[Oleg Krylov]

Вы пройдите по ссылкам указанным в предыдущем посте, на Security Focus рекомендуют установить заплатку KB958644

[sec1or]

Установка пакета не помогла....

[dema777]

Привет всем, в общем такая проблема рабочая сетка на около 100 компов, на половине стоит ХР на половине 2000 и сервер 2000 и два 2003 короче прихожу после праздников на работу смотрею антивирь не обновлялся 10 дней, сам не понел почему такой глюк случился но в общем перезапустил сервак обновился и понеслось на всех компах прилитело пару вирусов с одним поборолся антивирь, а вот с этим W32.Downadup.B (Symantec) только справился на ХР ( И то в ручную антивирь его находит в двух местах в одном удоляет во втором сам ручка и заплатка 958644 но она только реально работает на Хр) а вот на W2K не может, получаеться выскакивает первое сообшение автоматической
Осмотр: Автоматическая защита
Событие: Обнаружена угроза!
Угроза: W32.Downadup.B
Файл: D:\WINNT\system32\jpmrdxah.w
Путь: D:\WINNT\system32
Действие: Исправить не удалось : Изолировать не удалось : Доступ закрыт
Дата обнаружения: 13 января 2009 г. 12:46:14
и потом второе через несколько минут
Осмотр: Автоматическая защита
Событие: Обнаружена угроза!
Угроза: W32.Downadup.B
Файл: D:\WINNT\system32\jpmrdxah.w
Путь: D:\WINNT\system32
Действие: Исправить не удалось : Изолировать не удалось : Удалит удалось ; Доступ закрыт
Дата обнаружения: 13 января 2009 г. 12:47:20

И это повторяеться переодически на самом компе больше нет вируса , он думаю через сетку прилетает сканировал компы разными антивирами, результат нулевой и такая проблема только с W2K скачал заплатки для этого дела они не помогаю все что нашел в инете перепробовал но ничего не помогло, может кто сталкивался с таким поделитесь, я весь роздел смотреть не стал но в поиске раздела посмотрел об таком вирусе не кто не создовал такую тему. Весь день провоевал пол сетки работает вроде нормально а на 2000 так и выскакивает сообщения, но что для меня пока не понятно не на всех а так на одних и техже, за ночь посмотрю что будет утром отпишусь

[sec1or]

я думаю что это оно http://www.viruslist.com/ru/viruses/...rusid=21782725
а вши предположения ?

[sec1or]

вот еще http://okrylov.wordpress.com/2009/01...руют/#more-101 надеюсь скоро решим

[Oleg Krylov]

Цитата sec1or:

Установка пакета не помогла.... »

Она сама по себе и не могла помочь.... Она должна предотвратить распространение. А лечить стандартными методами. Т.к. вирус блокирует некоторые службы и модифицирует некоторые библиотеки в памяти, лучше использовать LiveCD или безопасный режим. Используйте средство удаления от Symantec для удаления гада.

[sec1or]

да уже качнул завтра буду сканить и бахать бахать и сканить

[Pojidaev]

Ну вот и еще один день прошел в борьбе ....
Стало еще немного легче, патч от MS и Symantec антивир ситуацию исправляют, во всяком случае не допускают повторного заражения рабочих станций и серверов. Что касается вышедшей вчера утилиты от Symantec, то для сети она помогает слабо, т.к. только чистит комп никак его не защищая от повторного заражения, а оно происходит практически сразу.
Вот бы какие-нибудь рекомендации о том как определить с каких станций сети идет атака услышать....

[Oleg Krylov]

Анализ Security Log на контроллере. Именно с них идет аудит отказов

[dema777]

Доброе утро.
Пришел на работу и вот что увидел, один сервак 2003 чист второй
Осмотр: Автоматическая защита
Событие: Обнаружена угроза!
Угроза: W32.Downadup.B
Файл: C:\WINDOWS\System32\cluuhfl.sg
Путь: C:\WINDOWS\System32
Компьютер: SQLSERVER
Пользователь: Yakupov
Действие: Исправить не удалось : Изолировать не удалось : Удалить удалось : Доступ закрыт
Дата обнаружения: 14 января 2009 г. 17:05:43

заплатка стоит все вроде нормально, до этого сутки не было сообщений, и еще я вчера заметил на 2000 серваке постоянно выскакивало сообщение имя компа нормальное а вот пользователя нет я удалил из списка пользователя вроде прошло 12 часов не обного сообщения нет, получаеться этот вирус взял на себя права пользователя и от его имени разсылаеться, хотя в сетки такой комп есть он чистый, просто посмотрел на счет заплатки если не ошибаюсь то для ХР она вроде от 31 декабря 2008 вир появился примерно в это же время а вот для 2000 от 22 октября скорее всего из-за старости заплатки она не помогает 2000, буду воевать дальше, но сеть реально лучше работать стала, будет что новое напишу