Рубрики arrow Форум
СТИБ.Интеграция. Форум
Добро пожаловать, Гость
Пожалуйста Вход или Регистрация.
Забыли пароль?
Ошибка приложения svchost.exe, версия 0.0.0.0, модуль unknown, версия 0.0.0.0, адрес 0x00000000. Просматривают 1: [гостей - 1]
Вниз Ответить Избранное: 0

Сообщения темы: Ошибка приложения svchost.exe, версия 0.0.0.0, модуль unknown, версия 0.0.0.0, адрес 0x00000000.

#113
yarik (Администратор)
Команда
Администратор
Постов: 7
graphgraph
Пользователь в оффлайне Кликните здесь, чтобы отправить пользователю Личное сообщение Кликните здесь, чтобы посмотреть профиль этого пользователя

Личная информация

  Донецк
  мужской

Ошибка приложения svchost.exe, версия 0.0.0.0, модуль unknown, версия 0.0.0.0, адрес 0x00000000. 26.05.2009 12:05 Репутация: 0  
[VIRUS] Net-Worm.Win32.Kido

Вред, наносимый действиями вируса
• Остановка доступа к некоторым общим дискам;
• Произвольная блокировка доменных аккаунтов;
• Нестабильная работа серверов и рабочих станций.

Информация о вирусе
Вирус Net-Worm.Win32.Kido.bx (название у Касперского) пытается собирать данные пользователей и отправлять их в Интернет, используя уязвимость в коде Windows, описанную в бюллетене MS08-067. При неправильных попытках подбора пароля срабатывает правило политики безопасности - временно блокируется (lock out) учетная запись, подвергшаяся атаке. Связь с Интернетом и распространение между объектами вредоносный код пытается осуществлять по порту 445. Сам вирус прячется под разными именами (обычно в виде DLL или графических файлов во временных папках Интернета) чаще всего в c:/windows/system32/

На всех серверах и рабочих станциях должно обязательно стоять обновление Microsoft KB958644. Если речь идет о рабочих станциях Windows XP с установленным SP3, то нет необходимости в отдельной установке этого обновления.

Процесс излечения зараженной машины:
1. Запустить утилиту GMER.EXE и удалить подозрительные службы с ее помощью. К подозрительным относятся службы, которые утилита выделяет красным цветом, названия служб представляют собой набор латинских строчных латинских символов. На запрос утилиты о сканировании всей системы отвечаем «No». Удаление службы осуществляем, выбирая “Delete service” в контекстном меню, вызываемом нажатием правой клавиши мыши.
Если при удалении возникает сообщение о невозможности удаления – это означает, что соответствующий ключ уже удален из реестра для верности можно запустить GMER.EXE еще раз. Такая ситуация возможна, если найдено больше одной проблемной службы.

2. Во время работы утилиты GMER.EXE проверяем, установлен ли на машине патч KB958644:
Заходим в Панель управления/Установка и удаление программ, устанавливаем галку «Показывать обновления», проверяем наличие установленного апдейта:

Если не установлен – ставим его. Сразу после установки не перегружаем машину до завершения процедуры – см. ниже.

3. Проверяем, активен ли вирус в данный момент. Во время своей активной работы вирус пытается установить соединения по 445-му порту с различными хостами Интернета. Результат команды netstat –n –b| more (или просто netstat –n –b)

4. Останавливаем процесс svchost.exe, пытающийся установить соединение. Номер процесса виден в окне с результатом работы команды netstat в правой колонке.
Для этого запускаем taskmgr, View/Select columns – ставим галку для колонки с ID процесса (PID)

И «убиваем» дерево процессов, соответствующее проблемному процессу. Завершение работы служб может потребовать некоторого времени – до 30-40 секунд.
Как альтернативу стандартному менеджеру процессов можно использовать procexp.exe, позволяющую увидеть расширенную информацию по процессам, работающим в системе.

5. После остановки проблемного процесса svchost.exe Антивирус Касперского сможет распознать и обезвредить вирус. Запускаем сканирование критичных областей системы или сканирование диска, на котором установлена ОС Windows.

6. После удаления вируса нужно перезагрузить зараженную машину и запустить полное сканирование системы.

Также замечены случаи, когда Касперский самостоятельно не может удалить вирус, выводя соответствующее сообщение.

В этом случае можно попытаться удалить его самостоятельно:
Удалить файл, созданный троянцем в каталоге: %SYSTEM%/.dll
(%SYSTEM% в большинстве случаев C:/Windows/System32)

Посмотреть имя файла можно в ключе:
HKLM/SYSTEM/CurrentControlSet/Services/netsvcs/Parameters/ServiceDll
Удалить ветку реестра HKLM/SYSTEM/CurrentControlSet/Services/netsvcs
И/ИЛИ ветку с HKLM/SYSTEM/CurrentControlSet/Services/«имя вируса».

ftp://195.184.197.178/shared/gmer.zip
ftp://195.184.197.178/shared/OS_Updates.rar
 
Редактировалось: 26.05.2009 13:41. Редактировал yarik.
  Для добавления сообщений Вы должны зарегистрироваться или авторизоваться.
Вверх Ответить
stib
"Современные Технологии Информации и Безопасности"
Разработка, сопровождение, хостинг 0.015484
При использовании материалов сайта ссылка на INTEGRACIA.IN.UA обязательна, для интернет-изданий - гиперссылка, не закрытая для индексации поисковыми системами.
Rambler's Top100 <a target="_top" href="http://top.mail.ru/jump?from=1508880"><img src="http://d6.c0.b7.a1.top.mail.ru/counter?js=na;id=1508880;t=52" border="0" height="31" width="88" alt="Рейтинг@Mail.ru" /></a>
Faststart - рейтинг сайтов, каталог интернет ресурсов, счетчик посещаемости IT портАл защита безопасности
VKontakte.DJ
forum traveling