conficker - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - conficker (http://forum.oszone.net/showthread.php?t=227262)

Добрый час. Прошло уже пару лет с момента первой эпидемии этого вируса. И вот опять:

Код:

02.02.2012 16:01:17 - IMON - Интернет-монитор Инициирована программная вирусная тревога на CTR-MARKET2:  http://192.168.0.80:5397/eptpaev инфицирован модифицированный Win32/Conficker.AA червь.

02.02.2012 16:01:17 - AMON - сканер по доступу Инициирована программная вирусная тревога на CTR-MARKET2:  C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\TKE9Q3Z5\eptpaev[1].gif инфицирован модифицированный Win32/Conficker.Gen червь.

02.02.2012 16:01:18 - AMON - сканер по доступу Инициирована программная вирусная тревога на CTR-MARKET2:  C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\TKE9Q3Z5\eptpaev[1].gif инфицирован модифицированный Win32/Conficker.Gen червь.

не смотря на то, что стоят заплатки для устранения уязвимости от MS. вирус снова появляется то там то тут (12 контрллеров домена с десятка полтора winxp). прогон свежими утилитами касперского ничего не даёт - не находит. утилита kk.exe удаляет только job-ы но ничего не находит.

Привет, сделайте логи авз и rsit Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

А также лог gmer
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

Sections
IAT/EAT
Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Цитата:

Цитата foxbat

kk.exe удаляет только job-ы но ничего не находит. »

Надеюсь новой версией пользовались? Лог утилиты нужно бы прикрепить. Если запуск с ключами вас затрудняет, воспользуйтесь оболочкой для запуска консольной утилиты KidoKiller - Quick Killer 3.0 Final

вот кажется всё что просили. сервер боевой, по возможности бы сократить перезагрузки к минимуму (в процессе лечения, если что то там обнаружим)

Сбор логов с терминальной сессии не продуктивен, да и базы AVZ устарели давно.

2012-01-20 - запускали AVPTool?

192.168.0.80 - что за машина?

Активного заражения сейчас не вижу.

Цитата:

Цитата akok

Сбор логов с терминальной сессии не продуктивен, да и базы AVZ устарели давно. »

ок,
повторю из консольного сеанса

Цитата:

Цитата akok

2012-01-20 - запускали AVPTool? »

было дело

Цитата:

Цитата akok

192.168.0.80 - что за машина? »

вин хп, комп главбуха.

Цитата:

Цитата akok

Активного заражения сейчас не вижу. »

однако джобы всё время появляются на этой машине причём наиболее интенсивно по сравнению с другими машинами

обновил авз+новый лог
в процессе сканирования nod завопил

Код:

- AMON - сканер по доступу Инициирована программная вирусная тревога на STR-SERVER:  C:\WINDOWS\System32\izacf.qa инфицирован модифицированный Win32/Conficker.Gen червь.

Цитата:

не смотря на то, что стоят заплатки для устранения уязвимости от MS

Код:

Версия Windows: 5.2.3790, Service Pack 2

что-то не вяжется здесь?

Цитата:

Цитата alex_sev

что-то не вяжется здесь? »

я не знаю что именно не вяжется, на том сервере R2 SP2
стоит kb958644, 958687,957097

Поставьте все критические обновления, отключите автозапуск со съемных и сетевых дисков, смените пароли на более сложные

Цитата:

Цитата foxbat

вин хп, комп главбуха. »

Начните лечение с компа главбуха. Он сейчас пытается заразить все.