[sahaha]

Не закрывайте пока тему!

[sahaha]

Здравствуйте! Обновление небыстро,но идёт! Нарыл тему http://social.technet.microsoft.com/...-42ed1ed24bea/, а иминно

"Когда учетка блокируется - то на КД, где произошла блокировка и на PDC-эмуляторе регистрируется событие в журнале Security с ID 644, где содержится и информация о компьютере с которого была вызвана блокировка"

Нашёл я этот компьютер,прогнал kk.exe, он нашёл троянов,удалил,но он появляется (на других пк kk.exe вообще ничего не находил), может я что-то недочистил на этом пк. Обновить не получится,на нём стоит китайская приблуда NComputing тонкие клиенты,они работают только с sp2 и с обновлениями глючат!((((( Касперский стоял,но висла система постоянно,удалил и всё работало отлично! Не пинайте сразу,а подскажите,может его аккуратненько почистить от кидо,а остальные обновлю! Спасибо за терпение!
И ещё,после того как я прогнал kk.exe на всех компах он стал выскакивать чаще!( Чувствует гад!)

[SolarSpark]

Это, конечно, полдела, но все же обновляться необходимо
у вас непростой случай.. 50пк со старыми операционками и с какими-то тонкими клиентами.. Сожрет вас кидо

Поставьте заплатки на sp2
MS08-067
MS08-068
MS09-001

или скачайте из моего вложения

+

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[SolarSpark]

кидо-это сетевой червь..сейчас заплатками заткнете основные дыры..а также
отключите автозапуск программ с различных носителей, кроме CDROM. Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:

Код:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221

Если пользовались съемными носителями-пролечите их, наверняка заражены

[sahaha]

Логи гмер

[S.R]

Следов кидо в логе не видно.

[sahaha]

Нашёл 4 компьютера в сети,которые подбирают пароли,в логе контроллера домена. Что посоветуете,сразу на всех запустить kk.exe?

[iskander-k]

Цитата sahaha:

Нашёл 4 компьютера в сети,которые подбирают пароли,в логе контроллера домена. Что посоветуете,сразу на всех запустить kk.exe? »

уже говорилось...

Цитата thyrex:

На время лечения от Kido рекомендуется сеть полностью отключать и лечить машины постепенно »