volk1234,

по-меньше бы снобизму остальным админам на админских форумах. спасибо большое ))

сори за флуд, скажите каспер интеренет секьюрити 7, видит эту заразу?

Видеть то видит, но не все он может удалить - потому, что вирус сидит внутри svchost процесса и его не завершишь отдельно, а если завершить svchost - компьютер перезагрузится. Даже если удалить все следы вируса c HDD - он то останется в памяти и мониторит свою dll-ку и когда ее удаляет антивирус - создает новую. Кроме того, по сети вирус может сново вернутся- если вы не отключили планировщик заданий и не сменили пароли на более сложные.
Выход в блокировании ветки реера svchost на запись. У меня 3 офиса работают с залоченной веткой и ничего. Только если чтонибудь серезное устанавливаешь, вроде WSUS'a, надо разлочивать ветку - ибо в svchost таким программам надо свою валидную службу прописать...

Используйте одну из множества утилит по удалению kido - Kido Killer от касперского и обязательно поставьте обновления рекомендуемые в статье майкрософт в шапке!

Видеть то видит, но не все он может удалить - потому, что вирус сидит внутри svchost процесса и его не завершишь отдельно, а если завершить svchost - компьютер перезагрузится. Даже если удалить все следы вируса c HDD - он то останется в памяти и мониторит свою dll-ку и когда ее удаляет антивирус - создает новую. Кроме того, по сети вирус может сново вернутся- если вы не отключили планировщик заданий и не сменили пароли на более сложные.
Выход в блокировании ветки реера svchost на запись. У меня 3 офиса работают с залоченной веткой и ничего. Только если чтонибудь серезное устанавливаешь, вроде WSUS'a, надо разлочивать ветку - ибо в svchost таким программам надо свою валидную службу прописать...
Используйте одну из множества утилит по удалению kido - Kido Killer от касперского и обязательно поставьте обновления рекомендуемые в статье майкрософт в шапке! »

Спасибо за ответ. Еще ответь плз. Если нахожусь в интернете серфингую занимаюсь там своими делами, если он попытаеться пролезть на комп его ведь каспер завалит иди нет?

IWTK, вы немного не понимаете того что безопасность вашего ПК это не только антивирус (Любой из признанных!!!), это комплекс решений для предотвращения рисков разного характера что бы они не стали угрозами вашей безопасности.

- Длинный и сложный пароль (Пароли, для всего свой)
- Программные решения (заплатки, антивирус, фаервол, регулярные проверки сканерами альтернативных фирм своей системы, резервное копирование, шифрование данных и тд и тп)
- Аппаратные решения

З.Ы. ну главное в этом деле психология пользователя, важна ли для него безопасность в сети и готов ли он учится и стараться её обеспечить

IWTK
Самое главное - не работайте под учетной записью администратора !!!!!!
Пока вы этого не поймете вы постоянно будете иметь головную боль !

У меня у одного недавно комп не загрузился в одном из офисов (10 PC) - я под админом защел, вирус прописался в userinit и не давал загрузится рабочему столу. Все остальные пользователи работающие с ограниченными правами - работали совершенно нормально.

И второе УЗ Администратора должна быть переименованна и пароль должен быть не менее 8 символов !!! Количество попыток на его ввод -4 и блокировка на 5 минут после них....

Вот тогда ставьте любой антивирус и вирусы будут в глубокой задумчивости... Ибо они с вашими правами ограниченными не смогут записыватся в папку Windows, реестр и устанавливать драйверы и службы.

Другой вопрос - готовы ли вы к "сложностям" в виде захода под администратором для установки программ или запуска их от имени администратора с паролем на 8 букв. Большинство пользователей неготовы - им элементарно лень. Но своих 250 человек я заставил :)))

Надеюсь вы поняли, что ни какспер ни любой другой антивирус на земле не завалит ВСЕ вирусы. Кидо один из таких - именно поэтому и поднялась такая шумиха - мол все антивирусны бессильны. А антивирусные авторы и не заявляли никогда, что их программы защищают на 100%. В любом случае у них (антивирусописателей) есть универсальный отход - " вы не поставили все обновления для Windows и не скачали последние антивирусные базы".....
Не обижайтесь, что бы вам было понятнее, переведу Ваш вопрос в бытовую плоскость: А если я буду держать руку в кармане и кошелек прикреплю цепью - меня ограбят или нет ? :)

Обновил инструкцию - добавил ссылок на анти кидо утилиты, закрыл на картинке имя пользователя - он сильно морально страдал бедняжка. :)

Важное уточнение:
также выявлен баг при закрытии ветки реестра svchost на запись при установки пакета обновления SP3 для Windows XP/
Симптомы теже самые - SP3 не может быть успешно установлен, в событиях имеются отметки, что несколько служб не смогли успешно стартовать...Еще бы как им стартовать то без доступа к реестру.

Ничего страшного в этом нет, разлочиваем ветку и устанавливаем SP3.
Вообще я надеюсь понятно было , что рекомендации по залочиванию этой ветки были временными. Хотя я эксперимент продолжаю.
По сути в грамотно спланированной сети -с правами пользователя, кидо не смог бы распрастранится и не надобыло бы прописывать зарпет для Всех, мы живем не в идеальом мире...

zeroua, volk1234, да я готов к 8 символам. я работаю только под своей учетной записью. администратора я вообще не трогаю. при установке windows пароль поставил и готово.
\УЗ Администратора должна быть переименованна »
вот этого я не понял. как это сделать?
я под админом защел, вирус прописался в userinit и не давал загрузится рабочему столу »
как это узнать и каков способ решения?
поставьте обновления рекомендуемые в статье майкрософт в шапке! »
в шапке на касперской странице?
как залочить и разлочить ветку и какую? я обновляю через wsus. дистрибутив сразу sp3 идет. через wsus на последний момент было 67 обновлений. в частности оаашсу, net., и там всякого.

Ароде все. пока. ребята можно с кем из Вас списать онлайн что бы Вы мне помогли настроить защиту да и подробно расказать в мелких деталях про все это. Читать статьи у меня как то не получаеться. статьи там по мелким изменения да н6е вопрос, например как прошить тот или другой телефон и всякое такое. а вот по безопастности, у меня с ними со статьями будут большие проблемы.

IWTK, о ну тут много чего нужно, начинаем читать так сказать:

Базовая концепция системы безопасности ОС Windows семейства NT (http://forum.freesoft.ru/index.php?showtopic=1274)
Безопасный Интернет.Универсальная защита для Windows ME – Vista (http://security-advisory.ru/EBook30.htm)
Руководство по настройке Windows для максимально эффективной защиты от вирусов., Протокол v1.2 (http://forum.sysfaq.ru/index.php?act=attach&type=post&id=9237)
Десять непреложных законов безопасности (http://technet.microsoft.com/ru-ru/library/cc722487.aspx)
vladbez.spaces.live.com (http://vladbez.spaces.live.com/)
Дополнительно можете протестировать и настроить безопасность с помощью Belarc Advisor (http://www.belarc.com/free_download.html) доп. см. здесь (http://virusinfo.info/showthread.php?t=19517)


З.Ы. также рекомендую отдельно форумы:

http://virusnet.info
http://virusinfo.info/forum (http://virusinfo.info/forum.php)
ну и наш конечно :)

З.Ы. настроить не проблема, проблема найти грань между тем от чего нужно отказаться и тем что стоит оставить, эту грань должен понять тот человек, специалист который будет настраивать ту или иную систему, вы должны четко выразить цели (защита домашнего ПК, защита офисного ПК, защита корпоративной/личной, важной информации) применить программный, аппаратный и организационный комплекс мер по обеспечению сохранности информации и целостности системы. Безопасность в каждом отдельном случае должен обеспечивать тот кому за нее платят либо тот для кого она важна, в вашем случае её должны обеспечивать вы сами для этого нужно учится самому (читать, пробовать и тд и тп) и учить других, тех с кем ваша "безопасность" соприкасается ...

Есть комп,на него шла ранее атака Kido, Nod 32 2.7 её отсекал.
Прогонял Kidokiller-ом,заплатки поставил
Просмотрел реестр на компе - вирусных веток не обнаружил.
Но.
Периодически вылетает сообщение о том,что обнаружен вирь в %System. Сам файл не находится.
И если запускаю Kidokiller - показывает infected jobs 2(3 или 5 бывает).
Как вылечить?

я работаю только под своей учетной записью. »
И это главная ошибка майкрософта ну и вас вслед за ними :)
Потому как эта учетная запись создаваемая при установке имеет права администратора.

Майкрософт осознала и в Висте ввела революционный принцип UAC.
Да он раздражает, но цель была достигнута.

K.gusarch
Читайте в шапке, мой способ, только раздел II.
Смените пароль если он есть (возможно вирус пролазит к вам снова по сети подбирая ваш простейший пароль)
Смените имя учетной записи администратор(и пароль на ней)
Пароли должны быть сложными!
Проверьте флэшки свои. В общем читайте мануал !

Пароли непростые, не менее 10 символов,буквы,цифры,регистр.
Попробую с именами.

Обнаружил следующее.
Conficker создаёт задание в Windows\Tasks с названием At1.job
Внутри команда: rundll32.exe oossm,aidwuf
В определённое время (16.00) задание запускается, и Nod блокирует и помещает в карантин файл samqi.n из System32.
Задание удаляю руками или Kidokiller-ом - спустя некоторое время появляется.
Что посоветуете?
Машины win2003,нужные заплатки стоят.

В реестре, ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
и HKLM\SYSTEM\CurrentControlSet\Services\netsvcs в порядке

Ветку svchost заблокировал.
Посмотрю появится ли снова.

Conficker создаёт задание в Windows\Tasks с названием At1.job »
Что посоветуете? »

Так остановите службу планировщика, и он больше не проникнет к вам таким образом. Лезет он через порты 139, 445.
Эти порты нужны для нормального функционирования рабочей группы. Но без пароля и имени администратора вирус не может задавать запланированнфе задания. Отсюда:
1) если он пролазит через сеть, у вас либо несколько У.З. администратора. проверьте все ли записи запороленны и сложный ли пароль, особенно встроенная у.з. - та которая называется Администратор. Вообще отключите все лишние у.з. В идеале оставьте 2 вашу Пользователя и с правами Администратора.
2) если о пролазит не через сеть - значит не долечили на HDD или флэшку.

HKLM\SYSTEM\CurrentControlSet\Services\netsvcs в порядке »
Этой вообще не должно быть. Удалить.

Приведите параметр netsvcs из ветки
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

Параметр netsvc:

AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
EventSystem
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Messenger
Netman
Nla
Ntmssvc
NWCWorkstation
Nwsapagent
Rasauto
Rasman
Remoteaccess
Sacsvr
Schedule
Seclogon
SENS
Sharedaccess
Themes
TrkWks
TrkSvr
WZCSVC
Wmi
WmdmPmSp
winmgmt
wuauserv
BITS
ShellHWDetection
uploadmgr
xmlprov
AeLookupSvc
helpsvc

K.gusarch
используйте пожалуйста теги [more] и [code]...

Я ошибся, нет у меня ветки HKLM\SYSTEM\CurrentControlSet\Services\netsvcs.

Нашёл хороший скрипт,проверяет подозрительные скрытые файлы:
net view /DOMAIN:тут пишем свой домен > comps.txt
for /f "eol=K skip=4 tokens=1" %%i in (comps.txt) do (
if exist %%i\c$\windows\system32 dir /A:H %%i\c$\windows\system32 >> C:\SysReport01.txt
if exist %%i\c$\winnt\system32 dir /A:H %%i\c$\winnt\system32 >> C:\SysReport01.txt
)

Посмотрел ваш параметр netsvc, зловредов нет, значит правильно заблокировали ее.
Только надо определить откуда лезет вирус. Сколько у вас активных учетных записей?

Спасибо,нашёл причину.
Слабый пароль учетки с правами админа.
Вот выяснить бы ещё откуда он ломится.

Больше ста.
Примерно представляю с какого места он может идти.