Genome.vgpo
 

Здравствуйте! Я в панике. У меня сеть примерно 50 пк,домен. На всех пк каспер,обновляется каждый день. Сегодня началась пляска. На всех пк выскакивает троян Genome.vgpo, причём имя файла заразы всегда разное. Я даже не знаю что делать. Касперские его рубит,перезагружает комп,потом через час полтора,опять выскакивает. С чего вообще начать? Как избавиться от гадости?! Очень нужна помощь!!!

Появляется в расшаренных ресурсах?

Нет на каждом пк локально C:\windows\System32 В интернете вообще инфы о нем нет!
Я реально в панике!

Вот только опять вылез
23.08.2012 15:57:45 C:\Windows\System32\baqkm.wn обнаружено: троянская программа 'Trojan.Win32.Genome.vgpo'
Каспер его сразу бахнул,но не на долго!(((

Обновления на локальных системах все установлены? Пароли сложные?

угу,я пока не могу понять принцып его работы! Сейчас сканю заражённцю машину Malwarebytes

Чрезвычайно похоже на внедрение в систему Kido
Обновления для системы все установлены?

СТавил все! Так делать что?
Логи контроллера домена выложить?

Логи давайте.

Скажите логи машины или контроллера домена? .vgpo может говорит о групп политиках?

зараженной машины давайте..

4-5 раз за день вылетает.

не могу загрузить логи avz. Сссылки с файлопомойки.
http://narod.ru/disk/59910184001.779...check.zip.html
http://narod.ru/disk/59910234001.4c2...scure.zip.html

Точно KIDO.

Ознакомьтесь, выполните:

http://safezone.cc/forum/showthread.php?t=491

Затем:

1. Загрузите GMER по одной из указанных ссылок:
   Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
2. Временно отключите драйверы эмуляторов дисков.
3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
4. Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
5. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
   
   • Sections
   • IAT/EAT
   • Show all
6. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
7. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
8. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

9. Подробную инструкцию читайте в руководстве

Так это на всех машинах и серверах надо сделать? Не получится,что на одной машине пролечу,потом на вторую пойду,а на первой он опять появится?))

kk утилитой прогонял,ничего не обнаружено!(

Обновления ставить и пароли менять это на всех машинах и по-очереди лечить то же.

Есть утилита CureNet от DrWeba, для сетевого лечения, но она платная.

Логи сделайте

Вот лог после GMER.

Это пока на одном пк! Вы не ответили "Не получится,что на одной машине пролечу,потом на вторую пойду,а на первой он опять появится?"

Если будут установлены ВСЕ обновления от Microsoft и уязвимых программ - таких как Java, FlashPlayer. Сменены пароли на сложные, вроде hfgKLH*76!~G пользователи будут работать под ограниченными учетками - то не появится.

Кстати сейчас нашел для Вас триальный сетевой сканер - попробуйте запросить http://www.sophos.com/en-us/products.../download.aspx

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится yhyyiqsr.exe случайное имя утилиты (gmer)
И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

Опять вылез,новый лог!

• Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
• Прикрепите файл к следующему сообщению.

Подробнее читайте в руководстве.

сделано!

Еще есть вопросы?

(UAC is disabled!)
Out of date service pack!!
Internet Explorer 8. Out of date!
Java version out of Date!
Adobe Reader out of Date!

Обновляйтесь или тема будет закрыта

Я с радостью,но у меня доменная сеть и прокси с авторизацией,с обновлениями пока проблема! Ничего нельзя сделать?

Нет, через незакрытые уязвимости червь будет возвращаться вновь и вновь

а конкретно какие обновления,я скачал wsusoffline поставлю на ночь?

Конкретно без образца Вам никто не скажет. Если только искать в Google по хэшу .

ладно,поставлю все,которые предложатся! Отпишу! Вот пакость поймали! (

Поставил все обновления,Java с офф сайта последняя. Вот логи.

В этих логах ничего подозрительного

Пока подождать? Вдруг появится! Тему пока не прикрывайте!) Спасибо за терпение!

Опять стал вызазить,что делать? Какие логи скинуть?

AVZ + RSIT + GMER + XueTr

Есть!

Остальные говорит привышен трафик! Залил на помойку
http://narod.ru/disk/60173029001.94b...d/log.rar.html
http://narod.ru/disk/60173068001.525...check.zip.html
http://narod.ru/disk/60173092001.8c0...scure.zip.html
http://narod.ru/disk/60173116001.9a6...xuetr.rar.html

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
   Код:

   ---

   tdsskiller.exe -silent -qmbr -qboot

   ---

3. Запустите файл fix.bat;
4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
6. Запустите файл TDSSKiller.exe;
7. Нажмите кнопку "Начать проверку";
8. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
13. Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

проверил,отправил. После проверки ничего не найдено.(
http://narod.ru/disk/60204295001.3f7...6_log.rar.html

Только выскочил! Вот скрин.
http://narod.ru/disk/60205051001.c5c...D0%B9.jpg.html

Лечить нужно всю сеть + Вам, как администратору, налаживать защиту всей сети
При дырах в безопасности не спасет ни один антивирус

Вот это помощь!!! Т.е. моя проблема останется? Ну посоветуйте методы лечения всей сети,я как неопытный администратор не пойму как убить заразу!

Обновления коснулись только машин в домене? Или сервер тоже обновлялся?
+ Какие права у юзеров?
+ Общие шары?
+ Сложность пароля администратора?

Сервер пока не обновил,права у почти всех зарезанные,есть файловый сервер (на dc, в процессе переноса на отдельный сервер), сложность пароля администраторы высокая 10 символов из всяких краакозябрр! Посоветуйте нормальную сетевую лечилку,kk.exe. от касперского ничего не ловит,сейчас прогоняю Sophos Network Security Scan, но он некоторые компьютеры не может найти,прогоняю через AD.

Dr.Web CureNet лицензия на 50 компьютеров на 10 дней - 1960 р

Ну так стоит оно того или так как касперский,удалит и потом снова! Тут же нет триала проверить?!

Эм, давайте сначала на все компьютеры сети поставим обновления, а затем уже начнем. Думать дальше. При этом обновления надо ставить не только на систему но и на софт. Java. Flash и тд. Если на каких-то компах не нужна ни Java ни Flash - то удаляйте.
Отключите автозапуск с флешек и с жестких дисков.

Ознакомьтесь с этой статьей

Подготовьте еще такие логи, может что увидим:
Раз
Два

sahaha, вот похожая тема
Обратите внимание - в ней тоже говорится об обновлениях против Кидо. От Вас же пока больше слов, чем полезных действий

как же нет действия,я выполняю всё что говорите! Обновить все машины проблемно,wsus не настроен,а каждую машину по отдельности обновить надо время! Одну я обновил полностью,все рек выполнил,а он лезит,через что?!

На время лечения от Kido рекомендуется сеть полностью отключать и лечить машины постепенно

через уязвимости операционки.. Без обнов тему закроем

Обновляю потихоньку,много компов!

Не закрывайте пока тему!

Здравствуйте! Обновление небыстро,но идёт! Нарыл тему http://social.technet.microsoft.com/...-42ed1ed24bea/, а иминно

"Когда учетка блокируется - то на КД, где произошла блокировка и на PDC-эмуляторе регистрируется событие в журнале Security с ID 644, где содержится и информация о компьютере с которого была вызвана блокировка"

Нашёл я этот компьютер,прогнал kk.exe, он нашёл троянов,удалил,но он появляется (на других пк kk.exe вообще ничего не находил), может я что-то недочистил на этом пк. Обновить не получится,на нём стоит китайская приблуда NComputing тонкие клиенты,они работают только с sp2 и с обновлениями глючат!((((( Касперский стоял,но висла система постоянно,удалил и всё работало отлично! Не пинайте сразу,а подскажите,может его аккуратненько почистить от кидо,а остальные обновлю! Спасибо за терпение!
И ещё,после того как я прогнал kk.exe на всех компах он стал выскакивать чаще!( Чувствует гад!)

Это, конечно, полдела, но все же обновляться необходимо
у вас непростой случай.. 50пк со старыми операционками и с какими-то тонкими клиентами.. Сожрет вас кидо

Поставьте заплатки на sp2
MS08-067
MS08-068
MS09-001

или скачайте из моего вложения

+

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

кидо-это сетевой червь..сейчас заплатками заткнете основные дыры..а также
отключите автозапуск программ с различных носителей, кроме CDROM. Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:
Если пользовались съемными носителями-пролечите их, наверняка заражены

Логи гмер

Следов кидо в логе не видно.

Нашёл 4 компьютера в сети,которые подбирают пароли,в логе контроллера домена. Что посоветуете,сразу на всех запустить kk.exe?

уже говорилось...