KIDO вирус

Информация и защита от вирусов

Модератор: YoungMax

KIDO вирус

Сообщение Diesel » 10 фев 2009 10:03

утилита для удаления вируса: ftp://ftp.freedom-vrn.ru/support/kidoKiller/kk.zip (Текущая версия 3.4.10)
Скачайте архив KK.zip и распакуйте его в отдельную папку на зараженной машине.

Запустите файл KK.exe .


По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KK.exe с ключом -y.

Дождитесь окончания сканирования.

Если на компьютере, на котором запускается утилита KK.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.


Лечение Generic Host
Сами патчи можно скачать тут: ftp://ftp.freedom-vrn.ru/updates/Generic_host_err_fix/
правда для XP
для Windows XP SP1 - KB921883 и KB923414;
для Windows XP SP2 - KB923414, KB924270 и KB958644;
для Windows XP SP3 - KB958644

Еще вышло какое-то новое. Лучше его тоже установить. KB958687
Последний раз редактировалось Diesel 14 июн 2009 20:16, всего редактировалось 5 раз(а).
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!

IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!

Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
Аватара пользователя
Diesel
IRC администратор
 
Сообщения: 1538
Зарегистрирован:
13 окт 2007 23:21
Откуда: с того берега моря

Сообщение Diesel » 13 фев 2009 21:05

Net-Worm.Win32.Kido он же Downadup он же Conficker Недавно разразилась эпидемия. Около 10 миллионов компьютеров было заражено данным зловредом, большая часть из зараженных компьютеров пришлась на Россию. Эпидемия разрасталась как снежный ком, этим самым в начале очень озаботив своими темпами заражения всех. Вирус использовал уязвимость Windows. 23 октября майкрософт выпустил обновление безопасности, нацеленное на закрытие лазейки через которую проникает вирус на компьютер. Хотя обновление вышло в конце октября, основной пик заражения пришелся на январь.
Каждая копия вируса синхронно генерирует 250 доменных имен и пытается связаться с соответствующими серверами.
Пока сильной деструктивной деятельности кроме процесса размножения и внедрения своего кода в адресное пространство одного из запущенных системных процессов svchost.exe, что влечет за собой отключение восстановления системы и блокировки ряда адресов, выключения обновления антивируса установленного на зараженной машине не обнаружено.
Но есть очень неприятный момент. Данный вирус способен скачивать с некоторых адресов некоторые файлы и прописывать их в Windows (%System%) не скрывая своего имени и ту же запускать на выполнение. Вот это уже самый тревожный симптом, говорящий о том, что на вашем компьютере открыты ворота, а вот что в эти ворота пролезет через очередные модификации остается гадать.

Настало время поговорить об основных симптомах, которые вызывают вирусы данного семейства.
Начнем с того, что данный зловред устанавливает свой исполняемый файл, т.е тело в
<буква диска>\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\случайная последовательность символов, так же в корень диска вирус устанавливает свой сопровождающий файл <буква диска>:\autorun.inf с помощью которого вызывается само тело вируса.

Основным и первым симптомом заражения является невозможность просмотра скрытых файлов на компьютере. Вирус создает после запуска архивный системный файлик с атрибутами скрытый и только для чтения, вот именно этим отключением скрытых файлов он себя и укрывает в системе.
Ещё одним симптомом является увеличение сетевого трафика. Атакует по 445 или 139 TCP портам, т.е повышенная активность именно на этих портах
Следующий неприятный симптом - это отключение вирусом прав администратора на редактирование своего файла, оставляя ему только права чтения. Из-за этого многие попытки удалить вирус заканчивались неудачей, так как он снова восстанавливал себя.
Следующим симптомом является то, что вирус создает правило исключения себя для фаервола. Эти исключения можно удалить из настроек фаервола в последствии.
В общем при всей простоте укрытия червь достаточно сильно веселится в реестре, и даже после полного удаления он может оставлять следы в Temporary Internet Files.

Но не все так плохо. Наконец-то вендоры антивирусного ПО встряхнулись от оцепенения и начали борьбу. Лаборатория Касперского и ESET выпустили специальные утилиты для лечения именно этого типа вирусов. Данные утилиты примечательны тем, что их можно запускать на уже зараженной машине, когда основной антивирус уже не справляется.
Лаборатория Касперского выпустила утилиту kidokiller.exe.
Для сканирования и лечения надо скачать утилиту прямая ссылка на скачивание с лаборатории касперского распаковать и запустить, желательно с ключом с ключом -y. Если запустить без этого ключа, то для закрытия активного окна командной строки придется нажать любую клавишу. С ключом окно закроется автоматически после работы. Для тех, у кого установлен Agnitum Outpost Firewall потребуется ребут после работы утилиты.

Компания ESET тоже уже выпутила утилиту по борьбе с данным вирусом. Утилита называется EConfickerRemover.exe Прямая ссылка на скачивание с eset.com

Пока удалось остановить эпидемию вируса, теперь его распространение не так активно. Будем надеяться на лучшее. Установите обновление безопасности от майкрософт, закройте порты 445 и 139 TCP на вход и выход, и не "болейте", потому что лучше предотвратить чем лечить.
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!

IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!

Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
Аватара пользователя
Diesel
IRC администратор
 
Сообщения: 1538
Зарегистрирован:
13 окт 2007 23:21
Откуда: с того берега моря

Сообщение I{@p@T|Y3 » 18 фев 2009 21:58

утилиты тупо зачищают реестр, лучше сию срань не ловить. либо придется ручками ковыряться. а военные самолеты в Париже из-за этой бяки не взлетели :). что-то новенькое :)
Аватара пользователя
I{@p@T|Y3
Наблюдатель
Наблюдатель
 
Сообщения: 46
Зарегистрирован:
14 фев 2008 23:21
Откуда: Космополит

Сообщение Diesel » 19 фев 2009 15:12

А если все же кто то поймал, то что??? Облить системник напалмом и поджечь а то что осталось под пресс пустить?? Хорошо что у США стелсы не зависли в воздухе и шатл не упал.
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!

IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!

Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
Аватара пользователя
Diesel
IRC администратор
 
Сообщения: 1538
Зарегистрирован:
13 окт 2007 23:21
Откуда: с того берега моря

Сообщение Edo » 19 фев 2009 20:40

К сожалению я стал одним из счастливых обладателей вышеописанного вируса. Мало того,сам того не подозревая, заразил и ноутбук.Антивирус (нод32)и утилиты майкрософта кое-как остановили агрессию-но видимо многое уже попорчено.Окна со всякими svhost.exe,ps.exe и т.п. до сих пор выскакивают, хотя уже не беспокоят,как раньше. Полагаю придется переустанавливать windows,что скажете?
Edo
Наблюдатель
Наблюдатель
 
Сообщения: 5
Зарегистрирован:
19 фев 2009 20:25
Откуда: Воронеж

Сообщение Diesel » 19 фев 2009 21:07

Да что тут посоветуешь.... сохранить инфу на носитель типа болванка обыкновенная, отформатировать винт и ставить систему на чистый, только сразу с заплатками.
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!

IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!

Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
Аватара пользователя
Diesel
IRC администратор
 
Сообщения: 1538
Зарегистрирован:
13 окт 2007 23:21
Откуда: с того берега моря

Сообщение Edo » 19 фев 2009 21:17

Спасибо! Так и думал! Кстати при просмотре записанного фильма на DVD плеере, меню показало наличие еще одной папки на диске -"RECYCLER" - вот ведь какая дрянь, всюду лезет!
Edo
Наблюдатель
Наблюдатель
 
Сообщения: 5
Зарегистрирован:
19 фев 2009 20:25
Откуда: Воронеж

Сообщение I{@p@T|Y3 » 20 фев 2009 00:22

Diesel писал(а):А если все же кто то поймал, то что??? Облить системник напалмом и поджечь а то что осталось под пресс пустить?? Хорошо что у США стелсы не зависли в воздухе и шатл не упал.
http://aborche.livejournal.com/2342.html . Когда-то статья этого автора "PE_SALITY. корпоративная угроза !!!" уже цитировалась :). А так часа полтора под пиво и усе... Far, AVZ, regedit...
Аватара пользователя
I{@p@T|Y3
Наблюдатель
Наблюдатель
 
Сообщения: 46
Зарегистрирован:
14 фев 2008 23:21
Откуда: Космополит

Сообщение Diesel » 20 фев 2009 04:16

Я не спорю, но не каждый полезет ковырять реестр. Некоторые еще не знают как компьютер правильно включать и выключать... а тут реест. Спасибо за ссылку, может кому она и поможет.
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!

IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!

Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
Аватара пользователя
Diesel
IRC администратор
 
Сообщения: 1538
Зарегистрирован:
13 окт 2007 23:21
Откуда: с того берега моря

Сообщение Edo » 20 фев 2009 21:45

Diesel писал(а): Некоторые еще не знают как компьютер правильно включать и выключать... а тут реест

Совершенно согласен! Мне ,например, как среднестатистическому пользователю, ссылка не помогла, а ведь таких как я - тысячи. Многие в отчаянии - что делать? Ведь так не хочется все сносить.
Edo
Наблюдатель
Наблюдатель
 
Сообщения: 5
Зарегистрирован:
19 фев 2009 20:25
Откуда: Воронеж

Сообщение I{@p@T|Y3 » 20 фев 2009 22:44

Edo писал(а):Мне ,например, как среднестатистическому пользователю, ссылка не помогла, а ведь таких как я - тысячи. Многие в отчаянии - что делать? Ведь так не хочется все сносить.
Уже другие изменения есть :(. Поэтому пояндексить или погуглить что-то типа "kido (Конфикер) лечение", скачать заплатки на винду и лечилки на выбор либо от каспера, либо от вэба (предпочитаю, имхо), отрубить комп от сетки, отлечиться, малая толика кривизны со временем исчезнет до следующей мудификации :) а может ее и не будет (кривизны). И взять все же какой-нибудь твик (настройщик) хоть бы и триальный (с ограничением по времени работы) и отрубить нахфик автозапуски на будущее, не надо лениться хоть что-то ручками делать :) Найти файло средствами проводника не удастся, т.к. будет не видно скрытых файлов, а в свойствах папок возможность изменения исчезает. Либо ставить Far Manager, либо Total Commander. Но лучше личилками от профи... которые может и сами вирусню написали ;). Удачи.
З.Ы. Если компы в корпоративной локалке, то лучше позвать знающего друга и не пользоваться личилками "левых" (хоть и правых фирм) последствия могут оказаться плачевными. Прецеденты есть. Или Кашперовича или дохтура хватает.
Аватара пользователя
I{@p@T|Y3
Наблюдатель
Наблюдатель
 
Сообщения: 46
Зарегистрирован:
14 фев 2008 23:21
Откуда: Космополит

Сообщение Diesel » 21 фев 2009 20:30

если о дохтуре какой от drweb то ну его в топку. Более дырявого антивируса я еще не видел.
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!

IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!

Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
Аватара пользователя
Diesel
IRC администратор
 
Сообщения: 1538
Зарегистрирован:
13 окт 2007 23:21
Откуда: с того берега моря

Сообщение SHPALA » 24 фев 2009 22:09

Народ, посоветуйте как быть? Поставил заплатку от вируса, мне помогло интернет прерстал отваливаться! Друг ставил, тоже всё отлично! А вот племяшка(по моему совету :oops: ) поставила, комп у неё сразу сам начал перезагружаться и теперь постоянно, после включения сам перезагружаеться! Что надо сделать, чтоб остановить этот бесконечный процесс? Спасите, иначе она меня порвёт! :suicide:
Аватара пользователя
SHPALA
На борту
На борту
 
Сообщения: 107
Зарегистрирован:
10 апр 2008 18:03
Откуда: Хользунова

Сообщение Michael » 24 фев 2009 22:33

SHPALA
В безопасном режиме получается загрузиться?
Что бы правильно задать вопрос, надо знать, как минимум, половину ответа...
Аватара пользователя
Michael
Штурман
Штурман
 
Сообщения: 698
Зарегистрирован:
02 ноя 2007 01:56
Откуда: Воронеж, Лизюкова

Сообщение SHPALA » 24 фев 2009 22:38

Michael
Ну я не пробовал, комп не у меня дома. А она (племяшка), в нём не разбераеться.
Как она говорит, комп включаеться, появляетья рабочий стол и сразу следует перезагрузка...
Аватара пользователя
SHPALA
На борту
На борту
 
Сообщения: 107
Зарегистрирован:
10 апр 2008 18:03
Откуда: Хользунова

След.

Вернуться в Защита от вирусов

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron