Kukis-77 0 Опубликовано 26 марта, 2009 Share Опубликовано 26 марта, 2009 На DC и кластерных узлах объявился Net-Worm.Win32.kido.ih Везде Антивирусник AVP (разумеется) 6 для Win 2003 EE, вер. 2.555 Прочитал рекомендации по данному вирусу http://support.kaspersky.ru/viruses/solutions?qid=208636215 Обновления которые там указаны установлены. Скачал утилиту Kkiller. Она отрабатывает, удаляет вирус. Потом запускаю AVP - ничего нет. Перезагрузка, Kkiller в автозагрузке - чисто. Есть несколько моментов которые меня настораживают - 1.после каждой загрузке в TEMP образуется пустая папка gthrsvc - это что? И там же есть папка ?_SYSTEM доступ к которой закрыт. 2. при запуске kkiler для проверки всех дисков (под админом) он постоянно получает access denied от System Volume Information Как точно убедиться что вирус полностью удалён? Помогите плиз, очень срочно. Цитата Ссылка на сообщение Поделиться на другие сайты
Орион 1 Опубликовано 26 марта, 2009 Share Опубликовано 26 марта, 2009 Здравствуйте! Сделайте Логи Цитата Ссылка на сообщение Поделиться на другие сайты
Kukis-77 0 Опубликовано 26 марта, 2009 Автор Share Опубликовано 26 марта, 2009 Делаю. Если успею сегодня. Вирус к сожалению есть. Если зайти под другим пользователем - выскакивает. Такое ощущение что он лежит в каждом профиле, но обнаруживается только если зайдёшь именно под этим юзером. AVP и kkiller ничего не находят. Зашёл например под доменной админ.учёткой, AVP и kkiller отработали. Чисто. Перезагрузка опять под этим админом. Запуск AVP и kkiller. Чисто. Перезагрузка под другим логином, например встроенной учётки админа, запуск AVP и kkiller - есть вирус в system32. Цитата Ссылка на сообщение Поделиться на другие сайты
Apollon 185 Опубликовано 26 марта, 2009 Share Опубликовано 26 марта, 2009 Здравствуйте! Сделайте Логи Без логов Хелперы ничем помочь несмогут! Цитата Ссылка на сообщение Поделиться на другие сайты
Kukis-77 0 Опубликовано 27 марта, 2009 Автор Share Опубликовано 27 марта, 2009 Так, выкладываю. Одно но.. я что называется лажанулся. Вчера озверел от итого вездесущего вируса удалял всё что мог в том числе вычистил и хранилища AVP на нескольких машинах. Видимо надо было его оставить там. Ну в общем так. ND1 и ND2 это узлы кластера. DC - контроллер (на нём при отработке AVZ выскочило уведомление от AVP о заражении одного драйвера, но уже другим каким-то вирусом. Хотя коллега говорит что на этот файл AVP всегда ругается, реально там чисто ?). ND1_hijackthis.log ND1_virusinfo_syscheck.zip ND1_virusinfo_syscure.zip ND2_hijackthis.log ND2_virusinfo_syscheck.zip ND2_virusinfo_syscure.zip DC_hijackthis.log DC_virusinfo_syscheck.zip DC_virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Fasawe 69 Опубликовано 27 марта, 2009 Share Опубликовано 27 марта, 2009 Не знаю как у кого, но у меня KidoKiller контроллеры домена вылечить не смог... Проверить на заразность сервера можно очень просто - через минуты 3 после того, как KidoKiller нашел и удалил вирус, файл с таким же названием появляется в Windows/System32. Он после удаления может поменять своё расширение. Чтобы увидеть этот файл надо поставить в свойствах папки в Винде "Показывать скрытые файлы и папки" и снять галочку с "Скрывать защищенные системные файлы". Если надо что-то срочно сделать с вирусом и остановить его распространение, то тогда снимаем с этого файла все права, говорим, что его может использовать только какой-то новосозданный юзер, которому говорим, что ему всё запрещено. После этих действий распространение вируса остановится. Ещё у Microsoft существует статья как можно удалить вирус вручную, но я её ещё не тестил, хотя действий там несколько больше, чем предлагает ЛК и соответственно решение проблемы выглядит более вероятным. Цитата Ссылка на сообщение Поделиться на другие сайты
Kukis-77 0 Опубликовано 27 марта, 2009 Автор Share Опубликовано 27 марта, 2009 Ещё у Microsoft существует статья как можно удалить вирус вручную Ссылку скиньте, плиз. У меня kkiller после очистки и повторной перезагрузки ничего не находит, если зайти под этим же профилем. Сейчас попробую подключить машину в домен и посмотрю что измениться. Пока всё работает локально. Цитата Ссылка на сообщение Поделиться на другие сайты
Fasawe 69 Опубликовано 27 марта, 2009 Share Опубликовано 27 марта, 2009 У меня kkiller после очистки и повторной перезагрузки ничего не находит, если зайти под этим же профилем. Сейчас попробую подключить машину в домен и посмотрю что измениться. Пока всё работает локально. Не рекомендую... хотите распространить возможный вирус на все машины домена? Сначала проверьте наличие файла и заблокируйте его активность, урезав в правах, а затем вводите куда хотите. Ссылку сейчас посмотрю... Ловите ссылку от MS: http://support.microsoft.com/kb/962007/ru Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 27 марта, 2009 Share Опубликовано 27 марта, 2009 Для наиболее эффективного лечения установите следующие патчи от Microsoft: http://www.microsoft.com/technet/security/...n/MS08-067.mspx http://www.microsoft.com/technet/security/...n/ms08-068.mspx http://www.microsoft.com/technet/security/...n/ms09-001.mspx Это позволит избежать перезаражения. Желательно применить эти исправления на все машины в сети. Цитата Ссылка на сообщение Поделиться на другие сайты
Kukis-77 0 Опубликовано 27 марта, 2009 Автор Share Опубликовано 27 марта, 2009 Ловите ссылку от MS: http://support.microsoft.com/kb/962007/ru Спасибо. Скачал и инструкцию и утилиту. Утилиту запустил - чисто. Выполнил шаги по инструкции. В принципе всё о чём говорится там у меня отсутствует. Вот знать бы наверняка, убит он или нет. Работает уже часов 10, раз 10 перезагружал. Чисто. Ваши мысли, товарищи. Он мог затаиться? Для наиболее эффективного лечения установите следующие патчи от Microsoft: Увы, все это было установлено, на всех кроме одной. Не помогло. Цитата Ссылка на сообщение Поделиться на другие сайты
Fasawe 69 Опубликовано 27 марта, 2009 Share Опубликовано 27 марта, 2009 Информации ради... вот инструкция от ЛК: http://forum.kaspersky.com/index.php?showtopic=101154 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.