Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Новый вирус

Игорь1

Автор Игорь1
в Помощь по персональным продуктам

 Поделиться

Рекомендуемые сообщения

Самогонщик

Самогонщик

Опубликовано
Опубликовано
Удивительно, но не нашел ни одной статьи в СМИ... дайте ссылку хотя бы на одну. :whistle:

 

Новая информация - утилита f-downadup тоже не помогает.

Эпидемия: за 4 дня заражено 5 млн ПК

Новый червь заразил уже около 9 млн компьютеров в мире

Ссылка на комментарий
Поделиться на другие сайты
Fasawe

Fasawe

Опубликовано
Опубликовано (изменено)

Нашел метод остановить! Но только остановить распространение вируса.

Итак:

1. Вирус использует контроллеры домена в качестве своих источников заразы.

2. В папке C:\Windows\System32 создается сначала [неизменное произвольное имя].dll,

но по ходу "лечений" может менять своё расширение. Имя при этом остается всегда неизменным.

3. В планировщике задач создается минимум 3 задачи с именем [пару букв][номер], к примеру у меня было AT13, AT14, AT15

При этом в реестре в HKLM\Software\Microsoft\Windows NT\CurrentVersion\SvcHost в параметре netsvcs в конце добавляется служба

с именем [бессвязный набор символов - около 15 символов]. Её можно безболезненно удалить.

А вообще сам планировщик я у себя отключил...

4. Для того, чтобы увидеть зараженный файл в System32 надо снять в "Свойства папки" галочку "Скрывать защищенные системные файлы"

и поставить галочку на "Показывать скрытые файлы и папки".

Увидеть зараженный файл - заходим в Свойства -> Безопасность -> Дополнительно(в правом нижнем углу), снимаем галочку с "Наследовать..." и

говорим "Удалить" всех пользователей. После этого добавляем произвольного ненужного пользователя и говорим в его правах, что ему всё запрещено.

!Делать это нужно ТОЛЬКО с зараженным файлом(который находит KidoKiller)!

Закрываем окошко и перезагружаем машину.

 

Пока что этот метод сработал. У меня источником заразы оказались контроллеры домена, поэтому как только я их "заглушил",

все остальные рабочие станции стали легко пролечиваться и вирус на них больше не появлялся.

 

Увы, но сам источник заразы KidoKiller-ом видимо не лечится. Где-то слышал, что Kido на одной из машин устанавливает HTTP-сервер распространения заразы...

Видимо его грохнуть утилита как раз и не может. Остается только ждать и надеяться...

 

З.Ы. Кстати, исходя из п.2 у вируса ещё имеется возможность поменять своё расширение, переделав себя в другой файл.

Такая возможность мною не исключена. Пока что прошел 1 час со времени "лечения" и активности я не наблюдаю.

З.З.Ы. Ещё отмечу, что учетную запись "Администратор" мы пока что отключили. Как всё уляжется - попробую включить обратно :whistle:

З.З.З.Ы. Естественно, что все рекомендации ЛК были выполнены в точности и на всех машинах(3патча+антиавторан).

Для Висты этот антиавторан глушит СД-РОМ - поэтому приходится его включать обратно через реестр(в других системах всё ок).

 

Если эту информацию надо куда-то посылать, то я таких адресов не знаю...

Изменено пользователем Fasawe
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...