Неизвестный Вирус
#21
Отправлено 09 Январь 2009 - 16:11
вобщем какое то чудо под названием Net-Worm.Win32.Kido.da
#22
Отправлено 09 Январь 2009 - 16:18
Не боись я за вчера сегодня несколько продуктов уже испробовал, результат нулевой. Прямо невидимка какая-то.Слегка разочарован в этом програмном продукте.
#23
Отправлено 09 Январь 2009 - 16:19
Это я у себя уже находил, правда пояски понадобились с бубном не малые, на остальных машинах если и есть эта зараза, то неждетектируемая даже с лайв сдВылечил я эту дрянь...
вобщем какое то чудо под названием Net-Worm.Win32.Kido.da
#24
Отправлено 09 Январь 2009 - 16:26
Это уже проходили, за сегодня уже несколько раз обновлял.Слейте переносную версию каспера (avp tool) и лечите компы, потом заразу которую найдет каспер залейте вирлабу веба.
проверил только что убил аторан на флешке, вставил назад, атворан появился. т.е. приблуда с чудным именем только "спутник" основного виря.
Могу добавить ещё что при запуске компьютера появляется в логе запись типа C:\WINDOWS\system32\01.tmp - инфицирован Win32.HLLW.Autoruner.5555
т.е. копать нужно к прародителю этого виря. 5-я версия детектит это только на эвристике, 4-я по базам похоже ловит.
Вот этот авторан http://www.virustotal.com/ru/analisis/fa96...af1a1e3c0f2795c присылать в веб если нужно пошщлю, но посленее сообщение заглохло необработанным, есть ли смысл слать.
#25
Отправлено 09 Январь 2009 - 16:27
все днс запросы сразу стали работать как надо, вебер апдейтится и все остальное ок...
#26
Отправлено 09 Январь 2009 - 18:01
А что ты делал? Я сканил каспером, нашёл тоже такой вирь "Net-Worm.Win32.Kido.da" удалил, а толку нет ,все равно не обновляется!хм, да все завелось вроде бы...
все днс запросы сразу стали работать как надо, вебер апдейтится и все остальное ок...
#27
Отправлено 09 Январь 2009 - 18:52
Если не помогло, в папке с вебером есть файлик update.drl, попробуй вместо урл адресов забить туда айпишники, те что я рекомендовал в host прописывать.
Впрочем и в хост пропиши тоже, у меня апдейтился вебер даже с вирусом, хотя толку от этого было мало.
#28
Отправлено 09 Январь 2009 - 19:15
Если не помогло, в папке с вебером есть файлик update.drl, попробуй вместо урл адресов забить туда айпишники
И он перестанет работать. В drl так просто сервера обновлений не поменять...
#29
Отправлено 09 Январь 2009 - 19:36
И он перестанет работать. В drl так просто сервера обновлений не поменять...
Я думаю проблему насильственной замены файла можно решить, если он не дает это сделать стандартными методами
Впрочем мне хватило только изменения файла hosts...
#30
Отправлено 09 Январь 2009 - 19:42
Нет, нельзя. Файл update.drl подписан - любое изменение делает его невалидным.Я думаю проблему насильственной замены файла можно решить, если он не дает это сделать стандартными методамиИ он перестанет работать. В drl так просто сервера обновлений не поменять...
Борис А. Чертенко aka Borka.
#31
Отправлено 09 Январь 2009 - 19:44
#32
Отправлено 09 Январь 2009 - 19:48
Попробуйте ИЭ переставить - очень много хвостов от него болтается.Жду и надеюсь как кучерявая блондинка , лекарства от этой эпидемии.
Борис А. Чертенко aka Borka.
#33
Отправлено 09 Январь 2009 - 19:53
Нет, нельзя. Файл update.drl подписан - любое изменение делает его невалидным.Я думаю проблему насильственной замены файла можно решить, если он не дает это сделать стандартными методамиИ он перестанет работать. В drl так просто сервера обновлений не поменять...
Понятно...
Ну в таком случае доктору нечего противопоставить вирусу...
#35
Отправлено 09 Январь 2009 - 21:04
Образец мною был обнаружен во вторник 6 января утром, в сети машины вели себя странно, то вылетали с ошибкой svchost.exe, то не печатали по сети.
При установки флешки на ней появлялась директория RECYCLER с файлом jwgkvsq.vmx и естественно autorun.inf.
Вот тут-то и начинается самое интересное, я пакую этого паразита и отправляю по следующим адресам: [ RIP ].
Включая и DrWеb
На 12:00, 6 января на вирустотале http://www.virustotal.com/ru/ из 38 антивирусов этого червя определяло 7 антивирусов.
На сегодня, 9 января, из 38 антивирусов его определяет уже 25 антивирусов.
Уже в 23:00, 6 января его начал определять Касперыч, но его бесплатная утилита этого червя нормально не лечит.
Ну а DrWeb-у я образец отправлял 4(четыре раза). А воз и ныне там.
Теперь как от него избавиться. Активный файл вируса живет в C:\WINDOWS\system32\
Посмотреть на него можно в Far-e, заходим в эту папку и ищем dll с hidden атрибутами, он обычно там один такой (его размер от 169кб до 171кб), файл с безобразным названием. Из под Explorer-a вы его не увидите и не удалите.
Как избавиться от червя без помощи антивирусов:
Грузимся ERD-commander-om заходим C:\WINDOWS\system32\ и удаляем. Все!!!
Компьютер выключаем и идем так по все сети. Пока последний компьютер не будет вылечен не включать вылеченные компьютеры или по крайней мере отключить их от сети.
Сегодня таким способом вылечил 10 машин в двух разных сетях.
Скажу, одна сеть большая вторая маленькая, этим червем не заразились только машины с последними обновлениями Windows или на которых стоял ДРУГОЙ антивирус, какой не скажу, дабы не рекламировать.
Почитать про брата близнеца этого червя можно здесь:
http://av-school.ru/news/a-186.html
Это его предыдущая модификация, как я понимаю, и решение немного другое.
Выводы делайте сами.
Немного сумбурно, спешу, звЫняйтЭ.
Спасибо, что дочитали до конца.
#36
Отправлено 09 Январь 2009 - 23:56
Просто и без этого проблем бывает хватает, а тут еще и эта фигня...
Ладно вобщем правильно, расслабляться нельзя )
#37
Отправлено 10 Январь 2009 - 01:01
Всё также заражает .dll в system32, и клонируется себя по сети.
В Net-Worm.Win32.Kido.da порт размножения через 8884
Отправил на анализ, ждем полноценно лекарства от Паучка
#38
Отправлено 10 Январь 2009 - 09:16
Могу добавить что размножается вирь странно, он не идёт на все машины к которым есть доступ, предпочитает сидеть только на некоторых. Предполагаю что процесс зараждения идёт через знакомую вебу сигнатуру и соответсвенно блокируется на ранней стадии (заражены машины только с устаревшими базами в районе 20 дней на 8-е число), но там где базы устарели, т.е. нет ещё нужной сигнатуры заражение происходит и тогда большоя проблема при лечении. Непонятно чего так долго возятся с добавлением в баз.
Из интересного нахождение какого-то Net-Worm.Win32.Kido.fw и его лечение вчера не вылечило машину. Минут через 15 буду вытирать файик руками.
#39
Отправлено 10 Январь 2009 - 09:57
Я вчера уже нашёл этот файлик. Он при работе скрыт достаточно хорошо, его не берёт даже прямой доступ, по крайней мере найти утилиту которая могла бы его скопировать не получилось т.е. с зараженной винды лечить и искать аирус бесполезно. Единственный вариант, это когда антивирус найдёт нужный процесс (скрытый в нужном процессе) и удалит заразу из памяти.
Могу добавить что размножается вирь странно, он не идёт на все машины к которым есть доступ, предпочитает сидеть только на некоторых. Предполагаю что процесс зараждения идёт через знакомую вебу сигнатуру и соответсвенно блокируется на ранней стадии (заражены машины только с устаревшими базами в районе 20 дней на 8-е число), но там где базы устарели, т.е. нет ещё нужной сигнатуры заражение происходит и тогда большоя проблема при лечении. Непонятно чего так долго возятся с добавлением в баз.
Из интересного нахождение какого-то Net-Worm.Win32.Kido.fw и его лечение вчера не вылечило машину. Минут через 15 буду вытирать файик руками.
поробуй программу "Unlocker" снимает любой процесс. Я пока что вылечил на одном компьютере.
#40
Отправлено 10 Январь 2009 - 10:35
http://forum.ixbt.com/topic.cgi?id=22:71030
- на будущее.
Предлагаются ДВА рещения:
1.при помощи программы. http://www.davisr.com/downloads/InstallFlashGuard1.0.zip
2. и ключа реестра.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
Причем, ключ классный, так как функция autorun перестает работать как КЛАСС! Т.е. даже если есть файл autorun.inf windows перестает его выполнять (не путать с автоматическим запуском).
Так как эта последняя зараза расползается двумя путями - через авторан и через дЫрку в винде. Не надеясь на антивирус можно проапдейдить windows и использовать два верхних решения и хоть как-то облегчить себе жизнь, но предварительно нужно, естественно, вылечить систему.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых