CureIT, по заявлением ДохтурВебовцев тоже обучен уже удалению заразы.
Изменено: SOLDIER - 18.01.2009 14:04:54
Вирус Conficker.X, Червь для корпоративных сетей
|
18.01.2009 14:04:26
|
|
|
|
|
|
18.01.2009 15:21:58
Насчет "утилиты от дяди Жени" - тестировал, работает, так что всем рекомендую.
А НОД32 про эту утилиту говорит что "вероятно модифицированный Win32/Genetik троян"!!!! |
|
|
|
|
|
18.01.2009 15:44:26
|
|||
|
|
|
|
18.01.2009 16:38:55
Изменено: metos - 18.01.2009 16:39:55
|
|||
|
|
|
|
18.01.2009 19:44:20
Тоже заразился данной бякой.
КАВ определяет как kido.by Заражены сервера Windows 2003. На данный момент установлены патчи, остановлена служба Taks manager(Планировщик заданий). Утилитами klwk и CureIT проверены сервера, которые грохнули dll в system32 и куски виря в темпах IE. Посмотрим что будет в после выходных. |
|
|
|
|
|
19.01.2009 10:54:02
Блин еле прошел путь регисрации сюда чтобы запостить вам Хелп!
 Вот обновление заплатка - шобы Conficker не лезли !!! Если помогло - можно мне прислать по имейлу спасибо!  payats@mail.ru мне будет и приятно и полезно - потому, как нужно знать кому помогло. А это общая инфа про вирусяку эту. (что пишут)
Изменено: Payats Pupkin - 19.01.2009 10:55:21
|
|
|
|
|
|
19.01.2009 12:22:02
На отдельно взятой системе лечится довольно легко, gmer, combofix видят (AVZ иногда, видит dll из system32, по ре-ту "прямое чтение"), удаялть вручную по рез-м логов, зловредную dll отправлять в вирлаб для пополнения лечения с помощью утилит.
|
|
|
|
|
|
21.01.2009 10:14:35
Добрый день. После нового года у меня была такая же ситуация, как и в певром посте, антивирус на всех компах в сети стоит symantec. Описание по удалению вируса на сайте symantec не помогло и пришлось обратиться за помощью к ним непосредственно. Вобщем хочу немного уточнить процедуру лечения, которая действительно помогла мне:
Вот статья и ссылки на то, что надо качнуть. - описание вирусняка - ссылка на сайте microsoft – выбираешь версию операционки и сервиспак свой – появится ссылка на заплатку вот утилита для удаления вирусняка с компа - (запускать с админскими правами на машину) как удалять : 1) качаешь все это; 2) отключаешься от сетки; 3) ставишь заплатку для винды; 4) запускаешь утилиту для удаления вирусняка – полная проверка; 5) перегружаешься и включай сеть; 6) радуешься жизни)) после проделанной процедуры на компах больше не наблюдается проявление вируса. Да, чуть не забыл - вирус перебирает пароли локальных админов тоже, поэтому рекомендую сменить имена типа admin, administrator и аналоги на какие-нить другие и сменить пароли этих же локальных админов. Надеюсь информация будет кому-то полезна |
|
|
|
|
|
02.02.2009 15:41:04
Стас Колебанов,
Сделал всё что Вы написали выше. Установил заплатку (скачать не получалось, принёс от товарища). Полная проверка сказала что всё чисто. Перегрузился, подключил сеть. Ввожу адрес , после чего меняю язык файла для скачки на "Russian" - любой браузер просто вылетает. Что делать - ума не приложу. |
|
|
|
|
|
03.02.2009 16:02:26
Alex Dem
Если Вы уже принесли заплатку от друга, зачем вам еще одна? Возможно на машине живет другой вирус, можно попробовать бесплатной утилитой от dr.web - возможно она что-то прояснит. |
|
|
|
|
|
05.02.2009 00:24:59
Стас Колебанов,
Других вирусов не обнаружено, искал именно предложенной Вами утилитой. Ещё одна заплатка конечно же не нужна. Я вообще к тому, что даже после всех манипуляций остаётся эффект от вируса, а именно - не доступная ссылка на заплатку. |
|
|
|
|
|
05.02.2009 01:26:56
Была аналогичная проблема. Решено было все следующими методами:
Установка заплаток KB958644, KB958687, KB957097 как на сервера так и на рядовые машины. Потом залезть в "Назначеные задания" эта зараза может там прописываться и всякие подозрительные задания удалять ( еще службу "Планировщик задач" вообще стопануть ) Прогнать систему софтиной kb890830. Потом полное сканирование системы Доктором Вэбом ( Портабл версию можно бесплатно найти ) И по возможности установить ESET NOD32 третью версию, так как 2.7 хоть и видет его, но не удаляет. Вообще Доктора и НОДА лучше использовать в тандеме они друг-друга дополняют. |
|
|
|
|
|
05.02.2009 02:34:19
Запустил оба из указанных ниже по очереди, если сервис пак 3 на Индос ХП уже стоит, то один из них не ставится, какой не помню.Это и не важно. От мгновенной перезагрузки отказался. И запустил KidoKiller_v3.Показал что все в норме.Потом перезагрузился и..
Инет стал летать, а до этого показывал что он (инет) есть, а зайти не мог ни я ни остальные, кто через мой комп в инет заходил.Комп на работе используется не как сервак, а настроен как шлюз для доступа в инет др.пользователей.Исчезли глюки с повисанием компа и выдачей ошибки связанной с СВхост службой, после чего собственно и входил в кому комп не реагируя ни на что. WindowsXP-KB921883-x86-RUS WindowsXP-KB958644-x86-RUS Идея не моя. Понимаю, что надо еще и чистить комп, свой и всех остальных, но где и как не знаю.Подскажите. Заранее спасибо. П.с.Нод v.2.7 вирус видел и бросал в карантин с оговоркой, что удалил или угрозу заблокировал, но эта дрянь появлялась с завидной регулярностью снова и ничем он мне так и не помог. Трюк с прогой gmer у меня не прокатил.
Изменено: * - 05.02.2009 02:41:20
|
|
|
|
|
|
05.02.2009 10:15:07
Безумец, gmer, после установки заплаток, уже похоже не видит, т.к. восстанавливаются права на ветку реестра, искать вручную
C:\windows\tasks - проверить на наличие скрытых задач, автозапуск отключить, папку Recycler (на всех дисках) очистить от всего лишнего,очистить все временые папки, в т.ч. Local Settings\Temporary Internet Files\ во всех профилях. Поискать файл с атрибутами ashr в папке system32, последнее можно попробовать так - пуск - выполнить- cmd
поискать по имени файла ищете службу в реестре, подробнее
Можете ещё отключить административный доступ к локальным дискам, для это примените твик реестра
обновилась Доп.
Изменено: Alexey I - 05.02.2009 10:25:17
|
|||||||
|
|
|
|
12.02.2009 19:15:22
Увидели в eset conficker.x это не повод паниковать!
за вышеупомянутый он так же принимает downbackup и hijaker которые не так страшны + еще пару софтин для захвата видео с игр. И читов(но это со слов знакомого, читами не пользуюсь) Kido реально помогает только на лакальных тачках, в сети и 90% гарантии нет! Заплатка от MS устраняет лишь 1 способ запуска так что лажа! Причем удалив sp3 и поставив 958644 вы откроете гараздо больше дыр, опять лажа! Про флешки вранье!!! Не распространяется он таким способом, по крайней мере тот что мне попался! боюсь как бы не нов версия... Интерестная особенность: отваливается значек громкость, вместе с микшерами и прочим из диспетчера устройств, хотя звук то есть то нет. И не работает Sequoia (может просто совпадение). Не работают обновления винды и нода. При запуске полноэкранных приложений не уходит пуск.И все тормозит! avast не дает этой сволочи папасть на комп, с подопытными я соединен сетью, но вот насчет удаления\лечения хз. про Ad-Aware забудте!!! такое чувство что она считает опасным все что только можно запустить!!! из 456 сообщений не подтвердилось ни одно! CureIT чего-то там удаляла... не справилась короче. про каспера и веба писать не стану что бы не разжигать холиваров. Что помогло спасти другу друга!  - Руки, левая и правая!удаляем : system32\x system32\x.268 (x.264 - это вроде от кодека не путайте) system32\*.am, *.jm, *jz. чистим все Temporary Internet Files всех пользователей! там куски тела вируса, по мимо гифоф и пнгшек обнвружил iui.mp3 Не запускайте сразу BSOD. в момент зачистки в сети закрываем 139 и 445 порт. отключаем в службах Tasks чистим все корзинки и темпы Удаляем нафиг папочку Prefetch из windows а дальше eset... Должно помочь! З.Ы.Ждите новых вирусов на уязвимости МС которая до сих пор не закрыта!!! + ссылка на видео как ломается любой комп под управлением win2k-win7 используя ту самую уязвимость!!! |
|
|
|
|
|
12.02.2009 19:44:36
Добавлю ещё, что надо ставить сложные пароли администратора (актуально для серверов DC, где порты обычно не закрывают фаерволом), встречались случаи успешного подбора паролей (обычно в таких случаях появляется проблема с блокированием учеток)
обновился до версии 3.2 умеет теперь удалять назначенные задания.
Изменено: Alexey I - 12.02.2009 19:45:20
|
|||||||
|
|
|
|
13.02.2009 06:54:26
MS08-068 Windows XP Service Pack 3 Remote Code Execution Important None MS08-067 Windows XP Service Pack 3 Remote Code Execution Critical None Одна из них точно не ставится на sp3(может последствия вируса). Скрин в студию с 3мя этими заплатками на sp3!!! И отчет сканера уязвимостей, которым вы пользуетесь. Я оставляю за собой право ошибаться в мелочах, но суть останеться сутью. Пару дней назад появилась на работе эта тварь(не модифицированная не лезла из prefetch), на машинах где стояли эти заплатки, все равно пролезла. Админы явно не дураки!
Повторюсь но не заражается через флешки!!! Жаль нет его больше, а то бы я вам его скинул. Я пишу о том что это какая-то модифицированная дрянь она немного отличается от того что было... и файлы были не по 165 не по 164 кб а 170кб. Честно думал что написал об этом в первом посте.И вообще я ни о чем не спрашивал я всего лишь поделился информацией и наблюдениями. Мне не платять за всевозможные исследования вирусов! |
|||||
|
|
|
|
13.02.2009 10:01:25
Alex Qeuper, то, что вы смотрите как None, это "Bulletins Replaced by this Update"
|
|||||||||||
|
|
|
|
13.02.2009 10:32:27
Бла бла бла... Alexey I Завязывайте, не обращаете внимание на смайлы, выдергиваете фразы из контекста, отправляете меня к статьям для ламеров. Ужас! Я вам про Фому а вы мне про Ерему. Давайте просто закончим.
|
||||
|
|
|
|||
Читают тему