Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

Slonoboy

Если антивирус Касперского не устанавливается

Рекомендованные сообщения

Служба технической поддержки Лаборатории Касперского уведомляет о том, что в настоящий момент возросло количество обращений по факту заражения рабочих станций и серверов под управлением операционных систем Windows штаммами сетевого червя Net-Worm.Win32.Kido (другие названия: Conficker, Downadup).

 

Симптомы заражения

  1. При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
  2. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.
  3. Невозможно получить доступ к сайтам большинства антивирусных компаний, например, avira, avast, esafe, drweb, eset, nod32, f-secure, panda, kaspersky и т.д.
  4. Попытка активации Антивируса Касперского или Kaspersky Internet Security с помощью кода активации на машине, которая заражена сетевым червем Net-Worm.Win32.Kido, может завершиться неудачно и возникает одна из ошибок:


Ошибка активации. Процедура активации завершилась с системной ошибкой 2
.

Ошибка активации. Невозможно соединиться с сервером
.

Ошибка активации. Имя сервера не может быть разрешено
.


 

Краткое описание семейства Net-Worm.Win32.Kido

  1. Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID<....>}\RANDOM_NAME.vmx
  2. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
  3. Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
  4. Пытается атаковать компьютеры сети по 445 или 139 TCP порту, используя уязвимость в ОС Windows MS08-067.
  5. Обращается к следующим сайтам для получения внешнего IP-адреса зараженного компьютера (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):







 

Способы удаления

 

Удаление сетевого червя производится с помощью специальной утилиты KK.exe. Операционные системы MS Windows 95/MS Windows 98/MS Windows Me не подвержены заражению данным сетевым червем.

 

С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:

  • Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001 (на данных страницах вам необходимо выбрать операционную систему, которая установлена на зараженном компьютере, скачать нужный патч и установить его).
  • Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр. Либо сменить ранее установленный пароль локального администратора.
  • Отключить автозапуск исполняемых файлов со съемных носителей, запустив утилиту KK.exe с ключом -a:

    Для ОС Windows XP/Server: Пуск - Выполнить
    - наберите команду
    kk.exe -a
    - после ввода команды нажмите Enter.

    Для OC Windows Vista: Пуск - Все программы - Стандартные - Выполнить
    - наберите команду
    kk.exe -a
    - после ввода команды нажмите Enter.


  • Заблокировать доступ к TCP-портам: 445 и 139 с помощью сетевого экрана.

    Блокировать TCP-порты 445 и 139 необходимо только на время лечения. Как только будет пролечена вся сеть, можно разблокировать эти порты.


Удаление сетевого червя утилитой KK.exe можно производить локально на зараженном компьютере или централизованно, если в сети развернут комплекс Kaspersky Administration Kit.

 

 

Запуск утилиты с помощью командной строки

 

Все ключи, которые можно указать при запуске утилиты указаны ниже в таблице.

  • Чтобы запустить командную строку

    Для ОС
    Windows Vista: Пуск - Все программы - Стандартные - Выполнить
    - наберите команду
    cmd

    Для ОС
    Windows XP/Server: Пуск - Выполнить
    - наберите команду
    cmd


  • Чтобы осуществить запуск утилиты KK.exe

    Сохраните утилиту
    KK.exe
    , например, на диск С.

    Для запуска утилиты необходимо указать местоположение утилиты KK.exe. Например, команда для запуска утилиты, сохраненной на диске С будет выглядеть вот так:

    "С:\KK.exe" и нажмите Enter.


 

Для домашних пользователей (локальное удаление)

  1. Скачайте архив KK.zip (текущая версия утилиты -3.4.13) и распакуйте его в отдельную папку на зараженной машине.
     
  2. Если у вас на зараженном компьютере установлены следующие программы Лаборатории Касперского:
     
    - Kaspersky Internet Security 2009;
    - Антивирус Касперского 2009;
    - Kaspersky Internet Security 7.0;
    - Антивирус Касперского 7.0;
    - Kaspersky Internet Security 6.0;
    - Антивирус Касперского 6.0;
    - Антивирус Касперского 6.0 для Windows Workstations;
    - Антивирус Касперского 6.0 SOS;
    - Антивирус Касперского 6.0 для Windows Servers.
     
    пожалуйста, отключите в Антивирусе Касперского компонент Файловый Антивирус на время работы утилиты.
     
  3. Запустите файл KK.exe
     
    При запуске файла KK.exe без указания каких-либо ключей утилита останавливает активное заражение (удаляет потоки, снимает перехваты), выполняет сканирование основных мест, подверженных заражению, сканирует память, чистит реестр, проверяет flash-накопители.
     
    По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KK.exe с ключом -y.
     
  4. Дождитесь окончания сканирования.
     
    Если на компьютере, на котором запускается утилита KK.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.
     
  5. Выполните сканирование всего компьютера с помощью Антивируса Касперского.

 

Ключи для запуска утилиты KK.exe из командной строки

 

Параметр/ Описание

-p <путь для сканирования> Cканировать определённый каталог.

 

-f Cканировать жёсткие диски.

 

-n Cканировать сетевые диски.

 

-r Cканировать flash-накопители, сканировать переносные жесткие диски, подключаемые через USB и FireWire.

 

-y Не ждать нажатия любой клавиши.

 

-s "Тихий" режим (без чёрного окна консоли).

 

-l <имя_файла> Запись информации в лог-файл.

 

-v Ведение расширенного лога (параметр -v работает только в случае, если в командной строке указан также параметр -l).

 

-z Восстановление служб

Background Intelligent Transfer Service (BITS),

Windows Automatic Update Service (wuauserv),

Error Reporting Service (ERSvc/WerSvc),

Windows Defender (WinDefend)

Windows Security Center Service (wscsvc)

Восстановление возможности показа скрытых и системных файлов.

 

-m Режим мониторинга для защиты от заражения системы.

 

-a Отключение автозапуска со всех носителей.

 

-t Удаление из реестра сервисов, оставшихся после лечения сетевого червя продуктами Лаборатории Касперского.

 

-j Восстановление ветки реестра SafeBoot (при ее удалении компьютер не может загрузиться в безопасном режиме).

 

-help Получение дополнительной информации об утилите.

 

Например, для сканирования flash-накопителя с записью подробного отчета в файл report.txt (который создастся в папке, где находится утилита KK.exe) используйте следующую команду:

 

kk.exe -r -y -l report.txt -v

 

Начиная с версии 3.4.6 в утилиту KK.exe добавлены коды возврата (%errorlevel%):

3
- Были найдены и удалены зловредные потоки (червь был в активном состоянии).

2
- Были найдены и удалены зловредные файлы (червь был в неактивном состоянии).

1
- Были найдены зловредные задания планировщика или перехваты функций (данная машина не заражена, но в этой сети могут находиться зараженные машины - администратору следует обратить на это внимание).

0
- Ничего не было найдено.

 

 

Информация из статьи применима к следующим продуктам:

  • Антивирус Касперского версии 6.0/7.0/2009
  • Kaspersky Internet Security версии 6.0/7.0/2009
  • Антивирус Касперского 6.0 для Windows Workstations MP1/MP2/MP3
  • Антивирус Касперского 6.0 для Windows Servers MP1/MP2/MP3
  • Kaspersky Administration Kit 6.0 MP1/MP2

 

Оригинал статьи:

http://support.kaspersky.ru/faq/?qid=208636215

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Гость
Эта тема закрыта для публикации сообщений.