Вирус Trojan.Flush.M

[Monolith]

День добрый,
знаю что пишу не по правилам но покопавшить в интернете понял что моя сетка словила вирус, я уже начал думать что сам с ума сошёл
дело в том что у меня компьютеры все до единого подключаются к не существующим DHCP серверам и получают фальшивые DNS сервера.
Гоовря проще в сетке полный бедлам!
1. Вопрос сталкивались ли вы с этой проблемой?
2. Можно ли лечить сервера 2003 AVZ?
3. Если не сталкивались возьмётись ли помочь?

[AndreyKa]

Если подключаются к DHCP серверам, значит они существуют. Что говорит
ipconfig /all
1. Лично я нет
2. Можно, но очень осторожно.
http://z-oleg.com/secur/avz_doc/faq_14.htm
3. Попробуем.

[Monolith]

Гадость всякую говорит ...
Хорошо один сервак по альтернативному каналу сидит, так бы и написать даже не смог.
только по адрессу DNS сервера и узнал что заразу словил

Почитал по поводу предупреждений, и как мне тогда снять данные с AD? под 2003? страшно даже...

[AndreyKa]

Я спрашивал что говорит, а не то, что вы об этом думаете.
Резервную копию всегда полезно иметь.

[AndreyKa]

Облом, тут прочел: http://news.ferra.ru/soft/2009/03/17/85051/

Новая версия вируса отличается тем, что не указывает имя домена DNS в передаваемых параметрах – это резко затрудняет обнаружение фальшивого DHCP-сервера в сети.

[Monolith]

Я про это и говорю!

C:\Documents and Settings\Administrator>ipconfig /all

Windows IP Configuration

Host Name . . . . . . . . . . . . : 6600quad
Primary Dns Suffix . . . . . . . : OC.local
Node Type . . . . . . . . . . . . : Broadcast
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : Yes
DNS Suffix Search List. . . . . . : OC.local

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Realtek RTL8168/8111 PCI-E
thernet NIC
Physical Address. . . . . . . . . : 00-1D-7D-00-0E-FB
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 192.168.11.187
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.11.10
DHCP Server . . . . . . . . . . . : 192.168.11.10
DNS Servers . . . . . . . . . . . : 64.86.133.51
63.243.173.162
Lease Obtained. . . . . . . . . . : 18 марта 2009 г. 17:22:17
Lease Expires . . . . . . . . . . : 18 марта 2009 г. 18:22:17

кстати там же и нашёл...

Вопрос открытый, что делать?

Добавлено через 1 час 54 минуты

Путём исключения компьютеров из сети обнаружил где сидит вирус, но как лечить? и похоже что он там не один на компьютере.
Вернее вирус(ы) сидят на серваке 2003 но там не поднят не один сервис кроме БД оракла...

Вообщем посоветуйте что сделать? Можно ли снять данные по шаблону с Win Server 2003, не повлияет ли это на работу самого сервера как, отрицательно?

[AndreyKa]

Выполните Правила на подозреваемом, это ему не повредит.

[Monolith]

Утром пришлю.
Я на нём, пока ждал и копался по интеренту, запустил ForeFront, может чего и выйдет ...

P.S. Домой хочется немного. Спасибо за оказанную помощь если утром результата не будет выложу логи в этой теме.

Добавлено через 11 часов 27 минут

forefront его прибил, оказывается не такой он и страшный был, у него авторан на диске лежал, а я его не заметил. запускает файл один из корзины и драйвер один подцепляет. Вообщем думаю если бы сразу сделал скан AVZ все бы нашлось.
Большое спасибо за консультацию.