Ситуация такова - по сети гуляет сие чудо. на компах стоят все обновы от M$. эпизодически в процессах появляются процессы rundll с указанием имени файла из набора букв. инфицирования не происходит, но процессы остаются висеть в памяти.
установлено DrWeb ES 4.44, брендмауэры на компах выключены
на 2003 и 2000 серверах такого не происходит - только на XP.
кто скажет - как бороться?
P.S. сеть на 70 компов + удаленные филиалы ~800 компов. все связано именно как сеть. несколько доменов АД. снаружи не лезет - cisco не пропустит. лезет скорее всего изнутри, но (!) - сканирование компов ничего не показывает - ни недоступных процессов, ни инфицированных файлов - НИЧЕГО... только Spider эпизодически кричит что какой-то комп инфицирован - удаляет следы инжектов. на моем лично компе - появляются процессы rundll32.exe nxdmuecq.zzj,zkdzcmd (имя всегда разное), процесс тупо висит в памяти, такого файла в системе нет, проверка сканером 4.44 и CureIt 5.0 самым свежим ничего не находит. Включен планировщик - задач не появляется.
я правда еще грешу на VMWare 6.0.4 build 93057 - может ли через нее пробовать ползти зараза?
P.P.S. виртуальных систем в VMWare не запущено, если и запускаются - то CentOS 5.5 или OpenSuse 11
согласно рекомендациям сделано - проверка AVZ, сбор HJackThis, логи прилагаются.
так же выложена инфо (получено через FAR) по создаваемому процессу rundll32.exe
так как форум не позволяет менять свои же сообщения и добавлять/удалять вложения - добавляю файлы в отдельном посте
Последний раз редактировалось Rene-gad; 02.02.2009 в 11:17.
А все так хорошо начиналось...
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
После лечения и фиксов комп умер. причем умер странно - при включении ActiveDesktop, входе в панель управления виснет глухо, исчезает рабочий стол. Под другой учеткой работает до тех пор, пока не включается active desktop.
решение было принято кардинальное - переустановка системы, т.к. двое суток с тупым компом мне работать нельзя было.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: