Conficker.AA на W2K3server

Здравствуйте. Заражена система W2K3server_SP2. Наличие зверя постоянно отлавливается установленным НОДом - оттуда и название заголовка этой темы. Это подтверждается следующими сообщениями:

24.01.2013 10:26:27 — Модуль Защита в режиме реального времени —
Предупреждение об угрозе на компьютере SV1: объект
C:\WINDOWS\System32\vnmylpp.lhg заражен вирусом Win32/Conficker.AA червь.

1.При включенном планировщике заданий образуется AT... задание, плодящее процессы rundll32.exe и представленное командой: rundll32.exe vnmylpp.lhg ,zvpza с ежедневным её выполнением, примерно, каждый час.
2.Средства CureIt ,Kidokiller, НОД - беспомощны на полное удаление.
3.Заплаты [URL="http://technet.microsoft.com/ru-ru/security/bulletin/ms08-067"][B][I]MS08-067[/I][/B][/URL], [URL="http://technet.microsoft.com/ru-ru/security/bulletin/ms08-068"][B][I]MS08-068[/I][/B][/URL], [URL="http://technet.microsoft.com/ru-ru/security/bulletin/ms09-001"][B][I]MS09-001[/I][/B][/URL] стоят.
4.При запуске GMER сервер уходит на перезагрузку.
Надеюсь на Ваш совет. Спасибо.

Уважаемый(ая) [B]Capral55[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Capral55 надо не только эти заплатки, а все обновления виндоус поставить !

Скачайте, распакуйте и запустите TDSSKiller:
[url]http://support.kaspersky.ru/faq/?qid=208636926[/url]
Если программа обругается на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

+ логи сделаны из терминальной сессии, все логи надо делать из под локали.


+ Проведите процедуру, которая описана [url=http://virusinfo.info/content.php?r=125-page-uploadclean][B]тут[/B][/url]. Результат загрузки напишите в сообщении здесь.

Провёл проверку TDSSKiller - обнаружен лишь упомянутый Вами сервис sptd
Вот лог ( не нашёл, как сделать приложение файла к теме. Извините - исправлюсь ) Спасибо. Жду дальнейших рекомендаций.
18:49:25.0921 2812 TDSS rootkit removing tool 2.8.15.0 Oct 31 2012 21:47:35
18:49:27.0140 2812 ============================================================
18:49:27.0140 2812 Current date / time: 2013/02/02 18:49:27.0140
18:49:27.0140 2812 SystemInfo:
18:49:27.0140 2812
18:49:27.0140 2812 OS Version: 5.2.3790 ServicePack: 2.0
18:49:27.0140 2812 Product type: Server
18:49:27.0140 2812 ComputerName: SV1
18:49:27.0140 2812 UserName: shaa
18:49:27.0140 2812 Windows directory: C:\WINDOWS
18:49:27.0140 2812 System windows directory: C:\WINDOWS
18:49:27.0140 2812 Processor architecture: Intel x86
18:49:27.0140 2812 Number of processors: 2
18:49:27.0140 2812 Page size: 0x1000
18:49:27.0140 2812 Boot type: Normal boot
18:49:27.0140 2812 ============================================================
18:49:27.0359 2812 !crdlk
18:49:27.0359 2812 Drive \Device\Harddisk0\DR0 - Size: 0x5D26F00000 (372.61 Gb), SectorSize: 0x200, Cylinders: 0xBE00, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'W'
18:49:27.0375 2812 Drive \Device\Harddisk1\DR1 - Size: 0x5D26F00000 (372.61 Gb), SectorSize: 0x200, Cylinders: 0xBE00, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'W'
18:49:27.0390 2812 Drive \Device\Harddisk2\DR2 - Size: 0x5D26F00000 (372.61 Gb), SectorSize: 0x200, Cylinders: 0xBE00, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'W'
18:49:27.0406 2812 ============================================================
18:49:27.0406 2812 \Device\Harddisk0\DR0:
18:49:27.0406 2812 MBR partitions:
18:49:27.0406 2812 \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0xC34F28D
18:49:27.0421 2812 \Device\Harddisk0\DR0\Partition2: MBR, Type 0x7, StartLBA 0xC34F30B, BlocksNum 0x225E4AF5
18:49:27.0421 2812 \Device\Harddisk1\DR1:
18:49:27.0421 2812 MBR partitions:
18:49:27.0421 2812 \Device\Harddisk1\DR1\Partition1: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0x2E933DC1
18:49:27.0421 2812 \Device\Harddisk2\DR2:
18:49:27.0421 2812 MBR partitions:
18:49:27.0421 2812 \Device\Harddisk2\DR2\Partition1: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0x2E933DC1
18:49:27.0421 2812 ============================================================
18:49:27.0453 2812 D: <-> \Device\Harddisk1\DR1\Partition1
18:49:27.0468 2812 F: <-> \Device\Harddisk0\DR0\Partition2
18:49:27.0500 2812 C: <-> \Device\Harddisk0\DR0\Partition1
18:49:27.0546 2812 E: <-> \Device\Harddisk2\DR2\Partition1
18:49:27.0546 2812 ============================================================
18:49:27.0546 2812 Initialize success
18:49:27.0546 2812 ============================================================
18:49:43.0812 0244 Deinitialize success

[quote="regist;963057"]+ логи сделаны из терминальной сессии, все логи надо делать из под локали.

+ Проведите процедуру, которая описана [url=http://virusinfo.info/content.php?r=125-page-uploadclean][b]тут[/b][/url]. Результат загрузки напишите в сообщении здесь.[/quote]
жду ;)

Здравствуйте!
Скажу сразу, что сообщения о наличии вируса программой НОД прекратились со 02.02.2013 с 17-30 местного времени, точнее говоря было проведено только полное обновление W2K3 server.
Тем не менее, я довожу нашу переиску до логического конца и отправляю Вам результаты сегодняшней загрузки AVZ :
Результат загрузки
Файл сохранён как 130204_001625_virusinfo_files_SV1_510efdd9b7fc9.zip
Размер файла 1255742
MD5 ea9e432348dc9fb5619cf93b66d9a38c
Файл закачан, спасибо!
И ещё вопрос - второй раз получил замечание "логи сделаны из терминальной сессии, все логи надо делать из под локали". Я их делаю не из терминальной сессии, а подключившись консолью непосредственно к серверу. Этот сервер имеет роль терминального. В чём я не прав ?
Но главное - вируса больше нет. Благодарю Вас. Будет время - пожалуйста ответьте и совместно - закроем эту тему.

Что в Вашем понимании означает [QUOTE]а подключившись консолью непосредственно к серверу.[/QUOTE]?

На серверах логи необходимо делать непосредственно на сервере, управлять с его монитора, его клавиатуры, его мыши.

дЫК.....ТАК ОНО И БЫЛО.....Консоль - это переключаемые по разным серверам клава и мышь ( KLM на 16 входов )
:O

Тогда всё правильно. Обновить бы сервер не помешало.

- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"][B]ScanVuln.txt[/B][/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Я сделал это , скрипт прошёл без создания лога, выдав в конце : окно - Скрипт выполнен без ошибок. Окно результата:Поиск критических уязвимостей. Часто используемые уязвимости не обнаружены.

Через Windows update попробуйте.

+ Сделайте логи [URL="http://virusinfo.info/showthread.php?t=115256&p=859292#post859292"][B]RSIT[/B][/URL] Нужны оба лога.

[quote="Capral55;968141"]Я их делаю не из терминальной сессии, а подключившись консолью непосредственно к серверу. Этот сервер имеет роль терминального. В чём я не прав ?[/quote]
логи были сделаны из терминальной сессии RDP-Tcp#22 об этом есть соответствующее уведомление в логах.

Я обновлялся именно через Windows Update. Сделал все обновления. После этого вирус НЕ обнаруживается программой НОД. Логи RSIT могу сделать только ночью - сервер постоянно в работе.. А надо ли ? - вируса-то нет. Всё работает нормально.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Самый первый лог - да, был грех, но потом-то...
Я их делаю не из терминальной сессии, а подключившись консолью непосредственно к серверу. Этот сервер имеет роль терминального.

[quote="Capral55;968554"]А надо ли ? - вируса-то нет. Всё работает нормально.[/quote]
Ну раз проблема исчерпана. То не надо.

Итак , враг не дремлет, и как только я расслабился он поднял свою поганую голову. Во вложениях - то, что Вы просили, Уважаемый mrak74

[CODE]C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At978.job[/CODE]

эти задания вам знакомы ?

Обновите базы AVZ и сделайте новый лог virusinfo_syscheck.zip

+ Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]

+ [QUOTE]C:\tsshutdown.bat[/QUOTE] Вам знаком ? Установите [url]http://www.microsoft.com/ru-ru/download/details.aspx?id=6676[/url]

[QUOTE=regist;968680][CODE]C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At978.job[/CODE]

эти задания вам знакомы ?


Обновите базы AVZ и сделайте новый лог virusinfo_syscheck.zip

+ Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url][/QUOTE]

Да, только в назначенных всегда одно, в дан.случае AT978, причём цифра меняется, в тек момент их два 997 и 996. Если удалишь - появится новое 998. Они образуются , когда НОД фиксирует наличие вируса.

Запустил MBAM во время работы сервера с пользователями - сервер завис, пришлось перегружать.

[

Задания продолжают появляться ?

Пока нет в течение , около 4-х часов....Активности вируса также не фиксируется НОДом, хотя в " рабочем" состоянии это происходило каждые 48мин.