Перейти к содержанию

Новый вирус

Игорь1

От Игорь1
в Помощь по персональным продуктам

 Share

Рекомендуемые сообщения

Самогонщик Гигант мысли

Самогонщик

Опубликовано
Опубликовано
Удивительно, но не нашел ни одной статьи в СМИ... дайте ссылку хотя бы на одну. :whistle:

 

Новая информация - утилита f-downadup тоже не помогает.

Эпидемия: за 4 дня заражено 5 млн ПК

Новый червь заразил уже около 9 млн компьютеров в мире

Ссылка на комментарий
Поделиться на другие сайты
Fasawe Профи

Fasawe

Опубликовано
Опубликовано (изменено)

Нашел метод остановить! Но только остановить распространение вируса.

Итак:

1. Вирус использует контроллеры домена в качестве своих источников заразы.

2. В папке C:\Windows\System32 создается сначала [неизменное произвольное имя].dll,

но по ходу "лечений" может менять своё расширение. Имя при этом остается всегда неизменным.

3. В планировщике задач создается минимум 3 задачи с именем [пару букв][номер], к примеру у меня было AT13, AT14, AT15

При этом в реестре в HKLM\Software\Microsoft\Windows NT\CurrentVersion\SvcHost в параметре netsvcs в конце добавляется служба

с именем [бессвязный набор символов - около 15 символов]. Её можно безболезненно удалить.

А вообще сам планировщик я у себя отключил...

4. Для того, чтобы увидеть зараженный файл в System32 надо снять в "Свойства папки" галочку "Скрывать защищенные системные файлы"

и поставить галочку на "Показывать скрытые файлы и папки".

Увидеть зараженный файл - заходим в Свойства -> Безопасность -> Дополнительно(в правом нижнем углу), снимаем галочку с "Наследовать..." и

говорим "Удалить" всех пользователей. После этого добавляем произвольного ненужного пользователя и говорим в его правах, что ему всё запрещено.

!Делать это нужно ТОЛЬКО с зараженным файлом(который находит KidoKiller)!

Закрываем окошко и перезагружаем машину.

 

Пока что этот метод сработал. У меня источником заразы оказались контроллеры домена, поэтому как только я их "заглушил",

все остальные рабочие станции стали легко пролечиваться и вирус на них больше не появлялся.

 

Увы, но сам источник заразы KidoKiller-ом видимо не лечится. Где-то слышал, что Kido на одной из машин устанавливает HTTP-сервер распространения заразы...

Видимо его грохнуть утилита как раз и не может. Остается только ждать и надеяться...

 

З.Ы. Кстати, исходя из п.2 у вируса ещё имеется возможность поменять своё расширение, переделав себя в другой файл.

Такая возможность мною не исключена. Пока что прошел 1 час со времени "лечения" и активности я не наблюдаю.

З.З.Ы. Ещё отмечу, что учетную запись "Администратор" мы пока что отключили. Как всё уляжется - попробую включить обратно :whistle:

З.З.З.Ы. Естественно, что все рекомендации ЛК были выполнены в точности и на всех машинах(3патча+антиавторан).

Для Висты этот антиавторан глушит СД-РОМ - поэтому приходится его включать обратно через реестр(в других системах всё ок).

 

Если эту информацию надо куда-то посылать, то я таких адресов не знаю...

Изменено пользователем Fasawe
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • TloBeJluTeJlb
      Вирус John
      От TloBeJluTeJlb
      Здравствуйте, перед обращением прошерстил темы похожих проблем, но не нашёл своей. John каким-то совершенно непостижимым образом почти не влиял на работоспособность системы, а заметил я его исключительно из-за пропажи доступа к файлам Касперского, который полностью перестал запускаться. 

      Побился об ближайшую стену, подумал, прошёлся KVRT, которым ничего не нашло, подумал ещё немного, включил AV_block_remover. Он нашёл, сделал своё дело, но доступ к папке антивируса я всё ещё не получил :D! FRST, от нечего делать, тоже был задействован, но немного опосля. Короче говоря, я, даже после удаления злополучного майнера из системы, не могу получить доступ к своим же файлам.



       

      FRST.txt Fixlog.txt Addition.txt AV_block_remove_2025.01.20-07.45.log
    • Bercolitt
      Появился новый Bug с экранной клавиатурой.
      От Bercolitt
      Захожу в браузер в режиме безопасных платежей.Вызываю экранную клавиатуру комбинацией клавиш
      Ctrl+Alt+Shift+P. После этого пытаюсь зайти в личный кабинет online.vtb. Нажимаю клавишу для получения смс-ки. Однако клавиша не срабатывает, смс не приходит.Повторное нажатие - тот же результат. Никаких диагностических сообщений не поступает.Как-будто семафорная блокировка по одному и тому же программному ресурсу. Выключаю виртуальную клавиатуру и клавиша запроса смс срабатывает. Bug появился сегодня.
    • foxlape
      Подозрения на вирус
      От foxlape
      Запустил прогу и комп тупить начал, есть подозрения на вирус. Логи после запуска проги Logfile.rar (Сохранял логи через Processor Monitor)
       
    • Obivan
      [РЕШЕНО] Вирус или скрипт.
      От Obivan
      Есть несколько проблем которые я заметил в работе своего компа после того как на новогодних каникулах в него поиграли детишки. В браузере хром невозможно ничего скачать, всегда обнаружен вирус, даже там где его не может быть. Заблочились обновления виндовс. Винда 11 про 22н2. Все, что на форумах обычно пишут сделать- делал, ничего не помогло. Антивирус стоит Касперский эндпоинт секурити. Сканировал куреит, авз, малвар и пр, что-то там нашлось, удалилось и вылечилось, но эффекта не дало. Кто знает, что делать? Давайте разбираться!
      CollectionLog-2025.01.16-19.59.zip
    • jiil
      [РЕШЕНО] Вирус или Майнер
      От jiil
      Обнаружил на пк вирус или майнер, подозрения начались после общего замедления работы системы, забитый под 100% ЦП, после попыток использовать антивирус, он не запускался, при попытке скачать новый антивирус браузер вылетает, после попыток зайти в проводник в скрытые папки (Program Data) проводник тоже вылетает, смог воспользоваться AVbr с изменение имени исполняемого файла получил следующий лог
       

×
×
  • Создать...