Comments | fox_12: Опыт подавления эпидемии вируса Win32/Conficker.AА,он же Downadup

fox_12

Опыт подавления эпидемии вируса Win32/Conficker.AА,он же Downadup

Feb 19, 2009 17:58

Приведенный ниже способ эмпирический (так как не было времени на подробный анализ вируса), но дает быстрый эффект по ликвидации эпидемии. Рассчитан на пользователей, осознающие свои действия, и разбирающиеся в ОС Windows на уровне выше среднего. Приведенные приемы, могут также оказаться полезными в поисках и ликвидациях вирусного заражения любого ( Read more... )

it-security

Comments 10

sbworld February 20 2009, 20:46:40 UTC

я, когда машина выказала признаки заражения, скачал с F-secure утилитку-лечилку, потом поставил патч и все.
Описанный тобою путь - не для простых юзеров :))

fox_12 February 21 2009, 08:36:14 UTC

Согласен. Но этот способ очень быстро отработал в сети, состоящей из сотен машин, когда обходить каждую машину, в поисках вируса, и ждать пока утилита проведет полное лечение (лечение утилитой от Семантека занимает десятки минут, остальные утилиты быстрее, но к сожалению - показали недостаточную эффективность) - занятие весьма затратное по времени.
На самом деле несмотря на громоздкость - последовательность действий - обнаружил зараженную машину в сети, - быстро ликвидировал процесс, сеющий заражение в сети - а дальше уже неспешная проверка вирусом. Остальнве пользователи пока ставят необходимые патчи.

sbworld February 21 2009, 09:06:18 UTC

Кстати говоря, дырозатыкалка на эту тему у микрософта, как говорят, появилась еще в октябре - те, кто в курсе, ее поставили, а остальные - "ни слухом, ни духом", пока вирус не разошелся.
Я пошел на сайт смотреть, что же там еще из критически необходимого надо установить - и не нашел сводного списка. Где это надо искать, не подскажешь? (хотелось бы точную ссылку)

fox_12 February 21 2009, 13:26:16 UTC

Совершенно верно. Но проблема в том, что далеко не все пользователи это делают, да и при переустановке системы об этом часто забывают.
Вообще тут можно глянуть - но там куча всего:
http://www.microsoft.com/technet/security/current.aspx
либо тут:
http://www.microsoft.com/technet/security/bulletin/summary.mspx
А вообще - вот хорошее обсуждение (если есть доступ на ru-board)
http://forum.ru-board.com/topic.cgi?forum=62&active=15&topic=15054#1

alexzander May 6 2009, 12:19:20 UTC

большое вам человеческое спасибо!

anonymous May 12 2009, 09:07:04 UTC

Спасибо за исчерпывающее руководство. Есть подозрения , несмотря на установленный СП 3 на все машины, в сети все же где то сидит вирус. Т.к. Trend Micro Office Scan ругается на файлы типа at*.job. Не могли бы Вы примерно накидать тут командный файл, "перебирающий" все компьютеры в сети и удаляющий эти файлы. Спасибо.

fox_12 May 12 2009, 09:37:46 UTC

День добрый ( ... )

anonymous May 12 2009, 11:57:38 UTC

Спасибо большое. У нас домена нет. Буду очень признателен, если Вы напишете скрипт для сканирования диапазона IP адресов. Например 192,168,1,1 - 192,168,1,254 с маской 255,255,255,0

С уважением, Артём.

pan_2 October 6 2009, 18:23:19 UTC

Добавлю ещё один метод в копилку, когда нет возможности копаться с PID процесса - блокировка правами NTFS - например cacls %filename% /D Все и перезагрузка, после чего перевыставление прав на доступ (/G Администраторы:F) и удаление.

fox_12 October 6 2009, 20:03:05 UTC

Спасибо! - возьмем на вооружение :-)