Червь! Кто сталкивался?

[Aliens]

Симптомы следующие:

распространяется по локальной сети через какие то уязвимости в стандартных службах (от активности пользователя не зависит)
и через сменные носители (флешки)... через зараженные сайты и баннеры...
(есть подозрение что форум заражен, так как самый посещаемый мной сайт)

Появляется окно
"Системой была предотвращена попытка выполнения данных в службе Generic process host win32 services"
потом следующее окно
"служба svchost выполнила недопустимую операцию и закрыта", с кнопкой "сообщать ли это биллу?".


После этого в 66% случаев сеть на компе полностью не работает, не пингуется ничего кроме самого себя. В ином случае никаких проявлений не заметно.



Полетело несколько компов - не могу восстановить функциональность сети на них, при том никаких видимых признаков: драйвера и службы на вид все в порядке.


Кто сталкивался и как это лечится?

 

[Aliens]

По поводу форуму это ты зря.. и очинь.. Сашуля обидитсо..

 

[Rewrite]

гр*цензура*ая вирусня. >_< у меня другое - постоянно сжирается драйвер звуковой карты и все оочень долго копируется а записывать CD это совсем повесится можно.

 

[Aliens]

Да есть и такае проблемы:

1) - пропадает драйвер звуковой карты
2) - пропадает драйвер звуковой карты и блокируется менеджер оборудования - вообще не видно ни одного устройства в нем
3) - блокируется диспетчер задач taskman

В ряде случаев помогало восстановление системы, но...

4) отключается восстановление системы и что-то в записях херится...что потом это бесполезно восстанавливать
5) редкость: летит жесткий диск...помогает только низкоуровневое форматирование....


Мне кажется, очень похоже на KIDO
http://www.viruslist.com/ru/viruses/encycl...irusid=21782725

но статья устарела, ключи реестра проверял, там все в порядке....

 

[Mauglee]

Чем гонял его? В смысле, анвиром каким?

 

[Aliens]

Что-то 5й пункт мне напомнил программу utorrent + Nod 32 3 версия из старых билдов.. жуткие тормоза и глюки вплоть до показывания сбойных секторов на диске..

 

[Aliens]

гонял KidoKiller по ссылке выше см.
и заплатки MS-ные


но проблема в том, что он рассылается по сетке,
это надо везде каспера ставить...и везде заплатки ставить

эта гадость стала появляться еще в декабре у нас...


Если на компе нет папок для доступа из сети или сетевых принтеров, то есть 100% вариант лечения

1) Выключить службы "СЕРВЕР" и "Обозреватель компьютеров"
2) Удалить из настроек сети "Доступ к файлам и принтерам"

Если надо расшаривать что-то, то это нельзя делать
можно попробывать только отключить службу "Обозреватель компьютеров", но это не гарантия, - не единственная дыра...

 

[Mauglee]

AVZом не пробовал?

У меня один зверь попался, так он АВЗшку не давал запустить вовсе.
И безопасный режим также, диспетчер процессов в фаре отрубал, потом и фар запретил, гад.
И по итогам тоже сетка слетела, но есть подозрение что и я сам там тоже приложил руку к этому

Заборол гада в итоге снятием винта на чистую машину и чисткой НОДом + всякое.
Кто был - не знаю, он не представился, а я и поинтересоваться забыл.
Но червяк прикольный, улыбался даже четыре раза.

 

[Aliens]

вот все патчи MS одним архивом 4Мб
http://narod.ru/disk/8995079000/%23Kido_clean.rar.html

это еще для sp2

у кого sp3 - ищите еще "Security_preSP4_"

 

[Aliens]

Так вот почему у меня сетка рухнула! А в тот день кое-кто фильмы себе на флешку у меня копировал....

 

[Aliens]

ой...ой...моя флешка была чиста! Я ее точно проверял!


хотя краснею...но от вина...

 

[sleepwalker]

Починю всем компы от вирусов за еду.

 

[Mauglee]

sleepwalker, в "Трассе 60" был похожий случай

За яблоко починишь! Всем. За одно.

 

[Aliens]

Да это разновидность кидо. Лечится отрубанием сети, прогонкой антивируса (например свежего CureIT от дохтора веба), установкой заплаток от МС.
Весьма геморройная весчь, недавно упала сеть из более чем 100 компов разобщенных по всему городу...
Поэтому вывод юзайте антивирусники, советую каспера (ему недавно президент даже орден дал, призвание).
Купить можно у меня дешевле всех

 

[Aliens]

Помогает установка PreSP4 , то есть всех обновлений после SP3... Если же устанавливать только указанные патчи, то некоторые глюки все равно остаются

 

[Nikolos80]

Помогает установка PreSP4 , то есть всех обновлений после SP3... Если же устанавливать только указанные патчи, то некоторые глюки все равно остаются

щас в конторе ставлю PreSP4 антивирус нод32 и права юзерам органиченые.
нужно подумать и отключить сетевые службы для безопастности нафига они юзерам?

 

[Aliens]

Ну если сети нет, то можно сервер отключить( служба на каждой машине ), самое то.
А вообще у юзеров, должны и права быть юзерские.

 

[Aliens]

Ну...от кидо права юзера не спасали...основной код от системы запускается

И ограничить права не всегда удается, слишком бывают разные случаи, и некоторые проги глючат от юзера

 

[Aliens]

Дома интересная беда уже третий день..
Пинг, аська, торрент, DC все воркаит..
Но из трех браузеров, IE Opera Mozilla - ни один не открывает ни одной страницы.
У брата в Краснодаре была такая ерунда.. ни один антивирус не видит.. у него сеть с доменом.. и прокси сервер.. победить смог только сменой порта на проксе вместо 80 поставил другой и все.. у меня правда прокси нет.. будет перестановка системы..
Если все таки это вирь а не глюк системы то словить мог только через DC

 

[Aliens]

Переустанови tcp сперва. У гугла спроси, там легко, а вот если не поможет то тогда и систему