Kolevi.NET
24/1/2009 Вирус Conficker, Kido, Downadup и прочие ... |
Публикувано от: Мартин в 21:33:26 часа |
Мразя вируси. Особено ми е гадно, когато вирус зарази служебната мрежа заради елементарна грешка. Но в моя случай аз съм си виновен. Забравил съм една машина с интслиран windows, която е с "реален" адрес, с изключена защитна стена по грешка без да има инсталирани даже необходимите "кърпки". Груба грешка ... А вирусчето наистина ми опъна нервичките до краен предел. За момент си помислих, че няма оправия, но днес при вечер след два дена ходене по мъките, като че ли има резултат. На пук на всички препоръки и дори на себе си се захванах да чистя вируса в мрежата отдалечено, като на някои машини дори нямаше инсталирана антивирусна програма. За сега успях да зачистя 8 машини и всичко е ОК. В понеделник трябва да бързам за работа и да стигна там преди персонала, че лошо ми се пише ако някой си пусне компютъра без да съм го откачил от мрежата и зачистил преди това. Добре че поне Майкрософт са публикували доста подробна инструкция за справянето с вируса. Е аз си спестих доста от техните препоръки. Като например възстановяване правата на ключовете по регистъра и разни други. Най-важното се оказа намирането на фалшиви услуги създадени от вируса в този ключ: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs Обикновено се намират най долу в списъка и имената им се генерирани по случаен път. След това, въпросните имена трябва да се намерят тук: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ и преди да се изтрият е нужно да се сменят правата на ключа иначе опита ви ще е неуспешен. Следва рестарт и пускане на някакъв инструмент за премахване на въпросния вирус. В случая аз ползвах този на Symantec, който свърши чудесна работа. Т.е. намери и изтри въпросните библиотеки, които вируса ползва за да си върши работата, а на някой машини и Scheduled Tasks задачи конфигурирани от вируса ... Ще направя една добавка. Мрежата ни на няколко пъти се заразява с вируса и недоумявах от къде се пръква отново и отново. При последното зачистване започнах да претърсвам целия регистър на заразения компютър за името на фалшивата услуга в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs. Тогава открих, че в CurrentControlSet-овете (HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00Х\Enum\Root\LEGACY_именафалшиватауслуга) също има страни записи. Предполагам, че по някакъв начин успява пак да се активира и вероятно се самоинсталира през интернет връзка. След като затрих въпросните по-горе записи, 3-та седмица вече всичко е ОК. |