только сегодня пытался кидокиллерами вылечить машину (kido.ed). Стало быть фик, пришлось опять врукопашную =\
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Net-Worm.Win32.Kido
- Автор темы el-
- Дата начала
У меня к счастью кидо не найден, зато кидокиллер нашел Xorer'a 
А вот у других, кому я давал кидокиллера, он справился на ура, в локалке из 51 компа почистил 31, остальные в процессе сканирования.
А вот у других, кому я давал кидокиллера, он справился на ура, в локалке из 51 компа почистил 31, остальные в процессе сканирования.
гы, мурзилка.
Да и инфа баян. Кстати ребут с измененым реестром, особенно если патч не лег можно проводить много раз лучше все-таки сразу пришить левый процесс от svchosts GMER'ом
Да и инфа баян. Кстати ребут с измененым реестром, особенно если патч не лег можно проводить много раз
лучше все-таки сразу пришить левый процесс от svchosts GMER'ом
там не только всцхостс. там и винлогон, и прочие системные полезности
И часто Вам затем придется так чистить реестр, если Kido будет лезть каждый день заново.
Рекомендую сначала скачать патчи для WinXP от Microsoft закрывающие дыры в Explorere и Win32.Kido для вашего компа больше не угроза!!!!!!
Я именно таким образом закрыл ему путь к моей системе, а затем вылечил.
[mod][el-:] линк на депозит убрал, кому нужен будет патч все знаю где его найти MS08-067[/mod]
Рекомендую сначала скачать патчи для WinXP от Microsoft закрывающие дыры в Explorere и Win32.Kido для вашего компа больше не угроза!!!!!!
Я именно таким образом закрыл ему путь к моей системе, а затем вылечил.
[mod][el-:] линк на депозит убрал, кому нужен будет патч все знаю где его найти MS08-067[/mod]
а не проще нормальный антивирус установить?
Не проще. Т.к. антивирусы в своем большинстве палят не саму атаку а локальный запуск тела вируса. А это значит что вашу машинку уже пробили. После этого у многих начинаются проблемы с svchost. Рекомендации большинства AV сводятся к обновлению (естественно) их антивирусов (рекомендуют всякие security suite), установку заплатки от майкрософта и установку криптостойкого пароля для пользователей. Сделав последние два шага можно и без обновлений антивируса защититься от этой заразы.
Я знаю одно Kido ляжет под "Dr.Web скорая помощь"
Один знакомы попросил посмотреть его компьютер, жалуясь на то, что пару раз в день вылетает окно с ошибкой типа « У вас глюкнул драйвер звуковухи и т.д.» после перезагрузки звук начинал работать. После недолгих издевательств над компьютером ошибка себя проявила обычным окно Win32, что произошёл сбой в звуковом драйвере. Сразу насторожило то, что звук наработал только при просмотре видео и аудио файлов, Все стандартный виндовые звуки чудесным образом работали, несмотря на ошибку!!
В журнале нашел вот такое сообщение.
Ошибка приложения svchost.exe, версия 5.1.2600.5512, модуль AcGenral.dll, версия 5.1.2600.5512, адрес 0×000116e2.
Оказалось что это вовсе не драйвер глюкал, а новый вирус Win32/Conficker.AA, он же Win32.Worm.Downadup.Gen, Trojan.Win32.Agent.bcjv, Win32.HLLW.Shadow.based
Разные антивири называют по-разному.
Точного описание в интернете нет вот, что я собрал:
Как заражает:
Распространяется преимущественно в корпоративных и городских сетях, но не исключено заражение по инету.
Открывает произвольный порт между 1024 и 10000 и работает как веб-сервер. При проникновении на компьютер червь маскируется под JPG-файл, а затем записывает себя на диск под видом библиотеки DLL. Примечательно, что, попав на машину жертвы, Conficker устанавливает патч для уязвимости MS08-067. Однако в данном случае червь заботится вовсе не о владельце компьютера, а просто таким образом Conficker закрывает лазейку для других вредоносных программ, которые могут помешать его работе.
Как работает
Conficker использует дыру, описание которой содержится в бюллетене безопасности Microsoft MS08-067. Проблема связана с тем, что при обработке сформированных специальным образом запросов удаленного вызова процедур (Remote Procedure Call) в службе Server программных платформ Microsoft возникает ошибка, позволяющая злоумышленникам захватить полный контроль над компьютером жертвы:
Когда Win32/Conficker запускается, он создает копии самого себя в %System% каталоге с разными именами. Червь внедряет свой код в процесс
“services.exe”
чтобы его было труднее найти и удалить. Имя сервисной службы:
netsvcs.
Путь исполняемого файла:
%System%\svchost.exe -k netsvcs,
а также создает запись в реестре:
HKLM\SYSTEM\CurrentControlSet\Services\<random filename>\Parameters\ServiceDll = “%System%\<random filename>”
Как проявляется:
Постоянно отключает сетевую и звуковую карты. У некоторых еще блокирует панель “пуск” и стандартную панель “файл, правка, вид…”, но могут проявляться и другие симптомы (вирус до конца не изучен)
Как лечить:
Вирус использует уязвимость операционной системы Windows, которая ликвидируется патчем безопасности MS08-067, также рекомендуется установить эти фиксы MS08-068, MS09 001 для предотвращения заражения компьютера через сеть.
Устанавливаем указанные выше патчи безопасности MS08-067, MS08-068, MS09-001, обновить антивирусную базу вашего антивируса, скачать утилиту от BitDefender. Дополнительно можно скачать утилиты CureIt или Kaspersky Virus Removal Tool.
Или эту подборку для SP3 состоящую из:
Патчей:
WindowsXP-KB957097-x86-RUS
WindowsXP-KB958644-x86-RUS
WindowsXP-KB958687-x86-RUS
Утилиты:
Anti-Downadup
Напоминаю: Для SP3
Далее
1. Отключится от локальной сети и Интерента.
2. Установить патчи безопасности.
3. Запустить утилиту от anti-Downadup.
4. Проверить компьютер уже установленным антивирусом или утилитами CureIt или Kaspersky Virus Removal Tool.
Если после проверок вирус остался, повторяем данные операции до посинения.
Источник:http://privats.ru/2009/02/anti-conficker/
В журнале нашел вот такое сообщение.
Ошибка приложения svchost.exe, версия 5.1.2600.5512, модуль AcGenral.dll, версия 5.1.2600.5512, адрес 0×000116e2.
Оказалось что это вовсе не драйвер глюкал, а новый вирус Win32/Conficker.AA, он же Win32.Worm.Downadup.Gen, Trojan.Win32.Agent.bcjv, Win32.HLLW.Shadow.based
Разные антивири называют по-разному.
Точного описание в интернете нет вот, что я собрал:
Как заражает:
Распространяется преимущественно в корпоративных и городских сетях, но не исключено заражение по инету.
Открывает произвольный порт между 1024 и 10000 и работает как веб-сервер. При проникновении на компьютер червь маскируется под JPG-файл, а затем записывает себя на диск под видом библиотеки DLL. Примечательно, что, попав на машину жертвы, Conficker устанавливает патч для уязвимости MS08-067. Однако в данном случае червь заботится вовсе не о владельце компьютера, а просто таким образом Conficker закрывает лазейку для других вредоносных программ, которые могут помешать его работе.
Как работает
Conficker использует дыру, описание которой содержится в бюллетене безопасности Microsoft MS08-067. Проблема связана с тем, что при обработке сформированных специальным образом запросов удаленного вызова процедур (Remote Procedure Call) в службе Server программных платформ Microsoft возникает ошибка, позволяющая злоумышленникам захватить полный контроль над компьютером жертвы:
Когда Win32/Conficker запускается, он создает копии самого себя в %System% каталоге с разными именами. Червь внедряет свой код в процесс
“services.exe”
чтобы его было труднее найти и удалить. Имя сервисной службы:
netsvcs.
Путь исполняемого файла:
%System%\svchost.exe -k netsvcs,
а также создает запись в реестре:
HKLM\SYSTEM\CurrentControlSet\Services\<random filename>\Parameters\ServiceDll = “%System%\<random filename>”
Как проявляется:
Постоянно отключает сетевую и звуковую карты. У некоторых еще блокирует панель “пуск” и стандартную панель “файл, правка, вид…”, но могут проявляться и другие симптомы (вирус до конца не изучен)
Как лечить:
Вирус использует уязвимость операционной системы Windows, которая ликвидируется патчем безопасности MS08-067, также рекомендуется установить эти фиксы MS08-068, MS09 001 для предотвращения заражения компьютера через сеть.
Устанавливаем указанные выше патчи безопасности MS08-067, MS08-068, MS09-001, обновить антивирусную базу вашего антивируса, скачать утилиту от BitDefender. Дополнительно можно скачать утилиты CureIt или Kaspersky Virus Removal Tool.
Или эту подборку для SP3 состоящую из:
Патчей:
WindowsXP-KB957097-x86-RUS
WindowsXP-KB958644-x86-RUS
WindowsXP-KB958687-x86-RUS
Утилиты:
Anti-Downadup
Напоминаю: Для SP3
Далее
1. Отключится от локальной сети и Интерента.
2. Установить патчи безопасности.
3. Запустить утилиту от anti-Downadup.
4. Проверить компьютер уже установленным антивирусом или утилитами CureIt или Kaspersky Virus Removal Tool.
Если после проверок вирус остался, повторяем данные операции до посинения.
Источник:http://privats.ru/2009/02/anti-conficker/
Был у меня такой не чего особенного в нём нет, но прикалывает одно " червь заботится вовсе не о владельце компьютера, а просто таким образом Conficker закрывает лазейку для других вредоносных программ, которые могут помешать его работе." и лечится он просто, антивирь напоминал позже...
вот вот... Запарился его выкуривать, в нашей сети появилась такая гадость.. Пропал на пару месяцев из инета, вернулся.. И вооля, а червячёк то вот уже мну ждал..)))) Выкуривал его 6 дней...
Да сначала я тоже долго думал... :bang:
перелезайте пожалуйста тело вируса кидо, или ещё какого то знаменитого червя. Хчоу изучить, буду очень благодарен.
То же самое, что и было до этого (Kido.ih)
http://zalil.ru/33003779
http://www4.zippyshare.com/v/6014/file.html
http://www.sendspace.com/file/021fa0
http://zalil.ru/33003779
http://www4.zippyshare.com/v/6014/file.html
http://www.sendspace.com/file/021fa0
Пасс: TQXmWHgz
сорцы одного знаменитого вируса, virut:
http://pastebin.com/Y640FJXG
http://pastebin.com/Y640FJXG
ребята спасибо ваш большое! очень помогли.
Какой пасс на архив kido?
Вот ребят вроде нашел. на vt определяется как Net-Worm.Win32.Kido.ih [Kaspersky]
http://www.sendspace.com/file/8wog4j
http://www.sendspace.com/file/8wog4j