Перейти к содержанию

Новый вирус

Игорь1

От Игорь1
в Помощь по персональным продуктам

 Share

Рекомендуемые сообщения

Самогонщик Гигант мысли

Самогонщик

Опубликовано
Опубликовано
Удивительно, но не нашел ни одной статьи в СМИ... дайте ссылку хотя бы на одну. :whistle:

 

Новая информация - утилита f-downadup тоже не помогает.

Эпидемия: за 4 дня заражено 5 млн ПК

Новый червь заразил уже около 9 млн компьютеров в мире

Ссылка на комментарий
Поделиться на другие сайты
Fasawe Профи

Fasawe

Опубликовано
Опубликовано (изменено)

Нашел метод остановить! Но только остановить распространение вируса.

Итак:

1. Вирус использует контроллеры домена в качестве своих источников заразы.

2. В папке C:\Windows\System32 создается сначала [неизменное произвольное имя].dll,

но по ходу "лечений" может менять своё расширение. Имя при этом остается всегда неизменным.

3. В планировщике задач создается минимум 3 задачи с именем [пару букв][номер], к примеру у меня было AT13, AT14, AT15

При этом в реестре в HKLM\Software\Microsoft\Windows NT\CurrentVersion\SvcHost в параметре netsvcs в конце добавляется служба

с именем [бессвязный набор символов - около 15 символов]. Её можно безболезненно удалить.

А вообще сам планировщик я у себя отключил...

4. Для того, чтобы увидеть зараженный файл в System32 надо снять в "Свойства папки" галочку "Скрывать защищенные системные файлы"

и поставить галочку на "Показывать скрытые файлы и папки".

Увидеть зараженный файл - заходим в Свойства -> Безопасность -> Дополнительно(в правом нижнем углу), снимаем галочку с "Наследовать..." и

говорим "Удалить" всех пользователей. После этого добавляем произвольного ненужного пользователя и говорим в его правах, что ему всё запрещено.

!Делать это нужно ТОЛЬКО с зараженным файлом(который находит KidoKiller)!

Закрываем окошко и перезагружаем машину.

 

Пока что этот метод сработал. У меня источником заразы оказались контроллеры домена, поэтому как только я их "заглушил",

все остальные рабочие станции стали легко пролечиваться и вирус на них больше не появлялся.

 

Увы, но сам источник заразы KidoKiller-ом видимо не лечится. Где-то слышал, что Kido на одной из машин устанавливает HTTP-сервер распространения заразы...

Видимо его грохнуть утилита как раз и не может. Остается только ждать и надеяться...

 

З.Ы. Кстати, исходя из п.2 у вируса ещё имеется возможность поменять своё расширение, переделав себя в другой файл.

Такая возможность мною не исключена. Пока что прошел 1 час со времени "лечения" и активности я не наблюдаю.

З.З.Ы. Ещё отмечу, что учетную запись "Администратор" мы пока что отключили. Как всё уляжется - попробую включить обратно :whistle:

З.З.З.Ы. Естественно, что все рекомендации ЛК были выполнены в точности и на всех машинах(3патча+антиавторан).

Для Висты этот антиавторан глушит СД-РОМ - поэтому приходится его включать обратно через реестр(в других системах всё ок).

 

Если эту информацию надо куда-то посылать, то я таких адресов не знаю...

Изменено пользователем Fasawe
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • AlexD777
      Вирус, клавиатура.
      От AlexD777
      Как убрать вирус в клав?
      Странно начал здесь набирать вопрос и клава восстановилась (вот что крест (Касперский) животворящий творит!).
      Любопытно надолго ли?
      Но пока вопрос исчерпан. Спасибо.
       
      Пршл три часа и вс пвтрилсь
      странн нктры буквы и цифры н. Впрс встал в нвую силу. Смжт ли ли антивирус рабраться с клав.
       
      Пхж и к сжалнию н мжт.   
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Vlad05
      Засыпали вирусы
      От Vlad05
      Через Yandex-почту получил 29 мая письмо. Появились первые трояны, через два дня Avast перстал справляться, установил Касперского, но и он все вылечить не может. Помогите, с уважением, Владимир.
      virusinfo_syscheck.zip
      virusinfo_syscure.zip
      hijackthis.rar
    • San4s2034
      Вирус-майнер
      От San4s2034
      Недавно скачал Game of Thrones Genesis с torrent-game.net. Касперски указал, что сайту можно доверять и он проверен. По итогу через время заметил, что в valorant фпс стал заблоченным на 75 и поднимается вверх только если я двигаю мышкой или нажимаю что-то на клавиатуре. Очевидно, что словил майнер. Запустил быструю и полную проверку, результата не дало. Попробовал через защитник windows 11. Заметил, что прогресс доходит до ~70% и потом просто зависает. Запустился через безопасный режим, зашёл в защитник и вылезла ошибка(скриншот). Проверил реестр и групповые политики, ничего нет, все чисто. 

    • San4s2034
      Вирус-майнер
      От San4s2034
      Недавно скачал Game of Thrones Genesis с torrent-game.net. Касперски указал, что сайту можно доверять и он проверен. По итогу через время заметил, что в valorant фпс стал заблоченным на 75 и поднимается вверх только если я двигаю мышкой или нажимаю что-то на клавиатуре. Очевидно, что словил майнер. Запустил быструю и полную проверку, результата не дало. Попробовал через защитник windows 11. Заметил, что прогресс доходит до ~70% и потом просто зависает. Запустился через безопасный режим, зашёл в защитник и вылезла ошибка(скриншот). Проверил реестр и групповые политики, ничего нет, все чисто. 

    • fertune
      Вирус dialer.exe
      От fertune
      Когда открываешь диспетчер задач то сначала ЦП грузит на 100% а потом на 10% я посмотрел через dr.web cureit и увидел то что это майнер dialer.exe, смотрел в интернете как пофиксить но никакие способы не помогли(может быть я что то делал неправильно)
      можете помочь с проблемой? Еще я пробовал его фиксить удаляя его но он опять появлялся и грузил ЦП на все 100%.
       
×
×
  • Создать...