Заражена сеть. превратилась в ботнет. никто не знает как лечить. [Backdoor.Win32.Tiny.dc ]

Добрый день
есть сеть, порядка 100 серверов. Операционные системы от windows XP до Windows 12 всех редакций.
Установлено антивирусное ПО Symantec Endpoint.
В один прекрасный момент заметил что заражена вся сеть. Симптомов внешне нет. Заметил когда на одном сервере рухнула служба брандмауера, полез в службы и увидел там хаос.
После анализа всего понял следующее вирус запускается от имени пользователя или админа (всегда по разному) распространяет себя по локальной сети через DCOM процессы. Создает файл со случайным именем в C:\windows и создает службы со случайными именами, которые ссылаются на этот файл. После выполнения этот файл удаляют. После этого система внешне чистая, кроме списка служб.
После заражения процесс svchost.exe лезет в интернет на сеть 85.93.5.0/24 (80 порт) и шлет туда пакеты по 1 кбайт, так же начинает себя распространять по сети на остальные сервера.
Удаление/переименование файла svchost.exe ничего не дает, система его восстанавливает и он продолжает дальше лезть на внешний ИП.
Пробовал восстанавливать системные файлы с дистрибутива операционки. Эффект тот же самый.
На cisco запретил конекты на эту сеть, но он пытается постоянно отправить туда пакеты.
Симантек отказывается признавать это вирусом и единственная рекомендация это блокировать трафик.
Информация о файле на вирустотал (на который ссылаются службы)
[url]https://www.virustotal.com/ru/file/7f907a7b8a563cbd98155f5af3b2b1b727d4ae523b69a6876886374c4307fa51/analysis/[/url]
Все логи готов предоставить, очень нужна помощь.
p.s. большинство антивирусов его не видит. даже в безопасном режиме.

Уважаемый(ая) [B]norlest[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Прислать вредоноса можете?

+ Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]

Могу прислать файл на который ссылаются службы. восстановил из бэкапа. куда слать?
Завтра запущу сканирование.

[quote="norlest;1324205"]куда слать?[/quote]Заархивируйте с паролем virus и пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.

прикрепил. как я и говорил сканирование ничего не дало, он не видит его
Malwarebytes Anti-Malware
[url]www.malwarebytes.org[/url]

Дата проверки: 21.10.2015
Время проверки: 14:30
Файл журнала: scan-pdc.txt
Администратор: Да

Версия: 2.2.0.1024
База данных вредоносных программ: v2015.10.21.03
База данных руткитов: v2015.10.16.01
Лицензия: Ознакомительная версия
Защита от вредоносных программ: Включено
Защита от вредоносных веб-сайтов: Включено
Самозащита: Выключено

ОС: Windows Server 2008 R2 Service Pack 1
Процессор: x64
Файловая система: NTFS
Пользователь: mike

Тип проверки: Выборочная проверка
Результат: Завершено
Проверено объектов: 777385
Затраченное время: 1 ч, 59 мин, 39 с

Память: Включено
Автозагрузка: Включено
Файловая система: Включено
Архивы: Включено
Руткиты: Включено
Эвристика: Включено
PUP: Включено
PUM: Включено

Процессы: 0
(Вредоносные программы не обнаружены)

Модули: 0
(Вредоносные программы не обнаружены)

Разделы реестра: 0
(Вредоносные программы не обнаружены)

Значения реестра: 0
(Вредоносные программы не обнаружены)

Данные реестра: 0
(Вредоносные программы не обнаружены)

Папки: 0
(Вредоносные программы не обнаружены)

Файлы: 0
(Вредоносные программы не обнаружены)

Физические сектора: 0
(Вредоносные программы не обнаружены)


(end)



Кусок лога циски

cisco#sh log | i 85.93.5
Oct 21 11:28:31: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.16(58374) -> 85.93.5.88(80), 1 packet
Oct 21 11:28:33: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.33(61426) -> 85.93.5.88(80), 1 packet
Oct 21 11:28:57: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.14(57730) -> 85.93.5.88(80), 1 packet
Oct 21 11:30:27: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.5(61908) -> 85.93.5.88(80), 1 packet
Oct 21 11:31:42: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.70(52328) -> 85.93.5.88(80), 1 packet
Oct 21 11:31:47: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.105(1907) -> 85.93.5.88(80), 1 packet
Oct 21 11:32:01: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.201(51369) -> 85.93.5.88(80), 1 packet
Oct 21 11:33:40: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.65(56911) -> 85.93.5.88(80), 1 packet
Oct 21 11:33:54: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.30(52141) -> 85.93.5.88(80), 1 packet
Oct 21 11:34:21: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.81(18990) -> 85.93.5.88(80), 1 packet
Oct 21 11:34:24: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.6(6791) -> 85.93.5.88(80), 1 packet
Oct 21 11:34:38: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.15(61050) -> 85.93.5.88(80), 1 packet
Oct 21 11:34:41: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.25(49206) -> 85.93.5.88(80), 1 packet
Oct 21 11:34:52: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.46(56707) -> 85.93.5.88(80), 1 packet
Oct 21 11:36:29: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.68(53466) -> 85.93.5.88(80), 1 packet
Oct 21 11:36:51: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.102(1150) -> 85.93.5.88(80), 1 packet
Oct 21 11:37:02: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.34(57897) -> 85.93.5.88(80), 1 packet
Oct 21 11:37:06: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.52(1286) -> 85.93.5.88(80), 1 packet
Oct 21 11:38:34: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.168(52074) -> 85.93.5.88(80), 1 packet
Oct 21 11:38:42: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.218(4403) -> 85.93.5.88(80), 1 packet
Oct 21 11:38:55: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.207(3720) -> 85.93.5.88(80), 1 packet
Oct 21 11:39:23: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.49(52516) -> 85.93.5.88(80), 1 packet
Oct 21 11:39:51: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.215(3880) -> 85.93.5.88(80), 1 packet
Oct 21 11:40:23: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.192(63604) -> 85.93.5.88(80), 1 packet
Oct 21 11:40:26: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.232(1089) -> 85.93.5.88(80), 1 packet
Oct 21 11:40:41: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.205(58335) -> 85.93.5.88(80), 1 packet
Oct 21 11:41:58: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.27(59403) -> 85.93.5.88(80), 1 packet
Oct 21 11:42:04: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.47(60745) -> 85.93.5.88(80), 1 packet
Oct 21 11:42:12: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.16(58398) -> 85.93.5.88(80), 1 packet
Oct 21 11:42:32: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.42(50288) -> 85.93.5.88(80), 1 packet
Oct 21 11:42:34: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.47(60745) -> 85.93.5.88(80), 1 packet
Oct 21 11:42:55: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.33(61447) -> 85.93.5.88(80), 1 packet
Oct 21 11:43:31: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.14(57885) -> 85.93.5.88(80), 1 packet
Oct 21 11:45:05: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.5(62022) -> 85.93.5.88(80), 1 packet
Oct 21 11:45:24: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.105(1949) -> 85.93.5.88(80), 1 packet
Oct 21 11:45:37: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.70(52335) -> 85.93.5.88(80), 1 packet
Oct 21 11:46:16: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.201(51391) -> 85.93.5.88(80), 1 packet
Oct 21 11:47:11: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.65(57289) -> 85.93.5.88(80), 1 packet
Oct 21 11:47:52: %SEC-6-IPACCESSLOGP: list acl_localnet denied tcp 192.168.2.6(52619) -> 85.93.5.88(80), 1 packet

[URL="http://virusinfo.info/showthread.php?t=121767"][B]Сделайте полный образ автозапуска uVS[/B][/URL]

сделал. но он не помещается по размеру чтобы его прикрепить, даже заархивированный. что делать?

Выложите на rghost.ru и пришлите ссылку

Ответ из вирлаба Лаборатории Касперского
[QUOTE]В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
Его детектирование будет включено в очередное обновление антивирусных баз.
Благодарим за оказанную помощь.

3825889043A.exe, 852F1A1D.exe - Backdoor.Win32.Tiny.dc[/QUOTE]

[QUOTE=norlest;1324568]сделал. но он не помещается по размеру чтобы его прикрепить, даже заархивированный. что делать?[/QUOTE]
[url]http://rghost.ru/[/url] - закиньте на файлообменник, ссылку с результатом загрузки опубликуйте в следующем сообщении.

[url]http://rghost.ru/8p9JQbDRz[/url] пароль на скачивание virus
Забавно, а меня касперский проигнорировал. я ему посылал это файл.
То что он включил в базы это конечно замечательно. теперь будет удаляться этот файл. Но как лечить зараженный компьютер пока непонятно.
Я так понимаю подменяются системные DLL раз такие интересные вещи он творит.

[URL="http://virusinfo.info/showthread.php?t=40118"]Сделайте лог Gmer[/URL].

Скачайте и запустите TDSSKiller: [url]http://support.kaspersky.ru/faq/?qid=208636926[/url].
Файл C:\TDSSKiller.***_log.txt приложите в теме.

По ссылке:
Такой страницы нет.
Страница могла существовать ранее, но снята с публикации.

Где скачать эту утилиту?

[url]http://support.kaspersky.ru/viruses/disinfection/5350[/url]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

:rtfm: [URL="http://virusinfo.info/content.php?r=136-pravila"][U]Правила[/U][/URL]

[NOTICE]* Если у Вас несколько инфицированных операционных систем или компьютеров, то Вам следует оформлять каждую систему отдельным запросом.[/NOTICE]

Просьба, 1 тема = 1 ПК.

я все логи собираю с одного сервера. у всех серверов симптомы одинаковы.
Создавать темы на каждый сервер думаю не стоит. у меня около 100 серверов.
Утилиту запустил. Ничего не нашла. Пускал со всеми параметрами.
Лог прикрепил.
gmer log тоже

Gmer я ещё просил.

в предыдущем сообщении прикрепил

Есть возможность сделать полный образ автозапуска uVS из безопасного режима?

[url]http://rghost.ru/download/6TJBZdndW/544a2f5b7a986e4a384f853586cb8cced60d2ad7/PDC_sec.zip[/url]

Сделал. пароль: virus

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
zoo %SystemRoot%\F1DA5145.EXE
delall %SystemRoot%\F1DA5145.EXE[/code]Перезагрузите сервер.

Упакуйте содержимое папки ZOO (если она не пуста) с помощью WinRar, 7-Zip или WinZip в архив формата [B].ZIP[/B] с паролем [B]virus[/B] и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Сделайте новый полный образ автозапуска uVS, можно из обычного режима.