Conficker.AA на W2K3server

**Capral55** · 24.01.2013, 09:05

Здравствуйте. Заражена система W2K3server_SP2. Наличие зверя постоянно отлавливается установленным НОДом - оттуда и название заголовка этой темы. Это подтверждается следующими сообщениями:

24.01.2013 10:26:27 — Модуль Защита в режиме реального времени —
Предупреждение об угрозе на компьютере SV1: объект
C:\WINDOWS\System32\vnmylpp.lhg заражен вирусом Win32/Conficker.AA червь.

1.При включенном планировщике заданий образуется AT... задание, плодящее процессы rundll32.exe и представленное командой: rundll32.exe vnmylpp.lhg ,zvpza с ежедневным её выполнением, примерно, каждый час.
2.Средства CureIt ,Kidokiller, НОД - беспомощны на полное удаление.
3.Заплаты MS08-067, MS08-068, MS09-001 стоят.
4.При запуске GMER сервер уходит на перезагрузку.
Надеюсь на Ваш совет. Спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 24.01.2013, 09:07

Уважаемый(ая) Capral55, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**regist** · 24.01.2013, 12:12

Capral55 надо не только эти заплатки, а все обновления виндоус поставить !

Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа обругается на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

- - - Добавлено - - -

+ логи сделаны из терминальной сессии, все логи надо делать из под локали.

+ Проведите процедуру, которая описана тут. Результат загрузки напишите в сообщении здесь.

**Capral55** · 02.02.2013, 14:02

Провёл проверку TDSSKiller - обнаружен лишь упомянутый Вами сервис sptd
Вот лог ( не нашёл, как сделать приложение файла к теме. Извините - исправлюсь ) Спасибо. Жду дальнейших рекомендаций.
18:49:25.0921 2812 TDSS rootkit removing tool 2.8.15.0 Oct 31 2012 21:47:35
18:49:27.0140 2812 ================================================== ==========
18:49:27.0140 2812 Current date / time: 2013/02/02 18:49:27.0140
18:49:27.0140 2812 SystemInfo:
18:49:27.0140 2812
18:49:27.0140 2812 OS Version: 5.2.3790 ServicePack: 2.0
18:49:27.0140 2812 Product type: Server
18:49:27.0140 2812 ComputerName: SV1
18:49:27.0140 2812 UserName: shaa
18:49:27.0140 2812 Windows directory: C:\WINDOWS
18:49:27.0140 2812 System windows directory: C:\WINDOWS
18:49:27.0140 2812 Processor architecture: Intel x86
18:49:27.0140 2812 Number of processors: 2
18:49:27.0140 2812 Page size: 0x1000
18:49:27.0140 2812 Boot type: Normal boot
18:49:27.0140 2812 ================================================== ==========
18:49:27.0359 2812 !crdlk
18:49:27.0359 2812 Drive \Device\Harddisk0\DR0 - Size: 0x5D26F00000 (372.61 Gb), SectorSize: 0x200, Cylinders: 0xBE00, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'W'
18:49:27.0375 2812 Drive \Device\Harddisk1\DR1 - Size: 0x5D26F00000 (372.61 Gb), SectorSize: 0x200, Cylinders: 0xBE00, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'W'
18:49:27.0390 2812 Drive \Device\Harddisk2\DR2 - Size: 0x5D26F00000 (372.61 Gb), SectorSize: 0x200, Cylinders: 0xBE00, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'W'
18:49:27.0406 2812 ================================================== ==========
18:49:27.0406 2812 \Device\Harddisk0\DR0:
18:49:27.0406 2812 MBR partitions:
18:49:27.0406 2812 \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0xC34F28D
18:49:27.0421 2812 \Device\Harddisk0\DR0\Partition2: MBR, Type 0x7, StartLBA 0xC34F30B, BlocksNum 0x225E4AF5
18:49:27.0421 2812 \Device\Harddisk1\DR1:
18:49:27.0421 2812 MBR partitions:
18:49:27.0421 2812 \Device\Harddisk1\DR1\Partition1: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0x2E933DC1
18:49:27.0421 2812 \Device\Harddisk2\DR2:
18:49:27.0421 2812 MBR partitions:
18:49:27.0421 2812 \Device\Harddisk2\DR2\Partition1: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0x2E933DC1
18:49:27.0421 2812 ================================================== ==========
18:49:27.0453 2812 D: <-> \Device\Harddisk1\DR1\Partition1
18:49:27.0468 2812 F: <-> \Device\Harddisk0\DR0\Partition2
18:49:27.0500 2812 C: <-> \Device\Harddisk0\DR0\Partition1
18:49:27.0546 2812 E: <-> \Device\Harddisk2\DR2\Partition1
18:49:27.0546 2812 ================================================== ==========
18:49:27.0546 2812 Initialize success
18:49:27.0546 2812 ================================================== ==========
18:49:43.0812 0244 Deinitialize success

**regist** · 02.02.2013, 15:02

Сообщение от regist

+ логи сделаны из терминальной сессии, все логи надо делать из под локали.

+ Проведите процедуру, которая описана тут. Результат загрузки напишите в сообщении здесь.

жду

**Capral55** · 04.02.2013, 04:37

Здравствуйте!
Скажу сразу, что сообщения о наличии вируса программой НОД прекратились со 02.02.2013 с 17-30 местного времени, точнее говоря было проведено только полное обновление W2K3 server.
Тем не менее, я довожу нашу переиску до логического конца и отправляю Вам результаты сегодняшней загрузки AVZ :
Результат загрузки
Файл сохранён как 130204_001625_virusinfo_files_SV1_510efdd9b7fc9.zi p
Размер файла 1255742
MD5 ea9e432348dc9fb5619cf93b66d9a38c
Файл закачан, спасибо!
И ещё вопрос - второй раз получил замечание "логи сделаны из терминальной сессии, все логи надо делать из под локали". Я их делаю не из терминальной сессии, а подключившись консолью непосредственно к серверу. Этот сервер имеет роль терминального. В чём я не прав ?
Но главное - вируса больше нет. Благодарю Вас. Будет время - пожалуйста ответьте и совместно - закроем эту тему.

**mrak74** · 04.02.2013, 08:51

Что в Вашем понимании означает

а подключившись консолью непосредственно к серверу.

?

На серверах логи необходимо делать непосредственно на сервере, управлять с его монитора, его клавиатуры, его мыши.

**Capral55** · 04.02.2013, 09:59

дЫК.....ТАК ОНО И БЫЛО.....Консоль - это переключаемые по разным серверам клава и мышь ( KLM на 16 входов )

**mrak74** · 04.02.2013, 10:08

Тогда всё правильно. Обновить бы сервер не помешало.

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

**Capral55** · 04.02.2013, 13:14

Я сделал это , скрипт прошёл без создания лога, выдав в конце : окно - Скрипт выполнен без ошибок. Окно результата:Поиск критических уязвимостей. Часто используемые уязвимости не обнаружены.

**mrak74** · 04.02.2013, 14:46

Через Windows update попробуйте.

+ Сделайте логи RSIT Нужны оба лога.

**regist** · 04.02.2013, 20:33

Сообщение от Capral55

Я их делаю не из терминальной сессии, а подключившись консолью непосредственно к серверу. Этот сервер имеет роль терминального. В чём я не прав ?

логи были сделаны из терминальной сессии RDP-Tcp#22 об этом есть соответствующее уведомление в логах.

**Capral55** · 05.02.2013, 03:50

Я обновлялся именно через Windows Update. Сделал все обновления. После этого вирус НЕ обнаруживается программой НОД. Логи RSIT могу сделать только ночью - сервер постоянно в работе.. А надо ли ? - вируса-то нет. Всё работает нормально.

- - - Добавлено - - -

Самый первый лог - да, был грех, но потом-то...
Я их делаю не из терминальной сессии, а подключившись консолью непосредственно к серверу. Этот сервер имеет роль терминального.

**mrak74** · 05.02.2013, 08:11

Сообщение от Capral55

А надо ли ? - вируса-то нет. Всё работает нормально.

Ну раз проблема исчерпана. То не надо.

**Capral55** · 05.02.2013, 14:36

Итак , враг не дремлет, и как только я расслабился он поднял свою поганую голову. Во вложениях - то, что Вы просили, Уважаемый mrak74

**regist** · 05.02.2013, 14:55

Код:

C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At978.job

эти задания вам знакомы ?

Обновите базы AVZ и сделайте новый лог virusinfo_syscheck.zip

+ Сделайте лог полного сканирования МВАМ.

**mrak74** · 05.02.2013, 14:59

+

C:\tsshutdown.bat

Вам знаком ? Установите http://www.microsoft.com/ru-ru/downl...s.aspx?id=6676

**Capral55** · 06.02.2013, 05:49

Сообщение от regist

Код:

C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At978.job

эти задания вам знакомы ?

Обновите базы AVZ и сделайте новый лог virusinfo_syscheck.zip

+ Сделайте лог полного сканирования МВАМ.

Да, только в назначенных всегда одно, в дан.случае AT978, причём цифра меняется, в тек момент их два 997 и 996. Если удалишь - появится новое 998. Они образуются , когда НОД фиксирует наличие вируса.

Запустил MBAM во время работы сервера с пользователями - сервер завис, пришлось перегружать.

[

**mrak74** · 06.02.2013, 09:07

Задания продолжают появляться ?

**Capral55** · 06.02.2013, 09:18

Пока нет в течение , около 4-х часов....Активности вируса также не фиксируется НОДом, хотя в " рабочем" состоянии это происходило каждые 48мин.

Conficker.AA на W2K3server (заявка № 130904)

Опции темы

Conficker.AA на W2K3server

Это понравилось:

Это понравилось:

продолжение Conficker на W2K3server

Похожие темы

И снова он-Conficker.AA и новый Conficker.AE

Conficker.Net

Conficker.X & Conficker.AA на Windows 2000 server

Conficker.

Conficker.AA

Метки для этой темы

Ваши права в разделе