|
Не могу победить Win32.HLLW.Autoruner.5555
Доброго, Уважаемые Форумчане! На протяжении вот уже двух недель веду ожесточенные бои с небезизвестным Kido (мод Win32.HLLW.Autoruner.5555). Обнаружил огромный трафик в сети и периодическое отваливание серваков. Один из серваков прогнал KK, нашлось около полусотни заданий в деспетчере задач и пара зараженных файлов. Перелопатил кучу форумов - везде все советы сводятся к одному: установить обновления MS08-067, MS08-068 и MS09-001, затем прогнать КК. Все 19 серверов пролил полностью, КК прогонял в безопасном, а сверху еще доктором вебом. На следующий день снова прогоняю КК - опять задания находит. До января сего года стоял корпоративный Касперский, сейчас Доктор Веб, который благополучно ничего не видит. Все усложняется тем, что инфраструктура довольно сложная: 19 серваков (3 железки на Win2k3 x86, остальные виртуалки Win2k8R2 на ESXi) и порядка 250 клиентов на WinXPSP3. Кроме того, учреждение работает фактически круглосуточно остановить процесс никак нельзя.
Может кто сталкивался? Подскажите, как в этих условиях забороть эту заразу. |
Самый верный результат будет когда изолируете каждый сервер и пролечите и нужно обнаружить зараженную точку (скорее всего клиентский комп) откуда лезет зараза. Думаю что придется останавливать процесс работы иначе будем ходить по кругу.
Пока сделайте логи хотя бы с одной машины. Выложите логи в соответствии с этими инструкциями. |
Добавлю полезную тему
Как удалить Net-Worm.Win32.Kido (Conficker) особенно уделите внимание третьему посту. |
Вложений: 1
В прикрепленном архиве 4 файла: 2.тхт - лог КК, три другие - AVZ
|
В папке АВЗ - LOG есть зип-архивы вот они и нужны. Смотрите внимательно правила.
|
Итак, проблему фактически удалось решить. Доменной политикой разлил скрипт, который при входе пользователя запускает KK.exe в режиме монитора с доп.параметрами:
Код:
c:\kk.exe -j -t -a -z -x -m -s |
| Время: 12:26. |
Время: 12:26.
© OSzone.net 2001-