Kolevi.NET
 
 

24/1/2009 Вирус Conficker, Kido, Downadup и прочие ...
Публикувано от: Мартин в 21:33:26 часа

Мразя вируси. Особено ми е гадно, когато вирус зарази служебната мрежа заради елементарна грешка. Но в моя случай аз съм си виновен. Забравил съм една машина с интслиран windows, която е с "реален" адрес, с изключена защитна стена по грешка без да има инсталирани даже необходимите "кърпки". Груба грешка ...

А вирусчето наистина ми опъна нервичките до краен предел. За момент си помислих, че няма оправия, но днес при вечер след два дена ходене по мъките, като че ли има резултат. На пук на всички препоръки и дори на себе си се захванах да чистя вируса в мрежата отдалечено, като на някои машини дори нямаше инсталирана антивирусна програма. За сега успях да зачистя 8 машини и всичко е ОК. В понеделник трябва да бързам за работа и да стигна там преди персонала, че лошо ми се пише ако някой си пусне компютъра без да съм го откачил от мрежата и зачистил преди това. Добре че поне Майкрософт са публикували доста подробна инструкция за справянето с вируса. Е аз си спестих доста от техните препоръки. Като например възстановяване правата на ключовете по регистъра и разни други.

Най-важното се оказа намирането на фалшиви услуги създадени от вируса в този ключ:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs

Обикновено се намират най долу в списъка и имената им се генерирани по случаен път. След това, въпросните имена трябва да се намерят тук:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

и преди да се изтрият е нужно да се сменят правата на ключа иначе опита ви ще е неуспешен. Следва рестарт и пускане на някакъв инструмент за премахване на въпросния вирус. В случая аз ползвах този на Symantec, който свърши чудесна работа. Т.е. намери и изтри въпросните библиотеки, които вируса ползва за да си върши работата, а на някой машини и Scheduled Tasks задачи конфигурирани от вируса ...


Ще направя една добавка. Мрежата ни на няколко пъти се заразява с вируса и недоумявах от къде се пръква отново и отново. При последното зачистване започнах да претърсвам целия регистър на заразения компютър за името на фалшивата услуга в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs. Тогава открих, че в CurrentControlSet-овете (HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00Х\Enum\Root\LEGACY_именафалшиватауслуга) също има страни записи. Предполагам, че по някакъв начин успява пак да се активира и вероятно се самоинсталира през интернет връзка. След като затрих въпросните по-горе записи, 3-та седмица вече всичко е ОК.


 Няма коментари!



     Напиши коментар!









     
    November 2024
     
     

    MTWTFSS
     123
    45678910
    11121314151617
    18192021222324
    252627282930 

     
         



     
    Търси в нашия сайт:
     
       
    Собствено Търсене
     
         



     
    Архиви
     
       
         



     
    Малко реклама ;-)
     
       
         

    Copyright © 2004 Kolevi.Net - Designed by MadMAK