Доступ - Помогите восстановить систему после вируса(Conficker.B Kido.ep)

Delirium · Отправлено: **01:36, 20-01-2009** | #2

Как вариант - обновить Windows ?

mishanya85 · Отправлено: **02:09, 20-01-2009** | #3

обновить не позволяет отсутствие сервисов, компы заражаются и заражаются.
Основные симптомы:
1) Долго грузится windows после ввода пароля.
2) Языковая панель прилепляется к пуску, так, что не видно свернутых программ. И переместить её невозможно.
3) Не работает копи-паст.
4) Сервисы отключены все включая RPC, кроме антивируса, PnP, Журнал событий, DCOM, Те Lm
5) Запустить сервисы невозможно (RPC ошибка 5, остальные 1608)
6) Сеть работает и на компе доступны шары.
Одним словом комп-зомби
И САМОЕ СТРАШНОЕ ни одна антивирусная программа не находит никаких вирусов. Кроме карантина.
На первой зараженной машине антивирус касперского обнаружил Net-Worm.Kido.ep а windows-KB 890830-v2.6.exe удалила Conficker.B

Может зараженная машина с админскими правами заражать сетку эксплуатируя уязвимость MS08-067 при этом не копируя вирус а только убивая винду? Недовирус...

Delirium · Отправлено: **02:26, 20-01-2009** | #4

Все может быть. Есть возможность просканировать AVZ? Прочитайте внимательно этот форум

mishanya85 · Отправлено: **16:15, 20-01-2009** | #5

просканировал:
Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 20.01.2009 13:39:50
Загружена база: сигнатуры - 206347, нейропрофили - 2, микропрограммы лечения - 56, база от 19.01.2009 18:38
Загружены микропрограммы эвристики: 372
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 80135
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08A500)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80561500
KiST = 804E48B0 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 17
Количество загруженных модулей: 141
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 64168, извлечено из архивов: 53836, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 20.01.2009 13:49:02
Сканирование длилось 00:09:13
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info

Petya V4sechkin · Конфигурация компьютера

mishanya85, попробуйте восстановить службу RPC твиком реестра:

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs]
"Description"="Обеспечивает сопоставление конечных точек и иных служб RPC."
"DisplayName"="Удаленный вызов процедур (RPC)"
"ErrorControl"=dword:00000001
"Group"="COM Infrastructure"
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,20,00,2d,00,6b,00,20,00,72,00,70,00,\
  63,00,73,00,73,00,00,00
"ObjectName"="NT AUTHORITY\\NetworkService"
"Start"=dword:00000002
"Type"=dword:00000020
"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,\
  00,02,00,00,00,60,ea,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  72,00,70,00,63,00,73,00,73,00,2e,00,64,00,6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Security]
"Security"=hex:01,00,14,80,a8,00,00,00,b4,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,78,00,05,00,00,00,00,00,14,00,8d,00,02,00,01,01,00,00,00,00,00,\
  05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,18,00,8d,00,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,\
  02,00,00,00,00,14,00,9d,00,00,00,01,01,00,00,00,00,00,05,04,00,00,00,00,00,\
  18,00,9d,00,00,00,01,02,00,00,00,00,00,05,20,00,00,00,21,02,00,00,01,01,00,\
  00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

А также рецепт из статьи KB838428.

Delirium · Отправлено: **01:41, 21-01-2009** | #7

Petya V4sechkin, по моему, тему пора перенести в Лечение систем

Pili · Отправлено: **09:26, 21-01-2009** | #8

Delirium, уже есть net-worm.kido.ep, только логов AVZ нет, по остальным логам Conficker/Kido не обнаружен, нужно восстановить сист. файлы и службы, но эти и другие рекомендации в теме не были выполнены. ОС видимо какая-то сборка, скорее всего Zver

BluR · Отправлено: **01:41, 25-07-2010** | #9

Такие же симптомы ... Только не обнаруживал конфикер ... проактивка через раз стала ругать при запуске explorer'a что он пытается загрузить драйвер ... причем этого не происходило при перезагрузки ... после проверки и удалении гадости легла служба RPCSS ... вернее даже не легла а удалилась ... в реестре о ней теперь ни слова ... естественно без неё ничего не пашет ... кстати анитивирусы также молчали ...