Авторизация

 
Как удалить Kido/Conficker Печать
(9 голосов)
Автор Andrey   
31:07:2009 г.
virus_big.jpgСейчас в сети миллионы компьютеров заражены вирусом Kido / Conficker.  Если у вас не открываются сайты kaspersky.com и microsoft.com (а также других антивирусных компаний) то вы заражены вирусом. Для борьбы с этим вирусом/трояном нужно удалить сам вирус, и затем поставить обновление системы, чтобы предотвратить повторное заражение.


 

virus_big.jpgСейчас в сети миллионы компьютеров заражены вирусом Kido / Conficker.  Если у вас не открываются сайты kaspersky.com и microsoft.com (а также других антивирусных компаний) то вы заражены вирусом. Для борьбы с этим вирусом/трояном нужно удалить сам вирус, и затем поставить обновление системы, чтобы предотвратить повторное заражение.

Вот прога которая удаляет вирус и заплатка.

1. Прога - http://asadmin.ru/files/KidoKiller_v3.3.2.zip
2. Заплатка для Xp - http://asadmin.ru/files/WindowsXP-KB958644-x86-RUS.exe
3. Заплатки для разных версий windows - http://www.microsoft.com/technet/securi ... 8-067.mspx

 

Полезная информация: 

 Известный под разными именами (Conficker, Downadup, Win32.HLLW.Autorunner.5555, Win32.HLLW.Shadow.based и т д) и во множестве модификаций, Kido был обнаружен впервые ещё осенью 2008 года, почти сразу после того, как обнародовали информацию об уязвимости MS08-67 в операционных системах семейства Microsoft Windows. Благодаря изощренной механике Kido заразил к настоящему моменту более девяти миллионов машин и продолжает распространяться далее. Помимо атаки на «дырявый» сервис, червь умеет инфицировать сетевые диски (подбирая при необходимости пароль - используется перечисление популярных паролей) и съёмные накопители («флэшки»): на них Kido оставляет файл autorun.inf, автоматически запускаемый при открытии диска или даже простом подключении «флэшки» - конечно, если пользователь не отключил функцию автозапуска. Попав на компьютер, червь отключает некоторые системные службы, чтобы предотвратить его обнаружение и удаление, с той же целью блокирует доступ к целому ряду антивирусных сайтов и спокойно занимается лавинным размножением.

Этот троян распространяется через локальную сеть или при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов 165840 байт. Упакован при помощи UPX. При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.

Червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и производит на них атаку, использующую уязвимость переполнения буфера MS08-067 в сервисе «Сервер». Для этого червь отсылает удаленной машине специальным образом сформированный RPC-запрос, который вызывает переполнение буфера при вызове функции wcscpy_s в библиотеке netapi32.dll, в результате чего запускается специальный код-загрузчик, который скачивает с зараженной машины исполняемый файл червя и запускает его. После чего происходит инсталляция червя на атакуемой машине.

Симптомы "запущенного" состояния: отключена служба восстановления системы; заблокирован доступ к адресам сайтов вирусной безопасности; невозможно включение отображения скрытых папок в Documents and Settings; в локальной сети настает непомерный объем сетевого трафика.

 

 
« Игры на нетбуке?   Устройство USB не опознано »

Ваше мнение

Какой ОС вы пользуетесь в данный момент?