Анологичная ситуация и структура сети , так же стоит симантек. пробовал выполнять инструкции по удалению данного вируса (отключить от сети, удалитьточки восстановления системы, запустить KidoKiller), дела все по пунктам, но после этого сообщение вылазит все равно, как на серверах (Win2003 SP2), так и на рабочих станциях (WinXP SP3), не так часто как раньше, но несколько сообщений о вирусе данном появляется. Патчи ставил, проверял на уязвимость систему сканером, говрит что уязвимости нет. вот логи рабочей станции
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
После чистки и установки патчей червь проникает на сервер и воркстейшны с использованием подобранных им паролей доменных админов.
1. Временно отключите виндовый шедулер, это он запускает троянские задачи.
2. Убейте все процессы червя rundll32.exe из таск менеджера.
3. Сниффером (Whireshark, Ethereal) запишите обмен на порт 445 (а лучше на порты 445 и 88) атакуемого сервера. В логе сниффера будут логины администраторов, с чьими правами червь проникает на сервер. Им сменить пароли - (с пустых либо с простых вида 12345) на нормальные.
В логе сниффера атаку искать в юникоде по слову system32, там это будет видно. Я просто смотрел файл лога в FAR, этого уже достаточно. После смены паролей отловленным таким образом админам зверь потерял былую силу и быстро был прикончен.
4. В стартовые скрипты домену добавьте запуск Malware Removal Tool (MRT) Microsoft. Логи её работы хорошо складывать на доменном контроллере, они полезны.
Уважаемый(ая) tryastsyn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: