Jump to content

Recommended Posts

Извините, но наболело. В фирме 10 компов, на которых установлены касперские для workstation с последними базами.

Некоторые компы постоянно подхватывают Kido, хотя все патчи накатаны (таких компов - два). Касперский сидит себе в трее и спокойно молчит. О вирусе узнаю только, глянув на шлюз - с компа в инет ломится куча UDP-шных соединений. Запускаю KidoKiller и он вылечивает комп, но почему сам стационарный антивирус-то молчит? Ему пофиг что ли, что Kido во всю орудует? Уж не его ли задачей является обнаружение активных вирусов? Ведь он обновляется, даже просит иногда перезагрузиться (что для серверных версий, кстати, вообще непростительная роскошь), так что ж он до сих пор не научился тому, что умеет делать отдельно написанная утилитка?

Edited by Alexandr Vladimirovich

Share this post


Link to post
О как!.. А что за версия и в какой комплектации?

6.0.3.837

комплектация? 10 клиентских компов + 1 сервер с KAT...

 

Share this post


Link to post

А установлено ли у Вас на компьютерах, а уж тем более на серверах вот это обновление -

_http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx ???

Share this post


Link to post
А установлено ли у Вас на компьютерах, а уж тем более на серверах вот это обновление -

_http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx ???

К сожалению, да. Установлено. На всех :(

Было б было не установлено (их всего 4 установил - KB921883, KB957097, KB958644 (то самое) и KB958687) - тогда хотя бы понятно было бы, как он туда опять проникает

Share this post


Link to post
К сожалению, да. Установлено. На всех :(

Было б было не установлено (их всего 4 установил - KB921883, KB957097, KB958644 (то самое) и KB958687) - тогда хотя бы понятно было бы, как он туда опять проникает

Опять же проверте шары на компьютерах(позакрывайте ненужные или вообще все), проверте автозагрузку на предмет левых загрузок, отключите планировщик, смените пароли на компах с учетом регистра не менее 6 сиволов.

Share this post


Link to post
Извините, но наболело. В фирме 10 компов, на которых установлены касперские для workstation с последними базами.

Некоторые компы постоянно подхватывают Kido, хотя все патчи накатаны (таких компов - два). Касперский сидит себе в трее и спокойно молчит. О вирусе узнаю только, глянув на шлюз - с компа в инет ломится куча UDP-шных соединений. Запускаю KidoKiller и он вылечивает комп, но почему сам стационарный антивирус-то молчит? Ему пофиг что ли, что Kido во всю орудует? Уж не его ли задачей является обнаружение активных вирусов? Ведь он обновляется, даже просит иногда перезагрузиться (что для серверных версий, кстати, вообще непростительная роскошь), так что ж он до сих пор не научился тому, что умеет делать отдельно написанная утилитка?

попробуй другой антивирус :rolleyes:

 

Share this post


Link to post
их всего 4 установил - KB921883, KB957097, KB958644 (то самое) и KB958687

Обновление KB921883 (MS06-040) ставить уже не нужно - его полностью заменяет обновление KB958644 (MS08-067). Вот KB924270 (MS06-070) может быть нужно, хотя и довольно старое - оно тоже помечено как заменяющее MS06-040, но при этом, кроме файла netapi32.dll (который обновляется в KB921883 и KB958644, при этом в KB958644 он самый свежий), обновляется ещё и несколько других файлов (возможно, они тоже чем-то уже перекрываются, но найти это на microsoft.com сложно).

 

Вообще в обновлениях у Microsoft чёрт ногу сломит :(

Share this post


Link to post
попробуй другой антивирус :rolleyes:

Так ведь обидно - закуплен-то этот. Да и другие антивирусы еще хуже работают. Особенно, dr.web. Тормозит, да еще от имени system. Как подвиснет, а это делать любит, так комп по-любому перезагружать.

Share this post


Link to post
Так ведь обидно - закуплен-то этот. Да и другие антивирусы еще хуже работают. Особенно, dr.web. Тормозит, да еще от имени system. Как подвиснет, а это делать любит, так комп по-любому перезагружать.

у меня такая же картина, куплено лицензий на 350 машин :dash1:

а вообще есть решение ftp://ftp.drweb.com/pub/drweb/cureit или ливСД ftp://ftp.drweb.com/pub/drweb/iso/drweb-500-livecd.iso

ftp://ftp.drweb.com/pub/drweb/livecd/minD...iveCD-5.0.0.iso

есть бесплатный http://files.avast.com/iavs4pro/setuprus.exe

Share this post


Link to post

Для 6-го КАВ с КИТом:

1 - как можно меньше админов домена с простыми паролями

2 - прогнать через КИТ всем утилитку killkido из рекомендаций Касперского.

3 - зарезать инет всем кому не надо. :))

 

так сделал пока тихо.

Share this post


Link to post

Я бы не был столь категоричным.....

2 день эксперементирую.....

 

имеем зараженную сеть kido.ih

бук XP sp2

WKS 837 (патчи все) базы новые обнаружение сетевых атак включено, сетевой экран отключен

рекомендованные от кидо заплаты установлены.

пароль админа стойкий....

 

наблюдаю атаки с 5 компов........... каспер успешно отбивает, всё хорошо,НО

 

есть еще 1 комп при атаке с него

происходит следующее

 

16.04.2009 15:08:52 Файл C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\KQCLZPYY\kwsphi[1].bmp удален.

16.04.2009 15:08:52 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно.

16.04.2009 15:08:52 Файл C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\KQCLZPYY\kwsphi[1].bmp//PE_Patch.UPX//UPX, обнаружено: вирус 'Net-Worm.Win32.Kido.ih'. Пользователь: ХХХ, компьютер:localhost.

16.04.2009 15:08:52 Файл C:\WINDOWS\System32\x удален.

16.04.2009 15:08:39 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно.

16.04.2009 15:08:39 Файл C:\WINDOWS\System32\x//PE_Patch.UPX//UPX, обнаружено: вирус 'Net-Worm.Win32.Kido.ih'. Пользователь: ХХХ, компьютер:localhost.

16.04.2009 15:08:35 Intrusion.Win.NETAPI.buffer-overflow.exploit! IP-адрес атакующего: 192.168.ХХ.ХХХ. Протокол/сервис: TCP на локальный порт 445. Время: 16.04.2009 15:08:35

 

Причем картина повторяется периодически ИМЕННО с этого компа........

Т.е. кидо все таки попадет на комп, и каспер с ним успешно борется...........

Share this post


Link to post
Я бы не был столь категоричным.....

2 день эксперементирую.....

 

имеем зараженную сеть kido.ih

бук XP sp2

WKS 837 (патчи все) базы новые обнаружение сетевых атак включено, сетевой экран отключен

рекомендованные от кидо заплаты установлены.

пароль админа стойкий....

 

наблюдаю атаки с 5 компов........... каспер успешно отбивает, всё хорошо,НО

 

есть еще 1 комп при атаке с него

происходит следующее

 

16.04.2009 15:08:52 Файл C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\KQCLZPYY\kwsphi[1].bmp удален.

16.04.2009 15:08:52 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно.

16.04.2009 15:08:52 Файл C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\KQCLZPYY\kwsphi[1].bmp//PE_Patch.UPX//UPX, обнаружено: вирус 'Net-Worm.Win32.Kido.ih'. Пользователь: ХХХ, компьютер:localhost.

16.04.2009 15:08:52 Файл C:\WINDOWS\System32\x удален.

16.04.2009 15:08:39 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно.

16.04.2009 15:08:39 Файл C:\WINDOWS\System32\x//PE_Patch.UPX//UPX, обнаружено: вирус 'Net-Worm.Win32.Kido.ih'. Пользователь: ХХХ, компьютер:localhost.

16.04.2009 15:08:35 Intrusion.Win.NETAPI.buffer-overflow.exploit! IP-адрес атакующего: 192.168.ХХ.ХХХ. Протокол/сервис: TCP на локальный порт 445. Время: 16.04.2009 15:08:35

 

Причем картина повторяется периодически ИМЕННО с этого компа........

Т.е. кидо все таки попадет на комп, и каспер с ним успешно борется...........

 

Я бы еще раз перепроверил бы стоят ли рекомендованные от кидо заплаты и пароли админов на компах, лишних админов убрал !!!!! Как показывает пракрита чаще всего просто что-то упускается!!!!

Share this post


Link to post
Я бы еще раз перепроверил бы стоят ли рекомендованные от кидо заплаты и пароли админов на компах, лишних админов убрал !!!!! Как показывает пракрита чаще всего просто что-то упускается!!!!

Присоединяюсь. У меня в сети сус, пользователи с правами power user и регулярно обновляется каспер. Ни одной машины, на которой соблюдаются эти 3 условия заражено не было.

Share this post


Link to post
Для 6-го КАВ с КИТом:

1 - как можно меньше админов домена с простыми паролями

2 - прогнать через КИТ всем утилитку killkido из рекомендаций Касперского.

3 - зарезать инет всем кому не надо. smile.gif)

 

так сделал пока тихо.

дело не в этом! и не в livecd

а в том, что КАВ не убивает (Win32:Confi) (kido)

почему лечим зубы через задний проход? sp kb и тд. и тп. да и + kk.exe

куда смотрит avp.exe, если смотрит!

если я покупаю холодильник он должен работать без обновлений заплаток и утилит!

та к и антивирус должен работать, или тогда за что ЛК берёт деньги?

Share this post


Link to post
дело не в этом! и не в livecd

а в том, что КАВ не убивает (Win32:Confi) (kido)

почему лечим зубы через задний проход? sp kb и тд. и тп. да и + kk.exe

куда смотрит avp.exe, если смотрит!

если я покупаю холодильник он должен работать без обновлений заплаток и утилит!

та к и антивирус должен работать, или тогда за что ЛК берёт деньги?

 

Мы все, компании которых уплатили сполна за этот антивирусный продукт, пытаемся сделать его лучше.

Но я бы на Вашем месте, ради экономии личного времени, воспользовался бы бесплатной утилитой от российских конкурентов kav,

которая еще с зимы убивает заразу наповал.

Но до этого нужно почитать описание вируса, поставить заплатки, исключить простые пароли виндового админа.

 

Share this post


Link to post
Мы все, компании которых уплатили сполна за этот антивирусный продукт, пытаемся сделать его лучше.

Но я бы на Вашем месте, ради экономии личного времени, воспользовался бы бесплатной утилитой от российских конкурентов kav,

которая еще с зимы убивает заразу наповал.

Но до этого нужно почитать описание вируса, поставить заплатки, исключить простые пароли виндового админа.

KAV WKS/WFS6 отлично справляется с лечением кидо с начала января. Постоянные сообщения об удалении червя - это нормальная реакция антивируса на попытки атаки извне (зловредная длл-ка удаляется сразу по прибытии). Причины постоянных появлений надо искать на других машинах (обычно это контроллер домена).

 

"воспользовался бы бесплатной утилитой от российских конкурентов kav," - если речь о CureIt, то хотелось бы отметить, что данная утилита не позволяет контролировать лечение (тем более восстанавливать какие либо настройки системы) и требует перезагрузки (в отличие от KidoKiller, если сравнивать с ней).

Share this post


Link to post
Извините, но наболело. В фирме 10 компов, на которых установлены касперские для workstation с последними базами.

Некоторые компы постоянно подхватывают Kido, хотя все патчи накатаны (таких компов - два). Касперский сидит себе в трее и спокойно молчит. О вирусе узнаю только, глянув на шлюз - с компа в инет ломится куча UDP-шных соединений. Запускаю KidoKiller и он вылечивает комп, но почему сам стационарный антивирус-то молчит? Ему пофиг что ли, что Kido во всю орудует? Уж не его ли задачей является обнаружение активных вирусов? Ведь он обновляется, даже просит иногда перезагрузиться (что для серверных версий, кстати, вообще непростительная роскошь), так что ж он до сих пор не научился тому, что умеет делать отдельно написанная утилитка?

Какой режим проверки стоит в настройках файлового антивируса? (нужно "при доступе и изменении")

Share this post


Link to post
Я бы не был столь категоричным.....

2 день эксперементирую.....

 

имеем зараженную сеть kido.ih

бук XP sp2

WKS 837 (патчи все) базы новые обнаружение сетевых атак включено, сетевой экран отключен

рекомендованные от кидо заплаты установлены.

пароль админа стойкий....

 

наблюдаю атаки с 5 компов........... каспер успешно отбивает, всё хорошо,НО

 

есть еще 1 комп при атаке с него

происходит следующее

 

16.04.2009 15:08:52 Файл C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\KQCLZPYY\kwsphi[1].bmp удален.

16.04.2009 15:08:52 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно.

16.04.2009 15:08:52 Файл C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\KQCLZPYY\kwsphi[1].bmp//PE_Patch.UPX//UPX, обнаружено: вирус 'Net-Worm.Win32.Kido.ih'. Пользователь: ХХХ, компьютер:localhost.

16.04.2009 15:08:52 Файл C:\WINDOWS\System32\x удален.

16.04.2009 15:08:39 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно.

16.04.2009 15:08:39 Файл C:\WINDOWS\System32\x//PE_Patch.UPX//UPX, обнаружено: вирус 'Net-Worm.Win32.Kido.ih'. Пользователь: ХХХ, компьютер:localhost.

16.04.2009 15:08:35 Intrusion.Win.NETAPI.buffer-overflow.exploit! IP-адрес атакующего: 192.168.ХХ.ХХХ. Протокол/сервис: TCP на локальный порт 445. Время: 16.04.2009 15:08:35

 

Причем картина повторяется периодически ИМЕННО с этого компа........

Т.е. кидо все таки попадет на комп, и каспер с ним успешно борется...........

 

Судя по логам, это нормальная ситуация - машина атакуется зараженным компьютером, который имеет доступ с правами администратора на машине-жертве. Далее через шару $ADMIN червь сразу копируется в папку System32, где по прибытии успешно прибивается антивирусом.

Share this post


Link to post
почему лечим зубы через задний проход? sp kb

Обновление ОС и ПО - это элементарное и одно из ключевых требований ИПБ

Share this post


Link to post
power user - это уже чересчур много:( В плане защиты - ничем не отличается от админских прав:(

 

PS. Имея права power user, я могу в течении 10-15 минут получить права администратора:(

Насколько мне известно, на XP SP3 этот номер уже не проходит.

Share this post


Link to post
Какой режим проверки стоит в настройках файлового антивируса? (нужно "при доступе и изменении")

Интеллектуальный. Вы считаете, что у этого антивируса интеллект плохо работает?

Share this post


Link to post
Проходит. Способов получения админских прав - море.

и тем не менее, ни одна машина еще не заразилась. Значит, достаточно и опытного пользователя. Вообще, досточно и работающего обновленного антивируса + обновлений с суса. Более чем.

Share this post


Link to post
и тем не менее, ни одна машина еще не заразилась. Значит, достаточно и опытного пользователя. Вообще, досточно и работающего обновленного антивируса + обновлений с суса. Более чем.

может оказаться,что для ситуации, описанной выше,

достаточно одного зараженного хоста (например, сервера) и права пользователей, работающих на остальных машинах, индифферентны

 

 

Насколько мне известно, на XP SP3 этот номер уже не проходит.

пропатчить системные файлы (например, эти) можно и на Sp3. Причем, если еще чуть подумать, то, imho, и SFC не будет вякать.

Edited by fp_post

Share this post


Link to post
Guest
This topic is now closed to further replies.

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.