[iskander-k]

Самый верный результат будет когда изолируете каждый сервер и пролечите и нужно обнаружить зараженную точку (скорее всего клиентский комп) откуда лезет зараза. Думаю что придется останавливать процесс работы иначе будем ходить по кругу.

Пока сделайте логи хотя бы с одной машины.



Выложите логи в соответствии с этими инструкциями.

[akok]

Добавлю полезную тему

Как удалить Net-Worm.Win32.Kido (Conficker) особенно уделите внимание третьему посту.

[СаркозаН]

В прикрепленном архиве 4 файла: 2.тхт - лог КК, три другие - AVZ

[iskander-k]

В папке АВЗ - LOG есть зип-архивы вот они и нужны. Смотрите внимательно правила.

[СаркозаН]

Итак, проблему фактически удалось решить. Доменной политикой разлил скрипт, который при входе пользователя запускает KK.exe в режиме монитора с доп.параметрами:

Код:

c:\kk.exe -j -t -a -z -x -m -s

Выполнил вход на всех серверах и неразлогинивал их какое-то время. Это позволило остановить распространение вируса. Для его уничтожения просил пользователей не отключать компы, и провел полную проверку на вирусы всех компов. Безусловно, полностью из сети выжить эту гадость не удалось, но эпидемию остановил. Так же жестко настроил брандмауэры на серверах по принципу "Что не разрешено, то запрещено". И вроде все в норме, изредка Веб его добивает на пользовательских ПК. В общем закрываю тему.