Win32/Conficker.AE

Добрый день!

Возникла проблема с Win32/Conficker.AE. Все методы решения данной проблемы, найденные на просторах интернета в нащем случае не помогли.
В чем собственно суть... Машина, с установленным СП3, с заплатками безопасности по 14 марта, пройденная в безопасном режиме совершенно свежими CureIT, AVZ, NOD32 ничего не находят. Утилиты для удаления Kido ничего не находят (KidoKiller, BitDefender, etc). Но... Через некоторое время работы в нормальном режиме, НОД32 обнаруживает его самого - Win32/Conficker.AE. Проходимся еще раз по всей системе - ничего нет. Фантастика.... Червяка находят в system32 и темповой папке кеша браузера.

Что можете посоветовать? Я лично не понимаю, как он может попадать на пропатченую систему :( У меня сотня машин стоят с такой же бедой и я не могу найти способ лечения.

Вот небольшая вырезка и НОД32:

2009-03-16 22:37:46 Защита файловой системы в режиме реального времени файл C:\WINDOWS\System32\xpwho.hke модифицированный Win32/Conficker.AE червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: \??\C:\WINDOWS\system32\winlogon.exe.

2009-03-16 16:46:35 Защита файловой системы в режиме реального времени файл C:\WINDOWS\System32\x модифицированный Win32/Conficker.AE червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\System32\svchost.exe.

Лог [B]virusinfo_syscure.zip[/B] закачайте.

Поправил

Логи нужны в нормальном режиме.

Т.е. повторить все операции по сбору логов в нормальном режиме, а не в безопасном?
Еще заметил, после некоторого нахождения на вашем сайте пропадает интернет подчистую, помогает только перезагрузка. Вчера еще такого небыло...

Вот

Ничего подозрительного в логах. [URL="http://virusinfo.info/showthread.php?t=15927"]Проверку на файловые вирусы[/URL] делали?

Да делал... Я же написал что прогонялся 3я антивирусами разными со свежими базами. А эта хрень потом опять всплывала. С сегодняшнего дня еще и приходится перезагружаться после нахождения на вашем сайте.

И ладно бы если проблема была бы еденичная, а так - заражена вся сеть. Пока устраняем последствия - после установки всех апдейтов, перестают останавливаться службы. Но эта гадость все равно выползает откуда-то и это после проверки антивирусами и всеми патчами безопасности МС.

Незнаю, что даже сейчас делать

[QUOTE=Neuronix85;372997]эта гадость все равно выползает откуда-то и это после проверки ... всеми патчами безопасности МС.
[/QUOTE]Патчи не устраняют зловредов. Их задача - залатать дыру, через которую они проникают - это аксиома.

Но если проверка антивирусами не находит ничего, а потом вылезает окно с сообщением что найден червяк - что тут думать? Одно из двух - либо есть дырка (патчи все стоят!), либо он каким-то образом прячется от сканирования.

Дырки в системе - одна из многих, но не единственная причина заражений :)

Пароль у администратора имеется? Насколько сложный?

8 рандомных символов, не словарь.
Кстати, вроде удалось побороть на многих компах. Вроде бы ничего и не делал, но на следующий день НОД32 перестал ругаться на вылеченные компы. В логах только те, до которых еще не дошли