search
top
Снаряжение для активного отдыха или экстремальных видов спорта. У нас вы можете купить или продать сноуборд, велосипед, горные лыжи и многое другое

Боремся с Conficker.AA

Один знакомы попросил посмотреть его компьютер, жалуясь на то, что пару раз в день вылетает окно с ошибкой типа « У вас глюкнул драйвер звуковухи и т.д.» после перезагрузки звук начинал работать. После недолгих издевательств над компьютером ошибка себя проявила обычным окно Win32, что произошёл сбой в звуковом драйвере. Сразу насторожило то, что звук наработал только при просмотре видео и аудио файлов, Все стандартный виндовые звуки чудесным образом работали, несмотря на ошибку!!

В журнале  нашел вот такое сообщение.

 Ошибка приложения svchost.exe, версия 5.1.2600.5512, модуль AcGenral.dll, версия 5.1.2600.5512, адрес 0×000116e2.

 Оказалось что это вовсе не  драйвер глюкал, а новый вирус Win32/Conficker.AA, он же Win32.Worm.Downadup.Gen, Trojan.Win32.Agent.bcjv, Win32.HLLW.Shadow.based
Разные антивири называют по-разному.
Точного описание в интернете нет вот, что я собрал:

Как заражает:

Распространяется преимущественно в корпоративных и городских сетях, но не исключено заражение по инету.

Открывает произвольный порт между 1024 и 10000 и работает как веб-сервер. При проникновении на компьютер червь маскируется под JPG-файл, а затем записывает себя на диск под видом библиотеки DLL. Примечательно, что, попав на машину жертвы, Conficker устанавливает патч для уязвимости MS08-067. Однако в данном случае червь заботится вовсе не о владельце компьютера, а просто таким образом Conficker закрывает лазейку для других вредоносных программ, которые могут помешать его работе.

Как работает

Conficker использует дыру, описание которой содержится в бюллетене безопасности Microsoft MS08-067. Проблема связана с тем, что при обработке сформированных специальным образом запросов удаленного вызова процедур (Remote Procedure Call) в службе Server программных платформ Microsoft возникает ошибка, позволяющая злоумышленникам захватить полный контроль над компьютером жертвы:

Когда Win32/Conficker запускается, он создает копии самого себя в %System% каталоге с разными именами. Червь внедряет свой код в процесс

services.exe

чтобы его было труднее найти и удалить.  Имя сервисной службы:

netsvcs.

Путь исполняемого файла:

%System%\svchost.exe -k netsvcs,

а также создает запись в реестре:

HKLM\SYSTEM\CurrentControlSet\Services\<random filename>\Parameters\ServiceDll = “%System%\<random filename>”

Как проявляется:

Постоянно отключает сетевую и звуковую карты. У некоторых еще блокирует панель “пуск” и стандартную панель “файл, правка, вид…”, но могут проявляться и другие симптомы (вирус до конца не изучен)

Как лечить:

Вирус использует уязвимость операционной системы Windows, которая ликвидируется патчем безопасности MS08-067, также рекомендуется установить эти фиксы MS08-068, MS09 001 для предотвращения заражения компьютера через сеть.

Устанавливаем указанные выше патчи безопасности MS08-067, MS08-068, MS09-001, обновить антивирусную базу вашего антивируса, скачать утилиту от BitDefender. Дополнительно можно скачать утилиты CureIt или Kaspersky Virus Removal Tool.

 
Или эту подборку для SP3 состоящую из:

Патчей:
WindowsXP-KB957097-x86-RUS
WindowsXP-KB958644-x86-RUS
WindowsXP-KB958687-x86-RUS

Утилиты:
Anti-Downadup

Напоминаю это для SP3

Далее
1. Отключится от локальной сети и Интерента.
2. Установить патчи безопасности.
3. Запустить утилиту от anti-Downadup.
4. Проверить компьютер уже установленным антивирусом или утилитами CureIt или Kaspersky Virus Removal Tool.

Если после проверок вирус остался, повторяем данные операции до посинения.

Были использованы материалы с сайтов:

http://bclan.kiev.ua,  http://084.com.ua/, http://forum.allavatars.ru,  http://compace.lg.ua

Связанные записи

  • e_samolyotov

    Respect!

  • http://e-lektron.blogspot.com/ tegoxyWex

    мда вот как оказалось !

  • rodon

    спасибо огромноеЁ!

  • http://fizioter.ru Вениамин

    Благодарю за пост, а ведь это тема :) В мемориз однозначно, пригодится! :)

  • Юган

    Аххххиренно и неподрожаемоумопомрачительно.респект афтору

  • Dima

    SPAASIBO !!! AVTOR POMOG +1

  • Саша

    Присоединяюсь к сказанному выше. Респект!

  • Антоха_

    ох и в…бал же этот вирус мне мозг
    уже думал звуковуху выкидывать…
    автору большое спасибо за статью. оч помогла

  • Pahan_

    а ещё он сцука не даёт с линейного входа записывать.

  • Tornado

    Мне очень понравились последние слова, очень точно подмечено - “до посинения”.

  • Bic-off

    Спасибо большое, за информацию!!! Выручили.

  • новичок

    за него у меня плохо работал сеть сейчас попробую заранее спасибо

  • http://kvm.in.ua WiseFire

    Спасибо!
    Хоть что-то толковое нашел!
    Сейчас попробую.

  • Максим

    реально помогло, спасибо

  • Lightage

    Информация реально полезна и работоспособна… Очень благодарен!!!

  • http://privats.ru/2009/07/net-wormwin32kido-i-active-directory.html Блог Безумного Админа » Blog Archive » Net-Worm.Win32.Kido и Active Directory

    [...] попортил мне мозг. Предыдущая статья на эту тему тут. Начну с самого [...]

  • Новичок2

    Здрасвуйте,вы не подскажете как удалить вирус ConfickerAA.на Windows server 2003 sp2 зарание спасибо.

  • http://privats.ru/ Безумный Админ

    Конечно знаю последняя статья ка раз об этом. Вам поможет Kido Kill.

  • http://cooledit.org.ua cooledit

    вот ещё одно решение проблемы - кстати помогло ))
    http://privats.ru/d01827/aHR0cDovL2FsZWtzLnNoaW5rYXJlZmYucnUvP3A9NjQ5/

  • Самарканд

    Админ, руль мужик, уважуха!!!

  • pactu

    Спасибо АДМИН

  • Natalia

    Спасибо большое, единственная толкавая статья гдк всё понятно написано…

  • Julia

    Памятник Вам, добрый человек, в полный рост и из чего пожелаете!!!

  • Sanya

    Спасибо вам все получилось почти сутки провел перед компом АДМИНУ респект

  • http://dmarket.com.ua Алекс

    сегодня появился в сети новая модификация конфикера, пока отловить не получается :(

  • http://privats.ru/ Безумный Админ

    Не слышал!!! А можно подробнее что за симптомы, как себя проявляет новый Kido/Conficker??

  • http://2web-master.ru 2web

    Спасибо за информацию. Лечу свой комп по вашему методу.

  • http://freshpage.ru/blog_d/?p=62 win32/conficker.aa « Мысли блогеров всего интернета

    [...] Безумный Админ пишет: Оказалось что это вовсе не драйвер глюкал, а новый вирус Win32/Conficker.AA, он же Win32.Worm.Downadup.Gen, Trojan.Win32.Agent.bcjv, Win32.HLLW.Shadow.based. Разные антивири называют по-разному. Точного описание в интернете нет вот, … [...]

  • http://nexus.dax.ru Ns

    Спасибо большое! Удалил с первого раза!
    Стоит : SP3, NOD32 v3, Outpost Firewall Pro.

    Были симптомы : отрубление интернета, смена темы, отрубление звука.

  • garfield

    а на server 2003 sp2 нет заплаток на сайте майкрософта (((

  • thunder

    Компьютер каждое утро в одно и тоже время терял сеть с данной ошибкой в журнале.( Ошибка приложения svchost.exe, версия 5.1.2600.5512, модуль AcGenral.dll, версия 5.1.2600.5512, адрес 0×000116e2)

    Сделал все по данному руководству и проблема решилась.

    Благодарю за информацию. Очень полезный блог.

  • Оля

    Не могу скачать патч безопасности. Блокирует переход на многие сайты. Как жить?

  • http://%/luircyeot52 scott

    dictatorial@hettys.rejects” rel=”nofollow”>.…

    good info!…

  • http://%/google.com Armando

    lewisohn@dora.progandist” rel=”nofollow”>.…

    спс….

  • http://%/ahskoezie225 brandon

    evaporated@involuntary.bela” rel=”nofollow”>.…

    áëàãîäàðåí!!…

  • http://%/anvmsrfa9 Byron

    untie@acourse.abeyance” rel=”nofollow”>.…

    áëàãîäàðþ….

  • http://%/cdxfzu7455 paul

    englishman@crucifixion.scenery” rel=”nofollow”>.…

    ñïñ çà èíôó….

  • http://%/noevzi855 gabriel

    presidents@whisky.sovietskaya” rel=”nofollow”>.…

    áëàãîäàðñòâóþ….

  • http://%/agyvruyg1 Duane

    democrat@tortuous.settling” rel=”nofollow”>.…

    hello!!…

  • http://%/zgygvsy0719 joel

    mutinies@asserts.full” rel=”nofollow”>.…

    tnx for info!!…

  • http://%/liycejgu7656 Allan

    deadline@simpliciter.invisibly” rel=”nofollow”>.…

    ñïñ….

  • http://%/aajbsui53 jaime

    suzerain@coordination.speakership” rel=”nofollow”>.…

    good info!!…

  • http://%/clivyzm5206 Ralph

    hunch@eminence.insure” rel=”nofollow”>.…

    tnx!…

  • http://%/mkyncvdt613 terrence

    color@cubic.hailstorm” rel=”nofollow”>.…

    thanks….

  • http://%/jxykdyda9117 Shaun

    respite@alexanders.flutist” rel=”nofollow”>.…

    tnx for info!!…

  • http://%/fehmdlds1 dwight

    caste@adventuring.transducers” rel=”nofollow”>.…

    good info….

  • http://%/hzppkbun350 joe

    uncalled@diachronic.obanion” rel=”nofollow”>.…

    tnx!…

  • http://%/txjbklji729 Julius

    paternally@incurable.inherited” rel=”nofollow”>.…

    áëàãîäàðþ!…

  • http://%/shhdctjb959 George

    annee@attu.skulls” rel=”nofollow”>.…

    thank you….

  • http://%/iubmxiy390 otis

    unilaterally@zeus.parisology” rel=”nofollow”>.…

    thanks!…

  • http://%/dsnyrnxdd34 doug

    fluent@predictors.pivotal” rel=”nofollow”>.…

    сэнкс за инфу….

  • http://%/ishklycc04 Dan

    sympathizing@stag.dog” rel=”nofollow”>.…

    спс….

  • http://%/jxtycr7 neil

    helm@ja.grads” rel=”nofollow”>.…

    спс….

  • http://%/dbefehaa361 Ricardo

    terrace@magoun.mclish” rel=”nofollow”>.…

    áëàãîäàðåí!!…

  • http://%/cdaaeb1 Maurice

    vanity@brookmeyers.latitudes” rel=”nofollow”>.…

    thank you!!…

  • http://%/gdiaha6432 craig

    buffaloes@congolese.dilys” rel=”nofollow”>.…

    ñïàñèáî!!…

  • http://%/jcjbgaji6909 leslie

    masson@unwomanly.beckoned” rel=”nofollow”>.…

    good….

  • http://%/fjfdceefa9880 oscar

    rethink@metalsmiths.unproductive” rel=”nofollow”>.…

    ñýíêñ çà èíôó!…

  • http://%/ibjaaifj03 Victor

    hasnt@reactivated.tactlessness” rel=”nofollow”>.…

    thank you!!…

  • http://%/heffijj03 maurice

    confront@anthonys.instituting” rel=”nofollow”>.…

    ñïñ!…

  • http://%/cifjijc80 dan

    tempera@harris.stallings” rel=”nofollow”>.…

    tnx for info!!…

  • http://%/efdfffce6015 jonathan

    anton@review.sforzando” rel=”nofollow”>.…

    hello!!…

  • http://%/hdecdga665 Julian

    disaffiliation@eerily.ciceros” rel=”nofollow”>.…

    ñýíêñ çà èíôó!!…

  • http://%/jbidihfg986 gene

    ghostlike@chunks.pegler” rel=”nofollow”>.…

    áëàãîäàðñòâóþ….

  • http://%/cgchbbf2 marvin

    ditmars@invitees.armchairs” rel=”nofollow”>.…

    ñïñ!!…

  • http://%/fadjieh3730 Jeff

    tropocollagen@ransy.maternal” rel=”nofollow”>.…

    ñýíêñ çà èíôó!!…

  • http://%/feagig3994 lee

    derive@fatigues.oregonians” rel=”nofollow”>.…

    thank you!…

  • http://%/iadfidc5480 lewis

    noisy@eileens.reported” rel=”nofollow”>.…

    tnx for info!!…

  • http://%/hfbcdd2 brad

    walters@riverside.touchdown” rel=”nofollow”>.…

    good info!!…

  • http://%/dedhgjbjc8 Virgil

    overlaps@majesty.briefcase” rel=”nofollow”>.…

    ñýíêñ çà èíôó….

  • http://%/chehed1 Kirk

    hearts@leafmold.reckless” rel=”nofollow”>.…

    hello….

  • http://%/agifec013 Dustin

    busch@mmm.clambering” rel=”nofollow”>.…

    ñïàñèáî çà èíôó….

  • http://%/fhechh106 franklin

    strays@absinthe.rhymes” rel=”nofollow”>.…

    good info!…

  • http://%/cgdaedhh243 Justin

    march@roughish.consumes” rel=”nofollow”>.…

    good info!!…

  • http://%/gdfjgddg1 ben

    improbable@frank.generality” rel=”nofollow”>.…

    thank you….

  • http://%/dfjgach1 Carlton

    scribbled@parenchyma.mouthpieces” rel=”nofollow”>.…

    ñïñ çà èíôó….

  • http://%/hegefgd792 Doug

    nicotine@acclimatized.gatlinburg” rel=”nofollow”>.…

    thanks….

  • http://%/aiiiijhi6003 Ken

    limping@telemann.engages” rel=”nofollow”>.…

    thank you….

  • http://%/hjdfhega7 joel

    extemporize@eventuality.marion” rel=”nofollow”>.…

    good!!…

  • http://%/gbefiehfg7 Bill

    gumming@armor.criticisms” rel=”nofollow”>.…

    hello….

  • http://%/hjfgfaa83 miguel

    busyness@conferring.anylabel” rel=”nofollow”>.…

    áëàãîäàðþ!!…

  • http://%/fjghheecc32 bobby

    adversely@lackadaisical.baldrige” rel=”nofollow”>.…

    áëàãîäàðåí!!…

  • http://%/ghfdahdj1 Glen

    financing@underwriter.budweisers” rel=”nofollow”>.…

    ñïàñèáî çà èíôó….

  • http://%/bdgaihi7 lewis

    rapier@halcyon.reverberation” rel=”nofollow”>.…

    thanks….

  • http://%/hagdibgg11 Alex

    bovine@substerilization.playoff” rel=”nofollow”>.…

    ñïàñèáî!…

  • http://%/dheceic531 felix

    alexander@kerrville.grammophon” rel=”nofollow”>.…

    ñýíêñ çà èíôó….

  • http://%/ddjejidd536 alfredo

    fever@projections.lingually” rel=”nofollow”>.…

    thanks….

  • http://%/bhiijd523 michael

    botany@beatings.trickling” rel=”nofollow”>.…

    ñýíêñ çà èíôó!!…

  • http://%/fjejgjab5632 Leonard

    smudged@crashes.bawhs” rel=”nofollow”>.…

    tnx….

  • http://%/fibcfb7236 walter

    hume@unchristian.grands” rel=”nofollow”>.…

    good….

  • http://%/cgahfc167 russell

    straps@venom.mccormack” rel=”nofollow”>.…

    ñïàñèáî çà èíôó….

blog comments powered by Disqus
top