-
Junior Member
- Вес репутации
- 59
SVCHOST, rundll vs. Trojan.Siggen.2002
Ситуация такова - по сети гуляет сие чудо. на компах стоят все обновы от M$. эпизодически в процессах появляются процессы rundll с указанием имени файла из набора букв. инфицирования не происходит, но процессы остаются висеть в памяти.
установлено DrWeb ES 4.44, брендмауэры на компах выключены
на 2003 и 2000 серверах такого не происходит - только на XP.
кто скажет - как бороться?
А все так хорошо начиналось...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
рекомендую сюда
Добавлено через 4 минуты
кстат нашел на форуме др.Веба похожую тему нашел,
там это оказался Kido
Последний раз редактировалось Hanson; 30.01.2009 в 17:22.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
Hanson
рекомендую
сюда
Добавлено через 4 минуты
кстат нашел на форуме др.Веба похожую тему нашел,
там это оказался Kido
вопрос не в секции "помогите".
вопрос в том, что вирусов на компе НЕТ. "оно" лезет снаружи и заплатки не помогают!
посему - что мне в тему напостить? логи, которые чистые? или заюзать снифер сети на ~1K компов (несколько удаленных филиалов в разных городах с общей сетью, моя - только малый кусок) ???
А все так хорошо начиналось...
-
Но если стоят все обновления, тогда вроде бы вирус не должен гулять по сетке...
Добавлено через 3 минуты
Лезит с интернета или с другово компа? Немного поподробней, чтобы Вам смогли помочь. А кто его находит?
Сообщение от
DoC
эпизодически в процессах появляются процессы rundll с указанием имени файла из набора букв. инфицирования не происходит, но процессы остаются висеть в памяти.
Так найдите эти файлы и пришлите. Почему так уверены, что система чистая. Не Доктор Веб запускает-то эти процессы...
Последний раз редактировалось senyak; 30.01.2009 в 18:10.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
senyak
Но если стоят все обновления, тогда вроде бы вирус не должен гулять по сетке...
Добавлено через 3 минуты
Лезит с интернета или с другово компа? Немного поподробней, чтобы Вам смогли помочь. А кто его находит?
Так найдите эти файлы и пришлите. Почему так уверены, что система чистая. Не Доктор Веб запускает-то эти процессы...
сеть на 70 компов + удаленные филиалы ~800 компов. все связано именно как сеть. несколько доменов АД. снаружи не лезет - cisco не пропустит. лезет скорее всего изнутри, но (!) - сканирование компов ничего не показывает - ни недоступных процессов, ни инфицированных файлов - НИЧЕГО... только Spider эпизодечески кричит что какой-то комп инфицирован - удаляет следы инжектов. на моем лично компе - появляются процессы rundll32.exe hdsdr.dll (имя dll всегда разное), процесс тупо висит в памяти, такого файла в системе нет, проверка сканером 4.44 и CureIt самым свежим ничего не находит. Включен планировщик - задач не появляется.
я правда еще грешу на VMWare 6.0.4 build 93057 - может ли через нее пробовать ползти зараза?
P.S. виртуальных систем в VMWare не запущено, если и запускаются - то CentOS 5.5 или OpenSuse 11
А все так хорошо начиналось...
-
Я не специалист. Сделайте как написал Hanson. Опишите свою проблему. Люди глянут все ли чисто, скажут в чем проблема. Смысла нет тут гадать, надо смотреть. Считаю, что это обезательно.
-