conficker

Drongo · Конфигурация компьютера

Привет, сделайте логи авз и rsit Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

А также лог gmer
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

Sections
IAT/EAT
Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Цитата foxbat:

kk.exe удаляет только job-ы но ничего не находит. »

Надеюсь новой версией пользовались? Лог утилиты нужно бы прикрепить. Если запуск с ключами вас затрудняет, воспользуйтесь оболочкой для запуска консольной утилиты KidoKiller - Quick Killer 3.0 Final

foxbat · Отправлено: **12:13, 08-02-2012** | #3

вот кажется всё что просили. сервер боевой, по возможности бы сократить перезагрузки к минимуму (в процессе лечения, если что то там обнаружим)

akok · Отправлено: **12:49, 08-02-2012** | #4

Сбор логов с терминальной сессии не продуктивен, да и базы AVZ устарели давно.

2012-01-20 - запускали AVPTool?

192.168.0.80 - что за машина?

Активного заражения сейчас не вижу.

foxbat · Отправлено: **14:00, 08-02-2012** | #5

Цитата akok:

Сбор логов с терминальной сессии не продуктивен, да и базы AVZ устарели давно. »

ок,
повторю из консольного сеанса

Цитата akok:

2012-01-20 - запускали AVPTool? »

было дело

Цитата akok:

192.168.0.80 - что за машина? »

вин хп, комп главбуха.

Цитата akok:

Активного заражения сейчас не вижу. »

однако джобы всё время появляются на этой машине причём наиболее интенсивно по сравнению с другими машинами

foxbat · Отправлено: **14:40, 08-02-2012** | #6

обновил авз+новый лог
в процессе сканирования nod завопил

Код:

- AMON - сканер по доступу Инициирована программная вирусная тревога на STR-SERVER:  C:\WINDOWS\System32\izacf.qa инфицирован модифицированный Win32/Conficker.Gen червь.

alex_sev · Конфигурация компьютера

Цитата:

не смотря на то, что стоят заплатки для устранения уязвимости от MS

Код:

Версия Windows: 5.2.3790, Service Pack 2

что-то не вяжется здесь?

foxbat · Отправлено: **15:23, 08-02-2012** | #8

Цитата alex_sev:

что-то не вяжется здесь? »

я не знаю что именно не вяжется, на том сервере R2 SP2
стоит kb958644, 958687,957097

alex_sev · Конфигурация компьютера

Поставьте все критические обновления, отключите автозапуск со съемных и сетевых дисков, смените пароли на более сложные

akok · Отправлено: **18:26, 15-02-2012** | #10

Цитата foxbat:

вин хп, комп главбуха. »

Начните лечение с компа главбуха. Он сейчас пытается заразить все.