Вирус kido conficker downadup

В данной статье Вы найдёте подробная пошаговая инструкция: как удалить вручную компьютерный червь Net-Worm.Win32.Kido (также известный как W32.Downadup.B и Win32/Conficker.B).

Итак, для того чтобы удалить червя Win32/Conficker.B из системы вручную, выполните действия, указанные ниже:

Остановите службу сервера. В результате этого действия общие ресурсы администратора будут удалены из системы, что предотвратит распространение вредоносных программ указанным способом.
Примечание. Службу сервера нужно отключить только временно, чтобы устранить Вредоносные программы из среды. Это особенно важно для рабочих серверов, так как данное действие влияет на доступность сетевых ресурсов. Службу сервера можно включить снова, как только среда будет полностью очищена.

Для остановки службы сервера необходимо использовать оснастку консоли управления (MMC) "Службы". Для этого выполните действия, указанные ниже:

2.1.

— В Windows 2000, Windows XP и Windows Server 2003 нажмите кнопку Пуск, затем Выполнить, введите services.msc и нажмите кнопку ОК.

2.2. Дважды щелкните элемент Сервер.

2.3. Нажмите кнопку Остановить.

2.4. В поле Тип запуска выберите значение Отключено.

2.5. Нажмите кнопку Применить.

Удалите все созданные задания автозапуска. Для этого введите в командной строке команду:

Остановите службу планировщика заданий.
— Для остановки службы планировщика заданий в Windows 2000, Windows XP и Windows Server 2003 необходимо использовать оснастку консоли управления (MMC) "Службы" или средство SC.exe.

— Чтобы остановить службу планировщика заданий в Windows Vista или в Windows Server 2008, выполните перечисленные ниже действия:

Важно! В данный раздел, метод или задачу включены действия по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому такие действия необходимо выполнять очень внимательно. Для дополнительной защиты нужно создать резервную копию реестра. Это позволит восстановить реестр при возникновении неполадок.

4.1. Нажмите кнопку Пуск, введите значение regedit в поле Начать поиск и выберите пункт regedit.exe в списке Программы.
4.2. Найдите и щелкните следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
4.3. В области сведений щелкните правой кнопкой мыши параметр DWORD Start и выберите команду Изменить
4.4. В поле Значение введите 4 и нажмите кнопку ОК.
4.5. Закройте редактор реестра и перезагрузите компьютер.

Примечание. Этот узел может быть заблокирован из-за заражения вредоносными программами. В этом случае необходимо загрузить обновление на компьютер, который не заражен, и переместить файл обновления на зараженный компьютер. Рекомендуется записать обновление на компакт-диск, потому что повторная запись на такой диск невозможна. Следовательно, он не может быть заражен.

Если устройство записи компакт-дисков недоступно, единственным способом скопировать обновление на зараженный компьютер может оказаться переносное USB-устройство памяти. При использовании съемного носителя следует помнить, что вредоносная программа может заразить его с помощью файла Autorun.inf. Если устройство памяти можно перевести в режим только для чтения, обязательно сделайте это после записи обновления на него. Обычно для этого используется переключатель на корпусе устройства.

После копирования файла обновления на зараженный компьютер следует проверить съемный носитель на наличие файла Autorun.inf. Если такой файл обнаружен, его необходимо переименовать, например, в Autorun.bad, чтобы при подключении носителя к компьютеру этот файл не был запущен.

Все пароли локального администратора и администратора домена необходимо заменить новыми надежными паролями. Дополнительные сведения см. в статье: Как создать безопасный пароль?

Найдите и выберите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

В области сведений щелкните правой кнопкой мыши параметр netsvcs и выберите команду Изменить.

Перейдите к нижней части списка. Если компьютер заражен червем Conficker.b, в нижней части списка появится случайное имя службы. В данном случае пусть, например, вредоносная служба имеет имя "gzqmiijz". Обратите внимание на имя вредоносной службы. Эта информация потребуется впоследствии при выполнении процедуры устранения червя.

Удалите строку, которая содержит ссылку на вредоносную службу. Убедитесь в том, что под последней допустимой записью в списке остается пустая строка, затем нажмите кнопку ОК.

Примечание. В приведенном ниже списке все записи являются допустимыми. Их не следует удалять. Запись, которую необходимо удалить, имеет случайным образом созданное имя и находится в конце списка:

Ограничьте разрешения для раздела реестра SVCHOST, чтобы его нельзя было перезаписать. Для этого выполните действия, описанные ниже:
Примечания.
— После полной очистки среды необходимо восстановить разрешения по умолчанию.
— В Windows 2000 для установки разрешений реестра необходимо использовать программу Regedt32.

11.1. Найдите и выберите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
11.2. Щелкните правой кнопкой мыши подраздел Svchost и нажмите кнопку Разрешения.
11.3. В диалоговом окне Элемент разрешений для SvcHost нажмите кнопку Дополнительно.
11.4. В диалоговом окне Дополнительно нажмите кнопку Добавить.
11.5. В диалоговом окне Выбор: пользователи, компьютеры и группы введите значение все и выберите команду Проверить имена.
11.6. Нажмите кнопку ОК.
11.7. В диалоговом окне Элемент разрешений для SvcHost выберите пункт Только этот раздел из списка Применить к, затем установите флажок Запретить для элемента разрешений Установить значение.
11.8. Дважды нажмите кнопку ОК.
11.9. На запрос системы безопасности ответьте Да.
11.10. Нажмите кнопку ОК.

При выполнении предыдущей процедуры нужно было обратить внимание на имя вредоносной службы. В данном примере ее имя "gzqmiijz". С учетом этого выполните указанные ниже действия:

12.1. В редакторе реестра найдите и выберите подраздел реестра, содержащий вредоносную службу с именем Имя_вредоносной_службы:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
Например, найдите и выберите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gzqmiijz
12.2. В области переходов щелкните подраздел правой кнопкой мыши и выберите пункт Разрешения.
12.3. В диалоговом окне Элемент разрешений для SvcHost нажмите кнопку Дополнительно.
12.4. В диалоговом окне Дополнительные параметры безопасности установите флажки:
1. Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне.
2. Заменить разрешения для всех дочерних объектов заданными здесь разрешениями, применимыми к дочерним объектам

Нажмите клавишу F5, чтобы обновить редактор реестра. В области сведений теперь можно просматривать и редактировать вредоносную библиотеку DLL, которая загружается как "ServiceDll". Для этого выполните действия, описанные ниже:

13.1. Дважды щелкните параметр ServiceDll.
13.2. Обратите внимание на путь к указанной библиотеке DLL. Эти сведения потребуются далее в этой процедуре. Например, путь к указанной библиотеке DLL может быть следующим:

Удалите запись вредоносной службы из подраздела реестра Run:

14.1. В редакторе реестра найдите и выберите следующие подразделы:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
14.2. В обоих подразделах найдите параметр, имя которого начинается с rundll32.exe, обращающийся к вредоносной библиотеке DLL, которая загружается как ServiceDll, обнаруженной в действии 13.2. Удалите параметр.
14.3. Закройте редактор реестра и перезагрузите компьютер.

Проверьте все диски в системе на наличие файлов Autorun.inf. Откройте каждый файл в программе "Блокнот", чтобы убедиться в том, что это допустимые файлы Autorun.inf. Ниже приведен пример типичного допустимого файла Autorun.inf:

Допустимый файл Autorun.inf обычно имеет размер от 1 до 2 КБ.

Все файлы Autorun.inf, допустимость которых вызывает сомнения, следует удалить.

Сделайте видимыми скрытые файлы. Для этого введите в командной строке следующую команду:

Установите флажок Показывать скрытые файлы и папки, чтобы увидеть нужный файл. Для этого выполните действия, указанные ниже.

19.1. В действии 13.2. нужно было запомнить путь к библиотеке DLL для вредоносной службы. Пусть, например, этот путь выглядит следующим образом:
%systemroot%\System32\emzlqqd.dll[/i]
В проводнике Windows откройте каталог %systemroot%\System32[/i] или каталог, содержащий вредоносную программу.
19.2. В меню Сервис выберите команду Свойства папки.
19.3. Перейдите на вкладку Вид.
19.4. Установите флажок Показывать скрытые файлы и папки.
19.5. Нажмите кнопку ОК.

Выберите файл библиотеки DLL.

Измените разрешения для этого файла, чтобы предоставить полный доступ для всех. Для этого выполните действия, указанные ниже:

21.1. Щелкните файл библиотеки DLL правой кнопкой мыши и выберите команду Свойства.
21.2. Перейдите на вкладку Безопасность.
21.3. Выберите пункт Все, затем установите флажок Полный доступ в столбце Разрешить.
21.4. Нажмите кнопку ОК.

Удалите библиотеку DLL, к которой обращается вредоносная служба. В данном примере следует удалить файл:
%systemroot%\System32\emzlqqd.dll

23. Включите фоновую интеллектуальную службу передачи (BITS), службы автоматического обновления, Защитник Windows и службу регистрации ошибок с помощью оснастки консоли управления (MMC) "Службы".

Отключите автозапуск, чтобы уменьшить вероятность повторного заражения. Для этого выполните действия, указанные ниже:

Примечание. Обновление 953252 и обновление для системы безопасности 950582 не относятся к данной проблеме с вредоносными программами. Их необходимо установить, чтобы разрешить функцию реестра, описанную в действии 24.2.

24.2. В командной строке введите следующую команду:

Если в системе запущен Защитник Windows, нужно вновь включить обнаружение расположения автозапуска. Для этого введите в командной строке следующую команду:

В операционных системах Windows Vista и более поздних Вредоносные программы изменяют глобальный параметр автонастройки принимающего окна TCP на значение отключено. Чтобы отменить это изменение, введите в командной строке следующую команду:

Если после завершения описанной процедуры имеются признаки заражения компьютера, это может быть вызвано описанными ниже причинами.

Одно из расположений автозапуска не было удалено. Например, не было удалено задание автозапуска или не был удален файл Autorun.inf.
Неправильно установлено обновление для системы безопасности MS08-067.

Вредоносные программы могут изменять другие настройки, не описанные в данной статье базы знаний. Другие сведения о черве Conficker см. на следующей веб-странице: Net-Worm Kido.

Досье на подлого червя!

Имя : Worm:W32/Downadup.AL
Возможные имена при определении : Net-Worm.Win32.Kido, Worm:W32/Downadup.AL
Алиасы : W32/Conficker.worm.gen (Symantec), Worm:Win32/Conficker (Microsoft), Mal/Conficker (Sophos)
Тип: Сетевой червь
Категория: Malware
Платформа: W32

Утилиты для удаления:

F-Downadup
Специальная утилита с эвристической проверкой для поиска различных вариантов червя Downadup:

FSMRT
Общая утилита для определения вируса (размер файла больше):

Внимание: Утилиты работают из командной строки. Пожалуйста, прочтите инструкцию, приложенную в ZIP-файле.

Обновления утилит:

Здесь находятся бета-версии различных дополнительных утилит:

* ftp://ftp.f-secure.com/anti-virus/tools/beta/

Настройки сканирования

Downadup использует множество различных имён, в том числе и случайно сгенерированных, поэтому обязательно используйте режим:

Microsoft Help and Support

В Базе знаний KB962007 содержит информацию для удаления вируса Conficker.B (Downadup) вручную.

Подробная информация о действиях червя:

Сразу после запуска Downadup (Kido, Conflicker) создаёт свои копии в следующих директориях:

* Внимание: [Random] — случайно сгенерированное имя.

Все атрибуты файла о времени создания копируются из файла %System%kernel32.dll. Затем червь создает ключики в реестре, чтобы абсолютно точно запуститься при следующем старте системы.

Червь может создать следующие файлы на жестких дисках, флэшках и картах памяти:

* %DriveLetter%RECYCLERS-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d[…].[3 случайных символа]
* %DriveLetter%autorun.inf

И подцепляется к следующим процессам:

* svchost.exe
* explorer.exe
* services.exe

Червь отключает некоторые системные утилиты и службы, которые могли бы предупредить его активность. В том числе следующие службы Windows:

* Windows Automatic Update Service (wuauserv)
* Background Intelligent Transfer Service (BITS)
* Windows Security Center Service (wscsvc)
* Windows Defender Service (WinDefend)
* Windows Error Reporting Service (ERSvc)
* Windows Error Reporting Service (WerSvc)

В дополнение к отключенным службам он проверяет ОС. Если это оказывается Windows Vista, то червь дополнительно отключает функцию автонастройки TCP/IP, запуская следующую команду:

* netsh interface tcp set global autotuning=disabled

Червь также проверяет использование следующих функций API, чтобы он смог заблокировать доступ к доменам (о них чуть ниже):

* DNS_Query_A
* DNS_Query_UTF8
* DNS_Query_W
* Query_Main
* sendto

Блокирует доступ к доменам, если в состав имени домена входят следующие словосочетания:

* virus
* spyware
* malware
* rootkit
* defender
* microsoft
* symantec
* norton
* mcafee
* trendmicro
* sophos
* panda
* etrust
* networkassociates
* computerassociates
* f-secure
* kaspersky
* jotti
* f-prot
* nod32
* eset
* grisoft
* drweb
* centralcommand
* ahnlab
* esafe
* avast
* avira
* quickheal
* comodo
* clamav
* ewido
* fortinet
* gdata
* hacksoft
* hauri
* ikarus
* k7computing
* norman
* pctools
* prevx
* rising
* securecomputing
* sunbelt
* emsisoft
* arcabit
* cpsecure
* spamhaus
* castlecops
* threatexpert
* wilderssecurity
* windowsupdate
* nai
* ca
* avp
* avg
* vet
* bit9
* sans
* cert

Распостранение (размножение):

Для возможности быстрого распостранения по сети, Downadup меняет некоторые ключи реестра:

Червь использует данный драйвер, чтобы ускорить свое размножение, меняя кол-во одновременных открытых соединений на 0x10000000(268435456) с помощью функции, которая находится в %System%driverstcpip.sys.

Далее Downadup проверяет наличие подходящего для заражения в сети компьютера с помощью NetServerEnum, а затем пытается войти на любой найденный компьютер следующими способами:

1. Используя настоящую учетную запись на зараженном ПК. Если данная запись не имеет достаточно прав, этот способ не проходит.
2. Получая имена пользователей с целевого компьютера через NetUserEnum API, Downadup пытается попасть на ПК используя данный перечень паролей:

o [username]
o [username][username]
o [reverse_of_username]
o 00000
o 0000000
o 00000000
o 0987654321
o 11111
o 111111
o 1111111
o 11111111
o 123123
o 12321
o 123321
o 12345
o 123456
o 1234567
o 12345678
o 123456789
o 1234567890
o 1234abcd
o 1234qwer
o 123abc
o 123asd
o 123qwe
o 1q2w3e
o 22222
o 222222
o 2222222
o 22222222
o 33333
o 333333
o 3333333
o 33333333
o 44444
o 444444
o 4444444
o 44444444
o 54321
o 55555
o 555555
o 5555555
o 55555555
o 654321
o 66666
o 666666
o 6666666
o 66666666
o 7654321
o 77777
o 777777
o 7777777
o 77777777
o 87654321
o 88888
o 888888
o 8888888
o 88888888
o 987654321
o 99999
o 999999
o 9999999
o 99999999
o a1b2c3
o aaaaa
o abc123
o academia
o access
o account
o Admin
o admin
o admin1
o admin12
o admin123
o adminadmin
o administrator
o anything
o asddsa
o asdfgh
o asdsa
o asdzxc
o backup
o boss123
o business
o campus
o changeme
o cluster
o codename
o codeword
o coffee
o computer
o controller
o cookie
o customer
o database
o default
o desktop
o domain
o example
o exchange
o explorer
o files
o foobar
o foofoo
o forever
o freedom
o games
o home123
o ihavenopass
o Internet
o internet
o intranet
o killer
o letitbe
o letmein
o Login
o login
o lotus
o love123
o manager
o market
o money
o monitor
o mypass
o mypassword
o mypc123
o nimda
o nobody
o nopass
o nopassword
o nothing
o office
o oracle
o owner
o pass1
o pass12
o pass123
o passwd
o Password
o password
o password1
o password12
o password123
o private
o public
o pw123
o q1w2e3
o qazwsx
o qazwsxedc
o qqqqq
o qwe123
o qweasd
o qweasdzxc
o qweewq
o qwerty
o qwewq
o root123
o rootroot
o sample
o secret
o secure
o security
o server
o shadow
o share
o student
o super
o superuser
o supervisor
o system
o temp123
o temporary
o temptemp
o test123
o testtest
o unknown
o windows
o work123
o xxxxx
o zxccxz
o zxcvb
o zxcvbn
o zxcxz
o zzzzz

Если червю удается проникнуть через сеть. он тут же создает свою копию в следующих папках:

* [Server Host Name]ADMIN$System32[random filename].[random extension]

Затем использует планировщик задач на удаленном сервере. чтобы запустить следующую команду:

* rundll32.exe [random filename].[random extension], [random]

Downadup также распостраняется, используя критическую уязвимость MS08-067. Для этого он подключается к одному из следующих серверов. чтобы получить %ExternalIPAddress%:

Затем он создает HTTP-сервер, используя рандомный порт:

Создание данного сервера позволяет червю посылать специальные пакеты данных (эксплоит) с инфицированной машины на другие. Если эксплоит успешно выполнился, целевая машина загрузит копию вируса с инфицированной.

Загруженный malware может иметь следующие типы расширений:

Затем он отключает NetpwPathCanonicalize API. чтобы предотвратить последующее использование уязвимости.

Самообновление

Downadup может загружать файлы на инфицированную систему с Интернета. Сначала он подключается к одному из следующих серверов для получения текущей системной даты:

Если дата, как минимум, 1 January 2009 он загружает файлы с:

Загруженные файлы имеют такой формат:

Downadup удаляет множество ключей реестра, чтобы отключить Security Center Notifications и предовратить возможный запуск из автозагрузки службы Windows Defender. В обход брандмауэра он создает следуюobt ключи, чтобы дать системе возможность загружать копии червя.

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHO WALLCheckedValue = dword:00000000
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost, netsvcs = %Previous data% and %Random%

Во время заражения Downadup может создавать временные файлы (.TMP) системных директориях или в папках, специально предназначенных для хранения временных файлов.:

Как только ключ создан, временный файл %MalwarePath%[random].tmp будет удалён.

Также червь модифицирует параметры реестра, создавая липовые службы, следующим образом:

В этих записях, %ServiceName% состоит из комбинации двух слов, взятых с данного списка:

* Boot
* Center
* Config
* Driver
* Helper
* Image
* Installer
* Manager
* Microsoft
* Monitor
* Network
* Security
* Server
* Shell
* Support
* System
* Task
* Time
* Universal
* Update
* Windows

___
Информация взята с официального сайта F-Secure и переведена с английского автором блога..

Краткое описание(взято с сайта касперского):
Подробнее.

Симптомы заражения:
- блокировка учетных записей в домене
- некоторые из служб операционной системы отключены (например, Automatic Updates, Background Intelligent Transfer Service (BITS), Windows Defender and Error Reporting Services)
- контроллеры домена медленно отвечают на запросы клиентов
- черезмерная загруженность локальной сети
- недоступность сайтов windows update и сайтов антивирусного ПО

Зараженные компьютеры в локальной сети можно обнаружить при помощи: Подробнее.

порча ссылок в этом разделе запрещена. /emx/ Всего записей: 99 | Зарегистр. 16-10-2004 | Отправлено: 01:36 15-01-2009 | Исправлено: dmitri23, 10:13 23-10-2009

TokImota

Проблема в том, что утилита AntiDownadup не может остановить процесс.
Народ помогите, какие еще способы есть?

Всего записей: 127 | Зарегистр. 20-11-2007 | Отправлено: 13:41 27-01-2009

TokImota

1. Оcтанавливаем службу сервера "sc stop lanmanserver" или по методике в самой статье (через управление службами)

2. Останавливаем службу планировщика заданий "sc stop schedule".

3. Отключаем запуск службы планировщика заданий regedit --> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\Start параметр Start=4,
закрываем редактор реестра и после этого обязательно перезагружаемся.

5. Найдите и выберите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
В области сведений щелкните правой кнопкой мыши параметр netsvcs и выберите команду Изменить.
Перейдите к нижней части списка. Если компьютер заражен червем Conficker.b, в нижней части списка появится случайное имя службы. В данном случае пусть, например, вредоносная служба имеет имя "wdlsct". Обратите внимание на имя вредоносной службы. Эта информация потребуется впоследствии при выполнении процедуры устранения червя. Удалите строку, которая содержит ссылку на вредоносную службу. Убедитесь в том, что под последней допустимой записью в списке остается пустая строка, затем нажмите кнопку ОК.

6. Ограничьте разрешения для раздела реестра SVCHOST, чтобы его нельзя было перезаписать.
Щелкните правой кнопкой мыши подраздел Svchost и нажмите кнопку Разрешения.
В диалоговом окне Элемент разрешений для SvcHost нажмите кнопку Дополнительно.
В диалоговом окне Дополнительно нажмите кнопку Добавить.
В диалоговом окне Выбор: пользователи, компьютеры и группы введите значение "Все" и выберите команду Проверить имена. Нажмите кнопку ОК.
В диалоговом окне Элемент разрешений для SvcHost выберите пункт Только этот раздел из списка Применить к, затем установите флажок Запретить для элемента разрешений Установить значение.
Дважды нажмите кнопку ОК.
На запрос системы безопасности ответьте Да.
Нажмите кнопку ОК.

При выполнении предыдущей процедуры нужно было обратить внимание на имя вредоносной службы. В данном примере ее имя "wdlsct". С учетом этого выполните указанные ниже действия.
В редакторе реестра найдите и выберите подраздел реестра, содержащий вредоносную службу с именем Имя_вредоносной_службы:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wdlsct
В области переходов щелкните подраздел правой кнопкой мыши и выберите пункт Разрешения.
В диалоговом окне Элемент разрешений для SvcHost нажмите кнопку Дополнительно.
В диалоговом окне Дополнительные параметры безопасности установите флажки:
Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне.

Заменить разрешения для всех дочерних объектов заданными здесь разрешениями, применимыми к дочерним объектам
Нажмите клавишу F5, чтобы обновить редактор реестра. В области сведений теперь можно просматривать и редактировать вредоносную библиотеку DLL, которая загружается как "ServiceDll". Для этого выполните действия, описанные ниже.
Дважды щелкните параметр ServiceDll.
Обратите внимание на путь к указанной библиотеке DLL. Эти сведения потребуются далее в этой процедуре. Например, путь к указанной библиотеке DLL может быть следующим:
%SystemRoot%\System32\emzlqqd.dll.
Измените ссылку, чтобы она выглядела следующим образом:
%SystemRoot%\System32\emzlqqd.old

Нажмите кнопку ОК.

7. Удалите запись вредоносной службы из подраздела реестра Run. В редакторе реестра найдите и выберите следующие подразделы:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
В обоих подразделах найдите параметр, имя которого начинается с "rundll32.exe", обращающийся к вредоносной библиотеке DLL, которая загружается как "ServiceDll", обнаруженной в действии 6. Удалите параметр.
Закройте редактор реестра и перезагрузите компьютер.

Это самое главное, все остальное в приведенной статье.

После очистки включить назад службу сервера "sc start lanmanserver"

Восстановите разрешения по умолчанию для раздела реестра SVCHOST.

Установите на компьютер все недостающие обновления для системы безопасности. Для этого используйте центр обновления Windows, сервер служб WSUS, сервер SMS, диспетчер System Center Configuration Manager (SCCM) или программный продукт для управления обновлениями стороннего производителя. При использовании сервера SMS или диспетчера SCCM необходимо сначала включить службу сервера. В противном случае, возможно, не удастся выполнить обновление системы с их помощью.

Здесь уже только мои дополнения .

Кроме того находим и удаляем HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_wdlsct

Повторяем шаги 5 и 7 для всех ControlSet001 (ControlSet002 и т.д.)

unlocker1.8.7 для удаление заблокированного, правой клавишей на зловреде и выбрать "удалить" и "разблокировать все"

Gmer детектор скрытых процессов, ключей, файловых потоков, очень хорошо помогает найти различных зловредов. К тому же бесплатен и не требует установки

Winpatrol менеджер автозагрузки с очень большими возможностями:
- монитор автозагрузки, активных процессов, запланированный задач и т.д. и т.п.
- позволяет делать отложенный запуск, временно отключать (включать) программы автозагрузки
Есть бесплатная версия, русский язык, но требует установки.

AnVir Task Manager - это бесплатная системная утилита, которая позволяет контролировать все, что запущено на компьютере, а также предоставляет удобные инструменты для настройки компьютера:
- Управление автозагрузкой, запущенными процессами, сервисами и драйверами и замена Диспетчера Задач
- Обнаружение и удаление вирусов и spyware
- Тонкая настройка XP и Vista, включая установку скрытых настроек
- Ускорение загрузки Windows и работы компьютера
Требует установки, русская версия беплатная.

Sysinternals Autoruns Мощное средство для проверки различных "закоулков" автозагрузки для выявления по базе и поиску в google, удаления и отключения вредного и лишнего, не требует установки, бесплатно.

Runscanner Ещё одно средство для проверки автозагрузки - один исполняемый файл, бесплатный, подсвечивает цветом ошибки, проверка по MD5 и т.д. и т.п.

Flash_Disinfector.exe "дизинфекции" флешки. Запустите её и следуйте инструкции - может попросить вставить флешку и/или другой сменный носитель с мобильного телефона, вставьте эти диски и разрешите ему очистить эти носители (флешку). Кроме того Flash_Disinfector очищает и локальные диски, если есть заражение autorun.inf, поэтому дождитесь окончание работы программы (во время работы программы может пропадать рабочий стол, меню - но после окончании работы все восстановиться) Перезагрузите компьютер, когда все будет сделано. Очистка заключается в том, что Flash_Disinfector создает скрытый каталог autorun.inf в каждом разделе локального диска и на каждой флешке (носителе), которые вы подключили при запуске. Не удаляйте этот каталог, он как раз и дает защиту от дальнейшего заражения.

Flash Guard для исключения заражения самого компьютера от вирусов с флешки или других сменных носителей. Ниже описание взятое с сайта.

Многие современные вирусы используют функцию Autorun для распространения посредством флэш накопителей.
И часто антивирусные программы не могут их остановить. Вы или ваш администратор можете отключить функцию Autoplay, но вирус все равно будет способен заразить вашу систему с помощью файла Autorun.inf на флэш диске - функция Autorun. Можно полностью отключить Autorun, запретив службу "Shell Hardware Detection", но в этом случае у вас будут проблемы с подключением фото и видеокамер, сканеров и т.д.

Flash Guard может блокировать Autorun и остановить вирусы!

Он запускается при входе пользователя в систему и следит за дисками.
Когда вставляется новый носитель(компакт диск например) или добавляется новый диск(вставляется флэш брелок) Flash Guard может совершать такие действия:

Поведение программы полностью настраивается пользователем.

Удаление добавочных пунктов меню - это главная особенность программы. Таким образом вы даже можете не удалять вирус с флэш диска и при этом открывать его в Проводнике, не заражая свой компьютер.

Добавлено 06.04.2009
- Тестовая страница для проверки заражения кидо

Всего записей: 1153 | Зарегистр. 02-01-2002 | Отправлено: 22:50 27-01-2009 | Исправлено: sumchanin_Yuri, 17:59 07-04-2009

slay1212

Всего записей: 333 | Зарегистр. 28-05-2008 | Отправлено: 10:26 28-01-2009 | Исправлено: slay1212, 10:26 28-01-2009

sumchanin_Yuri

Цитата:

где можно посмотреть список "нормальных" файлов и длл именно для них.

На Oszone были статьи о нормальных файлах и библиотеках, кроме того поисковые системы никто не отменял.
По поводу сброса tcpip на 64 думаю, аналогично - через реестр и netsh (кстати в самой ссылке которые вы привели есть такая строчки Microsoft Windows Server 2003, Enterprise x64 Edition и Microsoft Windows Server 2003, 64-Bit Datacenter Edition

Всего записей: 1153 | Зарегистр. 02-01-2002 | Отправлено: 11:29 28-01-2009

slay1212

Сервер Windows Server 2003. На компьютерах и на сервере установлен Антивирус Касперского Business Space Security 6.0.

Вирус завелся на сервере и нескольких компах. Проявляет себяв том, что рассылает сетевые атаки. Антивирусники на рабочих станциях блокируют атаки. Если атака приходит с сервера, то вместе с ней блокируется и доступ с этого компа на сервер. Если зайти в антивирусник и разблокировать, то доступ возобнавляется.

Скачал с сайта Касперского утилиту KidoKiller и с Майкрософта обновление безопасности. Почистил компы с которых были атаки и установл на них обновления.

Этой же утилитой удалил вирус с сервера из system32. Плюс удалил его копию с помощью антивируса из Documents and Settings.

С рабочих станций атаки прекратились. С сервера периодически продолжались.

Посмотрел. На сервере один из процессов SVCHOST занимает более 12 Мб и главное 50% процессора. Я его завершил.

Прекратились ли атаки с сервера пока сказать не могу, т.к. прошло не много времени, но. при попытке зайти в Сетевое окружение -> Вся сеть -> Microsoft Windows Network выдаетсясообщение, что СЕТЬ НЕ СУЩЕСТВУЕТ ИЛИ НЕ ЗАПУЩЕНА. И компьютеры не отображаются.

Компьютеры пингуются и с компьютеров доступ на сервер есть.

Выполнил Net Start. Выполнено успешно.

В службах служба Сетевые подключения запущена (хоть и стоит запуск вручную, что меня астораживает). Была не запущена служба Сервер, на всякий случай запустил.

Но, доступ во Вся сеть с сервера все равно не появился.

Что делать? Как запустить сеть?

p.s.: Попытался выйти из системы (не перезагрузка) и снова войти. После загрузки личных параметров открылся рабочий стол. При первых нескольких попытках зайти в Сетевое окружение рабочий стол очищался и снова появлялся, но папка Сетевое окружение не открывалась. После нескольких попыток открывается. В логах зафиксированы ошибки explorer.exe.

Видимо вирус его повредил. Что думаете?

Спасибо!! Надеюсь на Вашу помощь!!

Всего записей: 206 | Зарегистр. 09-07-2005 | Отправлено: 21:46 28-01-2009

AlOne

Adek
Насчет портов, у меня домен (100 машин), где проводилось лечение заодно и блокировались порты, пока никак проблем нету..

Всего записей: 1153 | Зарегистр. 02-01-2002 | Отправлено: 08:45 29-01-2009 | Исправлено: sumchanin_Yuri, 10:24 29-01-2009

dmention

Скорее всего либо вирус прописал себя в какой то файл, например в explorer.exe или он сидел в том процессе, который я остановил (SVCHOST), а он был нужен. Может так?

Еще у меня служба Manager Network не запускается. Нужна ли она и что это за служба?

Всего записей: 206 | Зарегистр. 09-07-2005 | Отправлено: 10:35 29-01-2009

sumchanin_Yuri

Цитата:

KidsKiller'ом

это что?

Цитата:

Еще у меня служба Manager Network не запускается. Нужна ли она и что это за служба?

У меня такой службы вообще на сервере нет (у меня 2003 R2) Попробуй в коммандной строке набрать sc query получишь гораздо больше информации.

Всего записей: 1153 | Зарегистр. 02-01-2002 | Отправлено: 16:25 29-01-2009

TokImota

Я вчера отправлял сообщение, оно почему-то не сохранилось.

Цитата:

Цитата:KidsKiller'ом
это что?

Это я заработался. Конечно же Kidokiller.exe утилитка от Касперского. Версия 2.

У меня в "управление компьютером -> службы" есть служба "Manager Network". Описания у нее нет. Есть только гиперссылка запустить. При нажатии выдается сообщение об ошибке. В свойства тоже заглянуть не удается, пишет что-то типа "не найден соответствующий раздел реестра или в реестр внесены некорректные данные".

Поэтому что это за служба сказать не могу. Может кто знает?

В сети 50 машин. Атаки зафиксированы где-то с 20 (включая сервер). Почистили машины KidoKiller'ом, поставили обновления c рабочих станций атаки прекратились.

Читайте также: