Уважаемые спецы! помогите, пожалуйста! на компе с win2003 server засела многожественная зараза, которую трудно убить окончательно. Стоит винда 2003 sp1 и ad...Симптоматика такая - периодически блокируются все учетные записи, большое количество левой службы rundll32.exe в диспетчере задач, и общие непонятные тормоза системы...
Последний раз редактировалось don_vito; 11.03.2009 в 14:07.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Ставьте надежный пароль на учетную запись Администратора.
Устанавливайте обновления безопасности на Windows.
Включайте аудит отказов входа в систему и смотрте с каких компьютеров червь пароли подбирает.
Очень похоже на Kido.
- Завершите все процессы rundll32.exe.
- Остановите службу Планировщик задач, удалите из C:\WINDOWS\Tasks левые задания на запуск червя (rundll32.exe C:\WINDOWS\System32\имя_файла). Заодно посмотрите в них имя файла червяка, его видно в FAR.
- Прибейте зверушку Kidokiller-om. Он и реестр сразу чистит.
- установите нужные три патча - MS08-067, MS08-068, MS09-001.
- Смотрите сниффером или в аудите, кто подбирает пароли и ещё с чьими логинами происходят удачные попытки заливки вышеупомянутого троянского файла, его имя будет постоянным. Этим админам поменять пароли на нормальные, вместо 12345 и т.п.
В стартовые скрипты всем компьютерам в домене поставить утилиту убиения червей - MRT. MRT с каждого компьютера пусть ложит логи на доменный контроллер, иногда эти логи очень полезны.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: