Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Эпидемия червя Kido, Conficker, Downadup

Автор: HAngel
Дата сообщения: 15.01.2009 00:36

Kido (также известный под именами Conficker, Downadup) - это компьютерный червь, использующий уязвимость операционных систем Microsoft Windows.

Быстрое распространение вируса связано со службой Server service. Используя «дыру» в ней, червь скачивает себя из интернета. Интересно, что разработчики вируса научились постоянно менять свои сервера, что раньше не удавалось злоумышленникам. Также он может распространяться через USB-накопители.

Краткое описание(взято с сайта касперского):
[more]
- cоздает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID<....>}\RANDOM_NAME.vmx
- В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
- Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
- Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
- Обращается к следующим сайтам (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):
http://www.getmyip.org
http://getmyip.co.uk
http://www.whatsmyipaddress.com
http://www.whatismyip.org
http://checkip.dyndns.org
http://schemas.xmlsoap.org/soap/envelope/
http://schemas.xmlsoap.org/soap/encoding/
http://schemas.xmlsoap.org/soap/envelope/
http://schemas.xmlsoap.org/soap/encoding/
http://trafficconverter.biz/4vir/antispyware/loadadv.exe
http://trafficconverter.biz
http://www.maxmind.com/download/geoip/database/GeoIP.dat.gz[/more]

Симптомы заражения:
- блокировка учетных записей в домене
- некоторые из служб операционной системы отключены (например, Automatic Updates, Background Intelligent Transfer Service (BITS), Windows Defender and Error Reporting Services)
- контроллеры домена медленно отвечают на запросы клиентов
- черезмерная загруженность локальной сети
- недоступность сайтов windows update и сайтов антивирусного ПО

Зараженные компьютеры в локальной сети можно обнаружить при помощи: [more]NMap, Nessus и mcafee[/more]

Если у вас есть подозрение, что ваш копьютер заражен этим трояном и с этой машины есть доступ в интернет, то вы можете проверить заражен ли этот компьютер перейдя по ссылке http://www.confickerworkinggroup.org/infection_test/cfeyechart.html (если компьютер заражен, то некоторые изображения не будут видны)

Удаление трояна: [more]
- Обязательно! установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001. Помните, что без этих патчей троян будет к вам пробираться снова и снова ...
- Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.
- Отключить автозапуск исполняемых файлов со съемных носителей.
http://support.kaspersky.ru/wks6mp3/error?qid=208636215 Kaspersky
Автор: markers
Дата сообщения: 15.01.2009 05:51
HAngel
Сейф + ДрВеб = Хороший ИМХО выбор
Автор: IgorK76
Дата сообщения: 15.01.2009 11:24
БГ предупреждал об этом в MS08-067(http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx)...
Обязательно стоит установить обновление 958644!!!
Автор: ingvar1972
Дата сообщения: 16.01.2009 21:09
markers

Цитата:
Сейф + ДрВеб = Хороший ИМХО выбор

Скажи это свое "имхо" моим коллегам, которые вторую неделю пытаются выгрызть kido из сетки, "защищенной" дрвэбом, "невидевшего" эту заразу вплоть по 11-го января...
На сегодняшний день защита только такова (если система не заражена):
1. Обязательно поставить на все компы патч MS08-067 ( kb958644 ), а также все
последующие.
2. Заблокировать 445, 139 и 5555 порты.
3. Прибить ауторан как класс.
4. Заблокировать флэшки, сд/двд и флоппики - ввести строжайший карантин на
поступление информации из "внешнего мира". При наличии мало-мальски
подозрительных файлов с расширением vmx - прибивать!
5. Обновлять антивирус как можно чаще. Я обновляю свою систему на KAV 6.0.3.837
четыре раза в день.
6. Сменить пароли админовских учетных записей на длинные нестандартные
цифро-буквенные сочетания - "зверь" пытается "ломать" простые пароли учетных
записей. Проверить политики безопастности и провести контроль доступов юзеров.
7. Держать руку на пульсе новостей об этой зверюге вне зависимости от того, какая
антивирусная контора "бережет" твою сетку.

Ну и "помолиться" иногда тоже не мешает...
Автор: zporuchik
Дата сообщения: 16.01.2009 23:43
ingvar1972

Цитата:
5. Обновлять антивирус как можно чаще. Я обновляю свою систему на KAV 6.0.3.837
четыре раза в день.

хоть 25 раз в день
у нас в сети есть машины с официально купленным Каспером и есть с нелегальным Нод32_2.7 - все машины с Каспером умерли, а Нодовцы не пострадали.
Автор: MaximillianGreat
Дата сообщения: 17.01.2009 00:50
странно, антивирусы ставитите, а апдейты не ставите
Автор: Zenith1983
Дата сообщения: 17.01.2009 14:04

Цитата:
У кого есть практика борьбы с этим зверем, отзовитесь.

Вчера, у друга, выбили эту заразу из домена. Стоял аваст и нод, наверное так бы и не знал что у него эпидемия, если бы не ежеминутная блокировка учетных записей.
Помогли патчи от МS и KiS_8.0.0.506 - это на раб сианциях.
На серверах Обновления, патчи 958644 и KiS_7.0.1.325-win2K
Блокировка учеток прекратилась, сетевых атак уже более 10 часов не наблюдается, антивурусы молчат.


Автор: ingvar1972
Дата сообщения: 18.01.2009 09:47

Цитата:
у нас в сети есть машины с официально купленным Каспером и есть с нелегальным Нод32_2.7 - все машины с Каспером умерли, а Нодовцы не пострадали.

Тут нет зависимости легальная или нет. Да и к тому же нет большой разницы - кав или нод. Антивирус обрабатывает то, что забито в его базы или понимает его проактивка. Просто надо уметь его настраивать и тогда можно из антивируса выжать максимум, а в кривых руках и самый лучший "защитник" будет бесполезен. Частота обновлений баз антивируса в сетке есть один из параметров, который повышает уровень безопастности.
И в заключение. Я бы не хотел здесь начала очередной войны и "замера пиписек" - какой антивирус лучше, ибо примеров работы нода, аваста и доктора за последние две неделю у меня предостаточно. Лучше тот, который ты умеешь использовать и результаты этой защиты положительны. А вообще, господа админы и к таковым себя причисляющие, антивирус это только один из компонентов защиты системы, чему свидетельствует тот факт, что ему я уделил в своем списке (он далеко не полный ибо я не собираюсь читать лекции по защите информации) только один пункт.

Автор: tankistua
Дата сообщения: 18.01.2009 10:10
Запрет на закачку файлов с расширениями

\.[Aa][Cc][Xx]$
\.[Cc][Aa][Bb]$
\.[Dd][Ll][Ll]$
\.[Ee][Xx][Ee]$

Вернул к жизни полностью мертвую сетку, которая могла жить только без интернета.


Антивируса на компах просто не было - антивирус уже ставили потом.

Добавлено:
ingvar1972

Цитата:
При наличии мало-мальски подозрительных файлов с расширением vmx - прибивать

а что это за файлы ?

Добавлено:

Цитата:
Также червь может скачивать файлы по ссылкам вида:
http://<URL>/search?q=<%rnd2%>

где rnd2 – случайное число, URL – ссылка, сфромированная по специальному алгоритму в зависимости от текущей даты. Текущую дату червь запрашивает с одного из следующих сайтов:


не зря я держу свой нтп-ишник :)
Автор: ingvar1972
Дата сообщения: 18.01.2009 11:32
tankistua


Цитата:
Распространение при помощи сменных носителей

Червь копирует свой исполняемый файл на все съемные диски со следующим именем:
<X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\<rnd>.vmx, где rnd – случайная последовательность строчных букв, X – буква съемного диска.

Также вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл:
<X>:\autorun.inf

Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Источник : http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782725
Автор: tankistua
Дата сообщения: 18.01.2009 13:45
Читал, но проглядел в описании. Понял
Автор: gbcfkf
Дата сообщения: 19.01.2009 09:52
Ну вроде эпидемия пошла на спад.. за сегодня ни одной заблокированной учетной записи
Автор: sheisapryl
Дата сообщения: 20.01.2009 10:31
Та же самая проблема, в сети 70 компов, 5 серверов, заражены все, время от времене на контролере домена загружает службу svchost, только после перезагрузки на некоторое время проходит, антивирус f-secure, типа лечит, но зловредные файлы опять появляются. Одним словом уже много про него читал, но не могу понять только одно после его удаления он опять лезет из нета или уже где то из локалки и если из локалки то со всех заражённых ящиков или есть какой то самый главный.
Автор: SimpleGod
Дата сообщения: 20.01.2009 10:55

Цитата:
Помогли патчи от МS и KiS_8.0.0.506 - это на раб сианциях.
На серверах Обновления, патчи 958644 и KiS_7.0.1.325-win2K


А подробнее можно про патчи от МелкоСофтных? Речь идет о WindowsXP-KB958644-x86-RUS.exe или не только?
Автор: sheisapryl
Дата сообщения: 20.01.2009 11:07
Ставил я патч WindowsXP-KB958644-x86-RUS.exe на свеже отфарматированый комп, но после ввода в сеть (физический включил патч корд) через 20 минут ящик заражён)))
Автор: SimpleGod
Дата сообщения: 20.01.2009 11:37

Цитата:
Ставил я патч WindowsXP-KB958644-x86-RUS.exe на свеже отфарматированый комп, но после ввода в сеть (физический включил патч корд) через 20 минут ящик заражён)))


А антивирь?
Автор: sheisapryl
Дата сообщения: 20.01.2009 11:50
По порядку: отформатировал ящик(полностью), поставил винду, проверил утилитой от каспера(klwk), поставил заплатку(WindowsXP-KB958644-x86-RUS.exe), поставил вебера(Dr.Web 5.0.0.12300), включил в сеть - всё чисто, проходит 20-30 минут веб ругаеться на C:\WINDOWS\system32\xpwho.dll или xpwho.hke, и уже не перестаёт где-то 2 дня. Ещё время от времени в назначеных заданиях появляеться задача AT1(может и AT2-3-4), которая запускает rundll32.exe xpwho.dll xzcxbui. В сети стоит ИСА, например если запустить эту задачу то по логах видно что то ломится

Failed Connection Attempt ROUTER02 20.01.2009 11:42:56
Log type: Web Proxy (Forward)
Status: 11004 The requested name is valid, but no data of the requested type was found.
Rule: Radio_Ban
Source: Internal (192.168.0.1)
Destination: External (192.168.0.2:80)
Request: OPTIONS http://rb1/
Filter information: Req ID: 0304c924; Compression: client=No, server=No, compress rate=0% decompress rate=0%
Protocol: http
User: anonymous
Additional information
Client agent: Microsoft-WebDAV-MiniRedir/5.1.2600
Object source: Internet (Source is the Internet. Object was added to the cache.)
Cache info: 0x4 (Request includes one of these headers: CACHE-CONTROL:NO-CACHE or PRAGMA:NO-CACHE.)
Processing time: 9000 ms
MIME type:



Автор: baskia
Дата сообщения: 20.01.2009 13:04
Противный вирь оказался. Заплатка от мелкосвта + антивирь (пробовал нод, авира, макафи), убивают засланца. только необходимо проверить веточку реестра hklm\system\currentcontrolset\services на наличие како-нить раздела с рандомным именем, в нём как правило есть путь к фалеку с вирусом. Кстате не всегда этот раздел есть, а антивирь ругается. Все манимупаляции проводились в безопасном режиме и отключением от сети.
Восстановлена работа примерно 90 % компов. С отсальными номер не прошёл.
P.S. Cureit не помогает.
Автор: sheisapryl
Дата сообщения: 20.01.2009 15:06
Одним словом универсального решения нет(((
Автор: baskia
Дата сообщения: 20.01.2009 16:51
Вот, может кому поможет.
_http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml_
описано чего куда как и зачем
Автор: TokImota
Дата сообщения: 27.01.2009 11:49
как закрывать централизованно в домене системные шары admin$ и с$ ?
Автор: zemych
Дата сообщения: 27.01.2009 12:41
Да везде описаны одни и теже способы борьбы. Они помогают, НО НЕ ВСЕГДА!

У меня 3 сервака в домене. И на них не могу победить. Об этом писал вот тут:
http://forum.ru-board.com/topic.cgi?forum=8&bm=1&topic=30674#1

Проблема в том, что утилита AntiDownadup не может остановить процесс.
Народ помогите, какие еще способы есть?
Автор: TokImota
Дата сообщения: 27.01.2009 19:37
не помогают, попался зверек kido.fa под описания модификаций на вируслист подходит частично , только еще и создает назанченные задания запускать себя, патчики и кидокиллер от касперского не спасают, закрыто частично системные шары, там вроде пока потише стало, также закрыт 445 порт
Автор: sumchanin_Yuri
Дата сообщения: 27.01.2009 21:50
Предлагаю следующие методы решения как дополнение к тесту ingvar1972
- Обязательно поставить на все компы патчи MS08-067( kb958644 ), а также все последующие новый патч
- Заблокировать 445, 139 и 5555 порты. Для этой цели лучше всего использовать Wwdc

Методы нахождения и уничтожения червя, а также противодействию
По рекомендации kb962007 немного правда оптимизированно

1. Оcтанавливаем службу сервера "sc stop lanmanserver" или по методике в самой статье (через управление службами)

2. Останавливаем службу планировщика заданий "sc stop schedule".

3. Отключаем запуск службы планировщика заданий regedit --> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\Start параметр Start=4, закрываем редактор реестра и после этого обязательно перезагружаемся.

4. Загрузите обновление для системы безопасности 958644 (MS08-067) и установите его вручную. Дополнительные сведения см. на следующем веб-узле корпорации Майкрософт (на английском языке):
http://www.microsoft.com/rus/technet/security/bulletin/MS08-067.mspx Примечание. Этот узел может быть заблокирован из-за заражения вредоносными программами. В этом случае необходимо загрузить обновление на компьютер, который не заражен, и переместить файл обновления на зараженный компьютер. Рекомендуется записать обновление на компакт-диск, потому что повторная запись на такой диск невозможна. Следовательно, он не может быть заражен. Если устройство записи компакт-дисков недоступно, единственным способом скопировать обновление на зараженный компьютер может оказаться переносное USB-устройство памяти. При использовании съемного носителя следует помнить, что вредоносная программа может заразить его с помощью файла Autorun.inf. Если устройство памяти можно перевести в режим только для чтения, обязательно сделайте это после записи обновления на него. Обычно для этого используется переключатель на корпусе устройства. После копирования файла обновления на зараженный компьютер следует проверить съемный носитель на наличие файла Autorun.inf.
Если такой файл обнаружен, его необходимо переименовать, например, в Autorun.bad, чтобы при подключении носителя к компьютеру этот файл не был запущен.
Все пароли локального администратора и администратора домена необходимо заменить новыми надежными паролями.

5. Найдите и выберите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
В области сведений щелкните правой кнопкой мыши параметр netsvcs и выберите команду Изменить.
Перейдите к нижней части списка. Если компьютер заражен червем Conficker.b, в нижней части списка появится случайное имя службы. В данном случае пусть, например, вредоносная служба имеет имя "wdlsct". Обратите внимание на имя вредоносной службы. Эта информация потребуется впоследствии при выполнении процедуры устранения червя. Удалите строку, которая содержит ссылку на вредоносную службу. Убедитесь в том, что под последней допустимой записью в списке остается пустая строка, затем нажмите кнопку ОК.

6. Ограничьте разрешения для раздела реестра SVCHOST, чтобы его нельзя было перезаписать.
Щелкните правой кнопкой мыши подраздел Svchost и нажмите кнопку Разрешения.
В диалоговом окне Элемент разрешений для SvcHost нажмите кнопку Дополнительно.
В диалоговом окне Дополнительно нажмите кнопку Добавить.
В диалоговом окне Выбор: пользователи, компьютеры и группы введите значение "Все" и выберите команду Проверить имена. Нажмите кнопку ОК.
В диалоговом окне Элемент разрешений для SvcHost выберите пункт Только этот раздел из списка Применить к, затем установите флажок Запретить для элемента разрешений Установить значение.
Дважды нажмите кнопку ОК.
На запрос системы безопасности ответьте Да.
Нажмите кнопку ОК.

При выполнении предыдущей процедуры нужно было обратить внимание на имя вредоносной службы. В данном примере ее имя "wdlsct". С учетом этого выполните указанные ниже действия.
В редакторе реестра найдите и выберите подраздел реестра, содержащий вредоносную службу с именем Имя_вредоносной_службы:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wdlsct
В области переходов щелкните подраздел правой кнопкой мыши и выберите пункт Разрешения.
В диалоговом окне Элемент разрешений для SvcHost нажмите кнопку Дополнительно.
В диалоговом окне Дополнительные параметры безопасности установите флажки:
Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне.

Заменить разрешения для всех дочерних объектов заданными здесь разрешениями, применимыми к дочерним объектам
Нажмите клавишу F5, чтобы обновить редактор реестра. В области сведений теперь можно просматривать и редактировать вредоносную библиотеку DLL, которая загружается как "ServiceDll". Для этого выполните действия, описанные ниже.
Дважды щелкните параметр ServiceDll.
Обратите внимание на путь к указанной библиотеке DLL. Эти сведения потребуются далее в этой процедуре. Например, путь к указанной библиотеке DLL может быть следующим:
%SystemRoot%\System32\emzlqqd.dll.
Измените ссылку, чтобы она выглядела следующим образом:
%SystemRoot%\System32\emzlqqd.old

Нажмите кнопку ОК.

7. Удалите запись вредоносной службы из подраздела реестра Run. В редакторе реестра найдите и выберите следующие подразделы:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
В обоих подразделах найдите параметр, имя которого начинается с "rundll32.exe", обращающийся к вредоносной библиотеке DLL, которая загружается как "ServiceDll", обнаруженной в действии 6. Удалите параметр.
Закройте редактор реестра и перезагрузите компьютер.

Это самое главное, все остальное в приведенной статье....

После очистки включить назад службу сервера "sc start lanmanserver"

Восстановите разрешения по умолчанию для раздела реестра SVCHOST.

Установите на компьютер все недостающие обновления для системы безопасности. Для этого используйте центр обновления Windows, сервер служб WSUS, сервер SMS, диспетчер System Center Configuration Manager (SCCM) или программный продукт для управления обновлениями стороннего производителя. При использовании сервера SMS или диспетчера SCCM необходимо сначала включить службу сервера. В противном случае, возможно, не удастся выполнить обновление системы с их помощью.

Здесь уже только мои дополнения ...

Кроме того находим и удаляем HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_wdlsct


Повторяем шаги 5 и 7 для всех ControlSet001 (ControlSet002 и т.д.)

Приведенная методика не является догмой, возможны решения и получше, кстати хотелось бы увидеть их здесь....
командная строка "dir %systemroot%system32 /A:H" - dll которая имеет скрытое имя и выглядит странно (обычно смесь букв) это он и есть (к примеру ghbvd.dll), кстати эту команду можно использовать для нахождения и других вирусов (autorun.inf к примеру)

Поскольку как показывает практика "на антивирусы надейся, а сам не плошай" , а вирус кидо ещё тот случай.

Вспомогательные утилиты:

unlocker1.8.7 для удаление заблокированного, правой клавишей на зловреде и выбрать "удалить" и "разблокировать все"

Gmer детектор скрытых процессов, ключей, файловых потоков, очень хорошо помогает найти различных зловредов... К тому же бесплатен и не требует установки

Winpatrol менеджер автозагрузки с очень большими возможностями:
- монитор автозагрузки, активных процессов, запланированный задач и т.д. и т.п.
- позволяет делать отложенный запуск, временно отключать (включать) программы автозагрузки
Есть бесплатная версия, русский язык, но требует установки.

AnVir Task Manager - это бесплатная системная утилита, которая позволяет контролировать все, что запущено на компьютере, а также предоставляет удобные инструменты для настройки компьютера:
- Управление автозагрузкой, запущенными процессами, сервисами и драйверами и замена Диспетчера Задач
- Обнаружение и удаление вирусов и spyware
- Тонкая настройка XP и Vista, включая установку скрытых настроек
- Ускорение загрузки Windows и работы компьютера
Требует установки, русская версия беплатная.

Sysinternals Autoruns Мощное средство для проверки различных "закоулков" автозагрузки для выявления по базе и поиску в google, удаления и отключения вредного и лишнего, не требует установки, бесплатно.

Runscanner Ещё одно средство для проверки автозагрузки - один исполняемый файл, бесплатный, подсвечивает цветом ошибки, проверка по MD5 и т.д. и т.п.

Flash_Disinfector.exe "дизинфекции" флешки. Запустите её и следуйте инструкции - может попросить вставить флешку и/или другой сменный носитель с мобильного телефона, вставьте эти диски и разрешите ему очистить эти носители (флешку). Кроме того Flash_Disinfector очищает и локальные диски, если есть заражение autorun.inf, поэтому дождитесь окончание работы программы (во время работы программы может пропадать рабочий стол, меню - но после окончании работы все восстановиться) Перезагрузите компьютер, когда все будет сделано. Очистка заключается в том, что Flash_Disinfector создает скрытый каталог autorun.inf в каждом разделе локального диска и на каждой флешке (носителе), которые вы подключили при запуске. Не удаляйте этот каталог, он как раз и дает защиту от дальнейшего заражения.

Flash Guard для исключения заражения самого компьютера от вирусов с флешки или других сменных носителей. Ниже описание взятое с сайта.

Многие современные вирусы используют функцию Autorun для распространения посредством флэш накопителей.
И часто антивирусные программы не могут их остановить. Вы или ваш администратор можете отключить функцию Autoplay, но вирус все равно будет способен заразить вашу систему с помощью файла Autorun.inf на флэш диске - функция Autorun. Можно полностью отключить Autorun, запретив службу "Shell Hardware Detection", но в этом случае у вас будут проблемы с подключением фото и видеокамер, сканеров и т.д.

Flash Guard может блокировать Autorun и остановить вирусы!

Он запускается при входе пользователя в систему и следит за дисками.
Когда вставляется новый носитель(компакт диск например) или добавляется новый диск(вставляется флэш брелок) Flash Guard может совершать такие действия:

- Удалить добавленные файлом Autorun.inf пункты контекстного меню диска
- Информировать пользователя о наличии на диске файла Autorun.inf
- Удалить файл Autorun.inf
- Удалить все файлы Autorun.*

Поведение программы полностью настраивается пользователем.

Удаление добавочных пунктов меню - это главная особенность программы. Таким образом вы даже можете не удалять вирус с флэш диска и при этом открывать его в Проводнике, не заражая свой компьютер.

Добавлено 06.04.2009
- Тестовая страница для проверки заражения кидо
Автор: slay1212
Дата сообщения: 28.01.2009 09:26
Прошу подсказать что делать для удаления вирусов на w2k3 r1 терминальном сервере .
Как все было: в закрытой сети без инета (бухия) появился вирь, видно с флешек .
На ДС стоял семантек и не дал его совсем завалить. На на терминальном сервере не было антивиря (послушал бухов - чтоб не тормозил, зачем он в закрытой сетке ) вирус отроравлся по полной программе - хакнул простой пароль админа ( типа 12345).
Удалить его не смог полностью, хотя и патчи ставил и все средства пробовал.
Основная причина - непонятки с %systemroot% на термсервере из-за чего и авз и гмер не могут правильно лечить системную директорию.
В результате вир удалил (после остановки службы сервера и прочее где-то в ссылках на макрософте было) и с помощью удалялки семантека, но сервак так нормально и не заработал. Переставил с нуля, ибо не было времени разобраться, перестановка поверх не заработала.
В связи с этим вопросы
- особенности лечения терминальных серверов
- где можно посмотреть список "нормальных" файлов и длл именно для них.
- методика восстановления нормального функционирования без переустановки - я так подозреваю , надо было
- полностью сбросить tcpip ( кстати, не нашел описание для 64 бит версий, в ссылке макрософта указано что только для 32бит версий)
- сбросить ирсекссылка

Автор: sumchanin_Yuri
Дата сообщения: 28.01.2009 10:29
slay1212

Цитата:
где можно посмотреть список "нормальных" файлов и длл именно для них.

На Oszone были статьи о нормальных файлах и библиотеках, кроме того поисковые системы никто не отменял...
По поводу сброса tcpip на 64 думаю, аналогично - через реестр и netsh (кстати в самой ссылке которые вы привели есть такая строчки Microsoft Windows Server 2003, Enterprise x64 Edition и Microsoft Windows Server 2003, 64-Bit Datacenter Edition
Автор: slay1212
Дата сообщения: 28.01.2009 10:41
sumchanin_Yuri
Я ссылку не точно дал. Та о сбросе tcpip на ДС, а по поводу сброса TCPIP на 2003 сервере из 64 битных указан только web ed (имхо):
Информация в данной статье относится к следующим продуктам.
Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows Server 2003, Web Edition

Цитата:
сброса tcpip на 64 думаю, аналогично

А я думаю что есть нюансы . Создал новую тему по 64 бит серверу. Предлагаю вопрос обсуждать там
Автор: dmention
Дата сообщения: 28.01.2009 20:46
В локальной сети завелся вирус Kido.fz.

Сервер Windows Server 2003. На компьютерах и на сервере установлен Антивирус Касперского Business Space Security 6.0.

Вирус завелся на сервере и нескольких компах. Проявляет себяв том, что рассылает сетевые атаки. Антивирусники на рабочих станциях блокируют атаки. Если атака приходит с сервера, то вместе с ней блокируется и доступ с этого компа на сервер. Если зайти в антивирусник и разблокировать, то доступ возобнавляется.

Скачал с сайта Касперского утилиту KidoKiller и с Майкрософта обновление безопасности. Почистил компы с которых были атаки и установл на них обновления.

Этой же утилитой удалил вирус с сервера из system32. Плюс удалил его копию с помощью антивируса из Documents and Settings.

С рабочих станций атаки прекратились. С сервера периодически продолжались.

Прочитал в комментариях людей на сайте Касперского, что надо в диспетчере задачь и при помощи net stat -n -o -a определить один из процессов SVCHOST, осуществляет LISTENING TCP и скорее всего занимает больше всего памяти и завершить его.

Посмотрел. На сервере один из процессов SVCHOST занимает более 12 Мб и главное 50% процессора. Я его завершил.

Прекратились ли атаки с сервера пока сказать не могу, т.к. прошло не много времени, но... при попытке зайти в Сетевое окружение -> Вся сеть -> Microsoft Windows Network выдаетсясообщение, что СЕТЬ НЕ СУЩЕСТВУЕТ ИЛИ НЕ ЗАПУЩЕНА. И компьютеры не отображаются.

Компьютеры пингуются и с компьютеров доступ на сервер есть.

Выполнил Net Start. Выполнено успешно.

В службах служба Сетевые подключения запущена (хоть и стоит запуск вручную, что меня астораживает). Была не запущена служба Сервер, на всякий случай запустил.

Но, доступ во Вся сеть с сервера все равно не появился.

Что делать? Как запустить сеть?

p.s.: Попытался выйти из системы (не перезагрузка) и снова войти. После загрузки личных параметров открылся рабочий стол. При первых нескольких попытках зайти в Сетевое окружение рабочий стол очищался и снова появлялся, но папка Сетевое окружение не открывалась. После нескольких попыток открывается. В логах зафиксированы ошибки explorer.exe.

Видимо вирус его повредил. Что думаете?

Спасибо!! Надеюсь на Вашу помощь!!
Автор: AlOne
Дата сообщения: 29.01.2009 00:02
вот ведь дела-то какие... "а мужики то не знают" (с)
в логах антивиря нашёл только одну запись, в которой фигурировал файл vmx:
Time/Date 23.01.2009 11:06:11
Computer Name *****
Virus name WORM_DOWNAD.AD
Infected file jwgkvsq.vmx
Scan type Real-time Scan
Scan result OfficeScan detected a security risk but is unable to clean the infected file. OfficeScan deleted the file.

Хм... я даже знаю, откуда он взялся Девочка из Консультант+ приходила обновлять одноимённый продукт с заражённой флэшкой. Ну вот, OfficeScan 7.3 и меня спас от головной боли, и девушку полечил
Автор: Adek
Дата сообщения: 29.01.2009 04:44
воюю с ним уже вторую неделю. Стоит кав воркстаейшн. Он нормально обнаруживает вирус. И блокирует его + периодически запускаю в сети утилитку от каспера кидокиллер версии 2. Худо бедно переживем. Порты блочить не советую если в домене работаешь. Тут главный принцип не навреди себе.

Страницы: 123456789101112131415

Предыдущая тема: Запрет выдачи адреса через DHCP


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.