Conficker..AA помогите избавиться

tarantajka · 25.01.2009

Conficker..AA помогите избавиться

Собственно, поймала такую фигню. Не могу избавиться. В инете мало инфы и уже все что было-перепробовала. Нод говорит, что обн этот гад, а потом обрывает подключение к нету. Уже и сканила в безоп режиме и поставила майкрософтовские заплатки и проскнировала всевозможными другими антивирусниками. Ну не хочет он от меня уходить, а винду не хо сносить. Мож кто новнького чаго посоветуе. лазила в реестре тож ничего не нашла.

Alseza · 25.01.2009

[:|||||||||:] не так давно тут такая тема была там и решение

0xygen · 25.01.2009

все дело в том, что он не обязательно должен находиться на твоей машине. ищи где то на соседских. и пока эту дрянь не выбьешь полностью на всех компах - будешь мучаться.

Касечка · 25.01.2009

я по очереди поставил нод, потом каспера,потом аваст. не знаю кто из них помог но вирус сдох.

tarantajka · 25.01.2009

ну вот я сейчас нод убила, ставлю аваста... а каспером портаблом прогнала...-нифига...не ну так должна же быть какая нить муть, что бы он с других машин ко мне не лез...

tarantajka · 25.01.2009

а аутпост не хо ставить, боюсь, что он мне все порты заблокирует

BOBAHH · 25.01.2009

tarantajka сказав(ла):
а аутпост не хо ставить, боюсь, что он мне все порты заблокирует

В одном из постов есть инструкция по ликвидации.
Посилання видалено
вроде эта, не уверен что ей можно воспользоваться
Посилання видалено

Dr.Glюk · 25.01.2009

0xygen сказав(ла):
все дело в том, что он не обязательно должен находиться на твоей машине.

ЭТО ПРАВДА

0xygen сказав(ла):
ищи где то на соседских. и пока эту дрянь не выбьешь полностью на всех компах - будешь мучаться.

это от куда такое умозаключение..
решение:
1. ставится патч
2. фаервол
3. закрываем порты 135 и 139

tarantajka сказав(ла):
ну вот я сейчас нод убила, ставлю аваста... а каспером портаблом прогнала...-нифига...не ну так должна же быть какая нить муть, что бы он с других машин ко мне не лез...

честно.. нод, каспер, авира, аваст, доктор и т.д. его убивают.. ибо уязвимость опубликовали 3ри месяца назад(если не ошибаюсь) и даже линивий думаю его убьет..

tarantajka сказав(ла):
а аутпост не хо ставить, боюсь, что он мне все порты заблокирует

нуда ..

неожиданый исход.. особенно для аутпоста.. который еще с древних времен это делает..

tarantajka · 25.01.2009

читаю по сслылкам бит дефендер уже ставила и заплатку ставила, я же написала...

0xygen · 25.01.2009

Dr.Glюk сказав(ла):
это от куда такое умозаключение..

оттуда, что на работе он до сих пор так и не выбился полностью. не можем найти тачку, с которой это все ползет.

Dr.Glюk сказав(ла):
решение:
1. ставится патч
2. фаервол
3. закрываем порты 135 и 139

1. патч не помогает
2. только если домашняя машина
3. и что дальше?

Dr.Glюk сказав(ла):
честно.. нод, каспер, авира, аваст, доктор и т.д. его убивают.. ибо уязвимость опубликовали 3ри месяца назад(если не ошибаюсь) и даже линивий думаю его убьет..

честно, ты его походу и в глаза не видел. ты запусти его в сетку с примерно 500 компами, вот тогда я на тебя посмотрю. и на твой нод с авирами.

tarantajka · 25.01.2009

та да, я так поняла что я его из локалки подцепила.... а локалке я то хожу совсем по другим портам при чем тут 135 и 139

Marsikus · 26.01.2009

Вот вам средства защиты и лечения:
Посилання видалено
Посилання видалено

Kimpton · 26.01.2009

мне заплатки помогли избавиццо

Tonic_tonic · 26.01.2009

куреит в безопасном + фаервол чтобы порта закрыть

dmitriy_k · 26.01.2009

Посилання видалено

tarantajka · 26.01.2009

Народ, ну я же писала, что заплатки не помогают.... и скан чем либо в безопастном режиме не помогает, вчера скачала spyware...тож лажа, все еще качаю авасту, на неё вся надежда, попробую посканить до запуска винды...

Al-Capone · 27.01.2009

tarantajka сказав(ла):
Народ, ну я же писала, что заплатки не помогают.... и скан чем либо в безопастном режиме не помогает, вчера скачала spyware...тож лажа, все еще качаю авасту, на неё вся надежда, попробую посканить до запуска винды...

попробую предположить что ты, возможно, ставишь не те заплатки которые нужны.

Конфихер лечили всем офисом по следующему сценарию:
- добываешь Посилання видалено
- выдергиваешь шнур из сети
- убиваешь заразу (если она есть, а ее таки может и не быть).
- ставишь заплату Посилання видалено
- втыкаешься в сетку

После этого все работает нормально.

skyset · 30.01.2009

да бля... специалисты...заканчивайте заниматься херней с гавнодами и касперскими.
Ставте профессиональные антивирусы. Ибо любой професиональный антивирус помимо названия вируса выдает статью на полную базу данных по каждому экземпляру
а все эти kido, autoran.etg, confiker у drweb и прочие названия относятся к семейству W32.Downadup*
W32.Downadup
W32.Downadup.b
W32.Downadup!autorun

Два из них практически одинаковые черви, а третий имеет тот же код только распространяется еще и через флешки

Это по международной классификации, всякую срань наподобие "типо классификации" гавнодов и касперских я не знаю и знать не хочу
здесь мы можем прочитать подробнейшую инфу про вирус
Посилання видалено

- включая ссылки на майкрософт с описанием уязвимости
- ссылки на заплатку
Посилання видалено
- ссылку на утилягу которая рубит вирусы именно этого семейства
Посилання видалено
- и еще на много чего другое

в итоге по статье все навсего было сделано
1. Отключено восстановление системы
2. установлена заплатка (дабы после лечения опять не заражался)
3. перезапущен комп в безопасном режиме (с отключенной сетью и с большинством служб)
4. запущена утиляга по выкусыванию данных вирусов
5. комп перезагружен в нормальный режим (по желанию можно включить автоматическое восстановление)

все, процедура на каждый комп занимает 15-20 минут. Это у меня щас этим занимаются товарищи которые "на подписке"* :-)

те у кого работает централизованый Symantec Corporate Edition таких проблем не знают. рубает этот вирус нафиг с самого первого дня появления. Единственно что сразу показывает какую заплатку надо установить дабы комп просто не заражался.
тачки с Symantec CE даже утилитой по удалению обрабатывать не пришлось, просто вирусяка перестал на тачки попадать.

А с "подписчиков" я щас "ржунимагу" :-)

_Sir_ · 30.01.2009

Де можна ознайомитися зі міжнародною класифікацією?

anis · 30.01.2009

0xygen сказав(ла):
ты запусти его в сетку с примерно 500 компами, вот тогда я на тебя посмотрю.

в сетки у меня намного больше компов чем 500

ничего за 2 дня этого червя убрал.
Не надо из инета запускать всяких хлам. (а вообще если аккуратно пользоваться ПК, то и без этих патчей и прочей безопасности червь не залезит.)

Лечение уже 100 раз тут писали.
патчи (не забываем что SP3 уже у нас стоит

)
WindowsXP-KB958687-x86-RUS
WindowsXP-KB955069-x86-RUS
WindowsXP-KB957097-x86-RUS
WindowsXP-KB956803-x86-RUS
WindowsXP-KB958644-x86-RUS
закрытие портов, кстати 445 для него тоже надо прикрыть
и реестр почистить от взякого хлама (лишних служб (кстати часто они скрыты))
Добавлено через 7 минут

В настоящий момент существует три метода распространения червя:
Эксплуатация уязвимости MS08-067
Подбор пароля к сетевым ресурсам
USB носители

так что не забываем и про пароли

и т.д.

Conficker..AA помогите избавиться

Привіт!