Win32/conficker.aa или Win32/Downadup.b

[Vialendil]

Всех с прошедшими праздниками! Сегодня у нас началась эпидемия все машины одного сегмента стали жаловаться на Win32/conficker.aa или Win32/Downadup.b (что суть одно и тоже, просто антивири по разному их обзывают). Антивирь кричит, что найден и изолирован данный вирь в %systemroot%\system32. После сканирования утилитой от "семантека" или находит вирус или не находит, но предлагает установить патч от Microsoft (хотя машины полностью пропатчены)... через пару часов ситуация повторяется, при этом машина отключена от сети.... Сканирование AVZ результатов не дало... Высылаю логи. Плиз хэлп

[V_Bond]

этот патч должен быть установлен
выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('riode32');
 QuarantineFile('C:\WINDOWS\system32\drivers\riode32.sys','');
 QuarantineFile('C:\WINDOWS\system32\CCM\prepdrv.sys','');
 QuarantineFile('C:\WINDOWS\system32\CCM\CLICOMP\RemCtrl\Wuser32.exe','');
 QuarantineFile('C:\WINDOWS\system32\CCM\CcmExec.exe','');
 DeleteFile('C:\WINDOWS\system32\drivers\riode32.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 праивл
повторите логи

[Vialendil]

Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\riode32.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\drivers\riode32.sys)
Карантин с использованием прямого чтения - ошибка
Выполнен карантин файла C:\WINDOWS\system32\CCM\PrepDrv.sys
Выполнен карантин файла C:\WINDOWS\system32\CCM\CLICOMP\RemCtrl\Wuser32.ex e
Выполнен карантин файла C:\WINDOWS\system32\CCM\CcmExec.exe

То что Вы запросили, это SMS-агент, тем не менее высылаю

Файл сохранён как 090115_111541_virus_496ef0ad2792f.zip
Размер файла 334925
MD5 5f8c77711a406ed5b8e6fcfb8a47a1c0

[Vialendil]

Насколько я понял, решения пока нет... удаление riode32 ничего не дало.... Семантик все-равно ругается..... klwk не помогает, Fixdownloadup тоже....

[Гриша]

Патчи установлены?

[Vialendil]

Патчи установлены?

А Вы внимательно читаете сообщение? Или нет?!?!?!?!? хотя машины полностью пропатчены

Короче решение найдено и все машины вылечены!!!!! Патчи совершенно не при чем, патч только решает проблему первого заражения.... Отсутствие патча, несекьюрный пароль админа, работа с правами администратора, после чего закидывает себя на шары, для распространения использует учетные записи энтерпрайз-админов из кэша........ прописывает себя в "тасках" at%случайный_номер% с запуском каждый час и в "system32", ищется

Код:

cd c:\windows\system32
dir *.* /ahs

и удаляется через отложенное удаление, потом также удаляется файлик из "тасков", который тоже лежит в "system32" и удаляются все "левые" таски!!!!!!!

Код:

cd c:\windows\tasks
dir /a
del at*.*

Удачи всем в поисках решения проблем!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения вредоносные программы в карантинах не обнаружены