовать работе антивирусных программ, запущенных на зараженном компьютере. В новой версии существенно возросло количество сайтов, к которым вредоносная программа обращается за регулярными обновлениями: с 250 до 50 000 уникальных доменных имен в день.

"Угрозы возникновения вирусной эпидемии новой разновидности Kido пока нет, – говорит ведущий антивирусный эксперт "Лаборатории Касперского" Виталий Камлюк. – Однако если обновленный Kido сможет собой заменить ранее установленные на зараженных компьютерах модификации, то это может вызвать серьезные проблемы в противодействии создателям вредоносной программы".

Напомним, что Kido представляет собой червя с функционалом типа Trojan-Downloader, то есть он осуществляет доставку других вредоносных программ на зараженный компьютер пользователя. Первые случаи заражения этой вредоносной программой были зафиксированы в ноябре 2008 года.

"Лаборатория Касперского" рекомендует всем пользователям установить обновление MS08-067 для Microsoft Windows, поскольку вредоносная программа использует критическую уязвимость операционной системы для распространения через локальные сети и съёмные носители информации. Антивирусное решение с актуальными сигнатурными базами и настроенный сетевой экран также могут предотвратить заражение.

Запись о новых вариантах Kido была добавлена в антивирусные базы "Лаборатории Касперского" в субботу, 7 марта. Пользователи антивирусных продуктов "Лаборатории Касперского", обновившие операционные системы с помощью патча компании Microsoft, полностью защищены от вредоносной программы Kido.

http://www.kaspersky.ru/news?id=207732919

Это всё замечательно. Только это не всё. Нужно установить 2 обновления.
Патчи есть в инете. Но вирусный до конца не удалиться.NOD всё равно по 20 раз пишет что обнаружен.
НА серверах и на компьютерах поганит сервис по которому проникает - это сервис RCP
Щас в домене вапще ужас что твориться. Если попадёт на сервер то пиши пропала будет выбивать пользователей.

Пока прочищаю трубы. Не знаю что дальше будет.
Но сервер терминалов на винде просто ЛЕТАЕТ %)

Дравсте, борцы со злобной кидой
в kidokiller v 3.3 была проблемка - вряде случаев оно зависало на этапе обнаружения зловредной ДЛЛ.
В новой версии баг пофикшен?

у нода есть специальная утилита в сети можно поискать. Кидо нихрена не нашёл. Только нодовская нашла.
Но проблема RCP так и не решилась, на серверах ахтунг

Цитата:

Пользователи антивирусных продуктов "Лаборатории Касперского", обновившие операционные системы с помощью патча компании Microsoft, полностью защищены от вредоносной программы Kido.

Сильно сказано, но утилитка версии 3.3.2 с этой странички http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215 работает

Loafer
Уже 3.3.3....
http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.3.3.zip

ИЗ положительного - киллер научился прибивать задания...

Цитата:

Объявление от вирусных аналитиков Лаборатории Касперского: Ищем в Москве небольшую сеть (до 10 компьютеров) зараженную в настоящее время червем Kido/Conficker. С нашей стороны бесплатная помощь по лечению.

Контактный адрес: stopkido@kaspersky.com

http://forum.kaspersky.com/index.php?showtopic=108441

Привет..

На Домен контроллере (Win SRV 2003 R2) не получается закрыть порты 445 и 139... Валятся службы DNS и DHCP...

По логам на циске с него идет огромное количество подключений к хостам наружу...

Подскажите что делать в таком случае?

Texnar_POLITEX
Чем не получается закрыть порты (как ты их закрываешь)? Методика от МS должна работать, кроме того вышла новая версия ихней фирменной лечилки mrt за март месяц (kb890830-v2.8.exe), кроме того, а что мешать проверить домен-контроллер на вирусы. Ну если есть вопросы то можно в ПМ.

Texnar_POLITEX
зачем вообще хакрывать ДОМЕНСКИЕ порты? (как сказал)
лечи дыры закрывай!

Товприщи подскажите как запустить батник с правами админа))))

bahtey


Цитата:

лечи дыры закрывай!

можно ли поподробнее? все рекомендации из этой темы выполнены, не помогает

Texnar_POLITEX
если вы все сделали как здесь впринципе общие меры борьбы указаны, то смотрели логи самого сервера? и как понять"наружу"?
железяка смотрит наружу организации,или внутри организации?

может это все же не сервер, а машины долбятся?
ибо внутри домена указанные вами порты нужны.

bahtey

вообще у нас циска на входе в организацию, за ней стоит указанный домен контроллер. Доступ в интернет у него открытый, без ограничений. Журнал безопасности переполнен аудитами отказа, долбятся на контроллер в основном доменные учетные записи.

А в логах он жалуется на ошибку сертификата, на службу Security Account Manager.. Еще почему то жалуется на драйвера какого то принтера..

Texnar_POLITEX
Приведи коды ошибок (code Event).

Texnar_POLITEX

долбят сервер машины из сети!
так что надо их смотреть,потому они и не могут зарегиться в сети.
по поводу ошибок - они могут быть как и стандартные, так и даее в себя вбирать(8026 и и др.).
в GPO запусти всем на logon запуск того же kidokiller + удаление заданий планировщика (можно сразу его прибить),и патчить машины!+ сервера если есть еще в сети!
а вообще если есть антивирус на какой-нибудь машине,который бы показал откуда атака,типа с firewall для прослушивания сети - легче будет отсматривать заразные машины!

bahtey
Цитата:

запуск того же kidokiller + удаление заданий планировщика

Достаточно только KidoKiller'a - последняя версия (3.3.3) умеет удалять задания из планировщика.

Цитата:

Уже 3.3.3....
http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.3.3.zip

Можно положить на файлообменник? С каспера не качается.
Спасибо.

Volcano

KidoKiller_v3.3.3 :

Цитата:

Можно положить на файлообменник? С каспера не качается.

http://ifolder.ru/11108982
http://www.rapidshare.ru/968576

Задания появляются вновь даже после прогона кидокиллером, пока ставим заплатки и отключаем планировщик в службах

xxxspawnxxx Комп в это время от сети отключен?

sumchanin_Yuri


Event ID 675, 680 и 673

журнал безопасности забит аудитами отказа..

bahtey

а может быть так, если домен контролер чист, от вирусов, а локальные машины в домене, через него забивают канал?

Texnar_POLITEX
я ж писал уже...так и будет они своими "левыми" запросами будут забивать любое шлюзоемое/маршрутизируемое оборудование,будь то свичи и железяки ПК.но не это главное,главное найти зараженные компы/сервера и вылечить

bahtey

пасиб попробую