Отследить Kido

[kaRRamba]

вы тоже проделали то, что предлагаете?

у меня не было эпидемии

[cmd]

cmd, Да чтож вы какие то советы странные всё даёте...
Вы работали в организации где примерно 400 компьютеров?
Ходить ко всем с флешкой?

Вы боретесь с kido уже минимум три дня (с даты первого поста), за это время можно все 400 ПК обойти. И во-первых, я же вам написал:

на сайтах антивирусов и даже в википедии есть признаки заражения системы вирусом

а именно:
- отключение некоторых служб
- наличие определенных файлов в определенных каталогах
- закрытие доступа к сайтам обновлений антивирусов.
- и т.д.
Точнее можете узнать, например, на сайте касперского или вируслисте каком-нибудь - конкретно по той модификации kido, что появляется у вас (или в техподдержке вашего антивируса). Далее пишете скрипт, проверяющий наличие этих признаков, смотрите у кого антивирус давно не обновлялся и т.п.
Но может вы уже это делали, я не знаю.

[Fray]

cmd, вот тут вам +1, но переформатирование и переустановка ОС - это стреляние из пушки по воробьям, имхо.

[cmd]

переформатирование и переустановка ОС - это стреляние из пушки по воробьям, имхо.

Скомпроментированный хост в домене - не-не-не. При современном развитии служб развертывания переустановка занимает ну час от силы, а обработка зараженного диска антивирусом 100% гарантии не дает.

[Fray]

При современном развитии служб развертывания переустановка занимает ну час от силы

Ага, особенно на компьютере глав. буха - со всеми банк-клиентами и прочая... Ситуации бывают разные.

[kaRRamba]

особенно на компьютере глав. буха - со всеми банк-клиентами и прочая...

Бро, а давай рассмотрим ситуацию: контора "средней руки" (критичны простои, не похрен на угон баз и т.п.). У главбуха аппаратные проблемы, по которым ему надо развернуть ОС на новом железе.

И тут, если есть необходимость в быстром развертывании и ты не можешь этого сделать - ты ССЗБ и не предусмотрел. Ну и какбе скомпрометированность ПК главбуха и прочих ключевых должностей (в такой конторе) - переналивка однозначно. Ну а если вас там 10 человек и главбух может раздавать доки с ПК направо и налево без финансовых потерь для конторы - тогда да.

[Fray]

Ситуации бывают разные.

[WingDog]

Вы работали в организации где примерно 400 компьютеров?

в таких организациях эпидемий кидо (или любых других), не допускают.

На оно мне в йух не сдалось! Мало того что кеды стирать, так ещё и вылавливать юзеров, чтоб договариться когда они не будут заняты.

дельный совет дал
Fuzzy_Logic,

[Stierlitz]

WingDog, пруфы ? Или это ваше предположение?

А я говорю из личного опыта, то что в конторах не допускают эпидемии это полный бред.
Я работаю в гос конторе, где вообще нет своей техподдержки и ни когда не было - я на аутсорсинге, а севевого администратора вообще ни какого нет.
И кто извините должен предотвращать эпидемии? По контракту я вообще принтеры в розетку включать должен, а остальным я занимаюсь только для личного опыта.

[WingDog]

Я работаю в гос конторе, где вообще нет своей техподдержки и ни когда не было - я на аутсорсинге, а севевого администратора вообще ни какого нет.

то есть, говоря прямо, там нет ИТ отдела, а есть саппорт на аутсорсе?
ну я, честно скажу, представить себе такого не могу.

хотя после слова

в гос конторе

становится всё понятно.

[cmd]

Уж не админы ли там пользователи на своих компах?

[Neonaft]

Солидарен с Fuzzy_Logic
WSUS позволит отследить компьютеры на которых не стоит обновлений. Если на компьютере обновления включены, это еще не значит что они устанавливаются.
Каспер на все компы с админкой также прекратит бесконтрольное распространение вирусов, и позволит отследить его миграцию. В частности у себя я так кидо и убил

[facepalm]

http://support.kaspersky.ru/wks6mp4/all?qid=208638929