Войти через loginza
Закрыть панель

В последнее время стали задавать вопросы :

  • почему все заплатки стоят , а Конфикер все равно лезет ?
  • почему обновился, а антивирус находит вирус ?
  • убиваю вирус , а через некоторое время все начинается сначала ?
  • 3 сервис пак закрывает «дыру» в безопасности, но антивирус находит вирус ?
  • удалил вирус , поставил патчи, а звук все равдно «падает» ?
  • периодически появляется ошибка Windows Critical или Generic host process error  — даже если ничего не делаю, при этом патчи СП3 установлены ?

Эти и многие вопросы задаются неоднократно. Но и объяснить их так же несложно. Вирус Net-Worm.Win32.Kido.ip/Win32.Worm.Downadup.Gen/Conficker (это основные названия червя) полиморфный — т.е. постоянно изменяет свой код. И со времен первых патчей и заплаток прошло довольно много времени.

Чтобы не задумываться , что нас ждет завтра и какие разновидности данного червя предстоит увидеть — я рекомендую обновиться при помощи службы Windows Update.

Многие проблемы действительно снимаются. И не только те, что связаны непосредственно с действиями вируса.

Я выбрал все обновления безопасности , начиная по дате с момента выхода 3 сервис пака.

Скачать с Depositfiles.com

Скачать с letitbit.net

В архиве 28 обновлений. Многие из них требуют перезагрузки — не советовал бы откладывать. Обновляться 28 раз — довольно муторно — поэтому все-таки советую обновиться с Windows Uppdate, но если это по каким то причинам (:)) Вам не подходит, то воспользуйтесь архивом.

Обновленный preSP4 для WindowsXP :

Скачатьс depositfiles.com

 

Не так давно пользователи Windows столкнулись с целой эпидемией от вируса win32.kido.

Разные антивирусные компании определяют ее по-разному. Но в основном фигурирую 3 названия :

  • win32.kido
  • Win32.Worm.Downadup.Gen
  • Conficker

В предыдущей статье я уже указывал основные симптомы этого вируса, среди которого падение Generic.host process и периодическое «отпадание» драйвера звука.

Хотелось бы обратить внимание на комплекс мер, предлагаемый пользователю — иначе все усилия будут просто бесполезны.

По заверениям от Microsoft третий СП закрывает дыру в уязвимости или же прдлагает наложить 3 обновления.

Но не тут то было. По описаниям деструктивной и другой деятельности новая версия червя не очень претерпела изменения, но как видимо уязвимости все же остались.

Дабы не разносить все по разным местам новые (и обновленные) утилиты  выложены в старой статье.

Вот что говорит об этом сайт Касперского :

Читать запись полностью »

 

Симптомы заражения в сети

  1. При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
  2. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
  3. Часто вылетают звуковые драйвера.
  4. Ошибка generic host process failed.
  5. Блокировка адресов автоматических обновлений , антивирусов и microsoft.com

Краткое описание семейства Net-Worm.Win32.Kido.

  1. Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED{SID<….>}RANDOM_NAME.vmx
  2. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:windowssystem32zorizr.dll
  3. Прописывает себя в сервисах — так же со случайным именем, состоящим из латинских букв, например knqdgsm.
  4. Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
  5. Обращается к следующим сайтам (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):
    • http://www.getmyip.org
    • http://getmyip.co.uk
    • http://www.whatsmyipaddress.com
    • http://www.whatismyip.org
    • http://checkip.dyndns.org
    • http://schemas.xmlsoap.org/soap/envelope/
    • http://schemas.xmlsoap.org/soap/encoding/
    • http://schemas.xmlsoap.org/soap/envelope/
    • http://schemas.xmlsoap.org/soap/encoding/
    • http://trafficconverter.biz/4vir/antispyware/loadadv.exe
    • http://trafficconverter.biz
    • http://www.maxmind.com/download/geoip/database/GeoIP.dat.gz

Способы удаления

Удаление сетевого червя производится с помощью специальных утилит:

Утилита от ESET EConfickerRemover.

kidokiller_v31.

kidokiller_v333 (обновленная)

kkiller_v344 (обновленная)

Ключи для запуска утилиты KK.exe из командной строки:

Параметр

Описание

-p <путь для сканирования>

Cканировать определённый каталог.

-f

Cканировать жёсткие диски.

-n

Cканировать сетевые диски.

-r

Cканировать flash-накопители.

-y

Не ждать нажатия любой клавиши.

s

«Тихий» режим (без чёрного окна консоли).

-l <имя файла>

Запись информации в лог-файл.

-v

Ведение расширенного лога (параметр -v работает только в случае, если в командной строке указан также параметр -l)

z

Восстановление служб

· Background Intelligent Transfer Service (BITS),

· Windows Automatic Update Service (wuauserv),

· Error Reporting Service (ERSvc/WerSvc)

Восстановление возможности показа скрытых и системных файлов.

a

Отключение автозапуска со всех носителей.

m

Режим мониторинга потоков, заданий, сервисов.

-j

Восстановление ветки реестра SafeBoot (при ее удалении компьютер
не может загрузиться в безопасном режиме)

-help

Получение дополнительной информации об утилите.

Например, для сканирования flash-накопителя с записью подробного отчета в файл report.txt (который создастся в папке, где находится утилита KK.exe) используйте следующую команду:

kk.exe -r -y -l report.txt -v

А вот еще 2 утилитки

Скачать с depositfiles.com

Скачать с letitbit.net

Обновленные версии Утилиты от BitDefender :

Скачать с depositfiles

Скачать с letitbit.net

И еще утилита для Сетевого лечения:

Скачать с depositfiles

Скачать с letitbit.net

Лечит сразу несколько компьютеров в сети (требуется аутентификация)

Так же обновилось средство удаления вредоносного кода от самой Microsoft:

Скачать с depositfiles

Скачать с letitbit.net

С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:

  • Установить патч, закрывающий уязвимость MS08-067. Линки на патчи ниже)
  • Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому  — пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.
  • Отключить автозапуск исполняемых файлов со съемных носителей.

Линки на патчи для разных ОС:

Windows XP:

Скачать с depositfiles.com

Скачать с letitbit.net

Windows XP x64 Edit:

windowsserver2003windowsxp-kb958644-x64-enu

Windows Vista:

windows60-kb958644-x86

Windows 2003 Server:

Скачать с depositfiles.com

Скачать с letitbit.net

После сканирования одной из утилит (или всемми для верности, но по идее хватит и любой из них) устанавиваем пачти из архива для Вашей ОС.

Удачи !!!

ЗЫ. От себя добавлю что на Windows Vista (SP1) и Windows 7(c WU)  эта гадость не пролезла.

ЗЫЫ. Утилиты обновлены от 14.04.09