Перейти к содержанию

Новый вирус

Игорь1

Автор Игорь1
в Помощь по персональным продуктам

 Поделиться

Рекомендуемые сообщения

Самогонщик Гигант мысли

Самогонщик

Опубликовано
Опубликовано
Удивительно, но не нашел ни одной статьи в СМИ... дайте ссылку хотя бы на одну. :whistle:

 

Новая информация - утилита f-downadup тоже не помогает.

Эпидемия: за 4 дня заражено 5 млн ПК

Новый червь заразил уже около 9 млн компьютеров в мире

Ссылка на комментарий
Поделиться на другие сайты
Fasawe Профи

Fasawe

Опубликовано
Опубликовано (изменено)

Нашел метод остановить! Но только остановить распространение вируса.

Итак:

1. Вирус использует контроллеры домена в качестве своих источников заразы.

2. В папке C:\Windows\System32 создается сначала [неизменное произвольное имя].dll,

но по ходу "лечений" может менять своё расширение. Имя при этом остается всегда неизменным.

3. В планировщике задач создается минимум 3 задачи с именем [пару букв][номер], к примеру у меня было AT13, AT14, AT15

При этом в реестре в HKLM\Software\Microsoft\Windows NT\CurrentVersion\SvcHost в параметре netsvcs в конце добавляется служба

с именем [бессвязный набор символов - около 15 символов]. Её можно безболезненно удалить.

А вообще сам планировщик я у себя отключил...

4. Для того, чтобы увидеть зараженный файл в System32 надо снять в "Свойства папки" галочку "Скрывать защищенные системные файлы"

и поставить галочку на "Показывать скрытые файлы и папки".

Увидеть зараженный файл - заходим в Свойства -> Безопасность -> Дополнительно(в правом нижнем углу), снимаем галочку с "Наследовать..." и

говорим "Удалить" всех пользователей. После этого добавляем произвольного ненужного пользователя и говорим в его правах, что ему всё запрещено.

!Делать это нужно ТОЛЬКО с зараженным файлом(который находит KidoKiller)!

Закрываем окошко и перезагружаем машину.

 

Пока что этот метод сработал. У меня источником заразы оказались контроллеры домена, поэтому как только я их "заглушил",

все остальные рабочие станции стали легко пролечиваться и вирус на них больше не появлялся.

 

Увы, но сам источник заразы KidoKiller-ом видимо не лечится. Где-то слышал, что Kido на одной из машин устанавливает HTTP-сервер распространения заразы...

Видимо его грохнуть утилита как раз и не может. Остается только ждать и надеяться...

 

З.Ы. Кстати, исходя из п.2 у вируса ещё имеется возможность поменять своё расширение, переделав себя в другой файл.

Такая возможность мною не исключена. Пока что прошел 1 час со времени "лечения" и активности я не наблюдаю.

З.З.Ы. Ещё отмечу, что учетную запись "Администратор" мы пока что отключили. Как всё уляжется - попробую включить обратно :whistle:

З.З.З.Ы. Естественно, что все рекомендации ЛК были выполнены в точности и на всех машинах(3патча+антиавторан).

Для Висты этот антиавторан глушит СД-РОМ - поэтому приходится его включать обратно через реестр(в других системах всё ок).

 

Если эту информацию надо куда-то посылать, то я таких адресов не знаю...

Изменено пользователем Fasawe
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Dava
      Вирус
      Автор Dava
      Поймал вирус с торрента который устанавливал мне адблок в эдж, вирус и его папки я нашел и удалил, позже удалил торрент, но теперь при открытии эджа у меня пишет "Microsoft edge неожиданно завершил работу, восстановить страницы?"
      Удалять куки и сбрасывать настройки к начальным и тыкать Repair я пробовал, это не помогло. Я предполагаю что где то еще остался вирусняк который лезет в эдж, но касперский его не видит
      Addition.txt FRST.txt
    • Abzz
      Вирус "updater.exe"
      Автор Abzz
      Здраствуйте, абсолютно аналогичная проблема, но не получается перейти по выделенной вами ссылке архива 
      "Скачайте архив по ссылке, распакуйте. Запустите каждый из файлов и подтвердите внесение информации в реестр."
      переносит нету файла для скачивания, помогите пожалуйста.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
       
       
    • Nabludatel
      [РЕШЕНО] NET:MALWARE.URL Вирус
      Автор Nabludatel
      Здравствуйте, нашел через Dr.Web Cureit вирус который невозможно вылечить. 
      Все логи прилагаю.
      Addition.txt FRST.txt cureit.zip
    • _1Artes1_
      Помощь в очистке от вирусов
      Автор _1Artes1_
      В общем,во время поиска обхода блокировки дискорда,поймал себе какую-то гадость,вытащила мне все логины и пароли с устройства ,вроде,удалил,но сегодня не смог зайти в редактор реестра и понял,что еще не все исправлено
      CollectionLog-2025.05.08-21.00.zip
    • DKOFFICIAL
      Скрытый вирус и не удаляемый
      Автор DKOFFICIAL
      Здравствуйте, помогите пожалуйста, переустанавливал windows несколько раз, пробовал жесткий диск менять, не помогает ничего, поймал какой то вирус, когда поймал не было никаких антивирусов скачанных, и пошло поехала, начали запускаться программы и потом вовсе рабочий стол пропал и черный экран был, перезагрузил ноутбук стало все нормально резко, и с тех пор греется ноутбук, цп нагружается щас на все 100 бывает после того как проверяет антивирус на вирусы и то ничего не находит и то редко поднимается до 100, в большинстве случаев до 60-70 грузиться, а в обычном режиме ноута, грузиться память на 50%, и гудит вентилятор и греется ноутбук, хотя до этого всего не было такого от слова совсем, антивирусы не находят, пробовал через dr web и kaspersky, в основном с kaspersky, так как куплена подписка, бывает даже иногда мышка сама по себе ходит, 1 раз когда перезагрузил ноутбук, создался учетная запись и пароль стоял на ноутбуке, пришлось менять винду,не знаю уже что делать. Браузер когда запускаю, в диспетчере задач показывает что браузер открыт аж целых 20-30раз одновременно.Стало более менее когда поставил винду урезанную пиратскую, где больше приложений от windows урезана и удаленный доступ отключен, ноутбук не старый, i5-12450h процессор, 16гб оперативки.
×
×
  • Создать...