среда, 14 апреля 2010 г.

Не открываются сайты антивирусов, интернет разрывается, Win32.HLLW.Shadow.based



Сегодня я попытаюсь рассказать, о сетевом черве  который ОЧЕНЬ ЧАСТО встречается на машинах и создает массу проблем для пользователей. Имя которому Win32.HLLW.Shadow.based известный так же под именами Net-Worm.Win32.Kido.ih , а в народе Kido он же Conficker он же Downadup

Основными симптомами заражения которого являются:
- Незаходит на антивирусные сайты 
- Недоступность сайтов windowsupdate 
- Постоянные разрывы интернета 
- Блокировка учетных записей в домене
- Как правило такие службы как Automatic Updates отключены
- черезмерная загруженность локальной сети 
- контроллеры домена медленно отвечают на запросы клиентов

Быстрое распространение вируса связано со службой Server (вообще рекомендую ее отключить, так как она н.х ненужна впринцыпе, можете прочесть про ету службу здесь). Используя «дырень» в ней, червь загружает себя из интернета. Разработчики вируса научились постоянно менять свои сервера, что раньше не удавалось злоумышленникам, поетому вирус постоянно скачивает для себя обновленный код и имеет массу модификаций, а борьба антивирусов с ним превращается в игру кошки-мышки.

  Так же прошу заметить, что червь очень серьезный, а ребята которые его сделали до сих пор считаются одними из самых крутых перцев. 

  В последнее время виряк все чаще размножается посредством usb-накопителей, я все больше  и чаще вижу его именно на флешках с которых посредством встроенного в Windows механизма автозапуска загружается. Вредноносный файл, который создается антивирусом, носит название RECYCLER\S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx. При этом вирус присваивает имя, которое имеет «Корзина» для удаленных файлов, что способствует его незаметности для юзера.

Сразу после того, как червь Win32.HLLW.Shadow.based запускает себя, он осуществляет внедрение своего кода в системные процессы svchost.exe, а также explorer.exe. Созданием в проводнике папки, вирус завершает свою миссию. Кроме того, вирус может создать и собственную копию с случайным именем. 

Впервые он был обнаружен в ноябре 2008 года и на сегодняшний день заражены десятки миллионов ПК. Сеть зараженных червем компьютеров известная как БОТНЕТ становиться грозным оружием в руках киберпреступников. В частности, злоумышленники могут продать такую сеть, совершать DDoS-атаки на web-ресурсы, социальные сети, красть личные данные с зараженных компьютеров, распространять спам и еще 100 и одно применение.

Так же можно проверить наличие вируса на компе пройдя по этой ссылке (вверху вы неувидите некоторых картинок). Но етому способу сто лет в обед, так, что ета инфа скорее просто до кучи.

Что-бы от него грамотно избавиться, понадобятся как минимум : 
1) прямые руки, 
2) трезвая голова 
3) внимательность и последовательность.  

Способ 1 
1) Если у вас sp2 то качаем и устанавливаем 3 патча MS08-067;  MS08-068;  MS09-001.
2) Отключиться от интернета или локальной сети
3) Очистите временные файлы с помощью возможностей самой Windows: Пуск-> Программы-> Стандартные-> Служебные-> Очистка диска а так же отключите все из автозапуска.
4) Отключаем все антивирусники 
5) Скачиваем с другого компа утилиту KidoKiller и распаковываем его в отдельную папку на зараженной машине и запускаем kk.exe , если незапусается, то переименовываем ее в 123.exe
6) Ждем пока закончиться сканирование (висит черное окно доса примерно минут 10) 
7) Проверяем систему любым антивирусом с функцией поиска руткитов кпримеру Kaspersky.

Способ 2
1) Если у вас sp2 то качаем и устанавливаем 3 патча MS08-067;  MS08-068;  MS09-001.
2) Отключиться от интернета или локальной сети
3) Скачиваем лечащую утилиту Dr.Web CureIt Именно свежую!  И сканируем комп.

Если сайты не открываются по прежнему, заходим в реестр, находим HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes и удаляем всё оттуда на х.р! Перезагружаем и радуемся жизни.


Не так страшен черт как его малюют, особенно если знаешь где копать ;)

Как удалить вирус с флешки 
Как скачивать видео 
Как удалить cMedia 
Как удалить braviax

Ах, да и еще один момент, после удаления такового зверька смените все пароли учетных записей, а так же мыло и пароли на вебресурсах, поскольку они являются "народным" достоянием))).
Вот и все беспристрастные пристрастия. Удачного дня!

Понравился блог нажми Ctrl+D 

14 комментариев:

  1. Спасибо большое, за то что разжевали :) Очень актуально и понятно.

    ОтветитьУдалить
  2. не могу удалить файл реестра, сижу в 7 вин

    ОтветитьУдалить
  3. А для Vista надо какие-то патчи устанавливть?

    ОтветитьУдалить
  4. Огромное спасибо, очень кстати пришлось!

    ОтветитьУдалить
  5. Вирус только до _ Бэта 7 Windows актуален _ остальное X)

    ОтветитьУдалить
  6. Тут не слова нет про СЕМЕРКУ, засунь свою бету семерку себе в задницу!

    ОтветитьУдалить
  7. Спасибо! Большое большое спасибо! Помог способ 2. Стоит SP3. Надо как-то от них предохранятся (((

    ОтветитьУдалить
  8. спасибо большое! антивирусы ничего не находили. способ №2 сработал на ХР сервис пак 3
    спасибо!

    ОтветитьУдалить
  9. давно мучаюсь с этой проблемой! виря уже нет скорей всего сам удалился или я постарался.но сайты антивирусов всё равно блокируются.у меня nod32 4.0 обновляюсь с левых серверов.чего только не пробовал не помогает.в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes такого нет. не знаю что ещё придумать?

    ОтветитьУдалить
  10. Помогите, плиз, после удаления этого виря, не включается Автоматическое обновление, KK -z не помогло...

    ОтветитьУдалить
  11. Заразился трояном с флешки.
    Сайты антивирусов не открываются. Расширения файлов не видно и включить запрещено. Редактор реестра запрещён.
    Файл HOSTS чистый.
    Механизм автозапуска трояна - в ключе реестра [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    В параметр
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe"
    траян тупо в конец строчки дописывает себя, и удалять нужно только то, что он дописал после userinit.exe (иначе операционка не найдёт пользователей!! )
    После лечения DrWEB CureIt! удалил, как и советовали, всё из HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes и перезагрузился. Сайты стали доступны.
    Кому нужно - вот маленькая утилитка, делающая доступным редактор реестра после трояна :
    http://alertzone.narod.ru/programs/reestr.exe
    Если я правильно понимаю, при запуске трояна с флешки всё равно, какой у тебя сервиспак, он же не через уязвимость попадает, а сразу запускается в системе. Так что - вырубайте авторан!

    ОтветитьУдалить
  12. Огромное спасибо.. После чистки ветки реестра описанной в способе 2 все заработало.. Никогда комментов не пишу ввиду необходимой регистрации на сайтах, но здесь даже захотелось поблагодарить))

    ОтветитьУдалить
  13. Ребята - подскажите чайнику - как скачать эти патчи и открыть реестр для правки ??? :-(

    Юрий

    ОтветитьУдалить
  14. спасибо, совет с реестром помог. но я так понимаю что вирус то остался?

    ОтветитьУдалить