Nod32 отлавливает
27.03.2009 12:22:57 Real-time file system protection file C:\WINDOWS\System32\qytlt.ln Win32/Conficker.AA worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\lsass.exe.
Кроме этого присутствуют приложения Winlogon, spoolsv.exe, rundll32.exe, pbeagent.exe, svchost.exe.
Nod вроде лечит и как написано отправляет вирус в карантин - вот только беда AVZ отлавливает подменные PID и Scheduled Tasks после такого лечения пояляются задания с именем At1 (и дальше соответственно цифры 2,3...). В поле Run заданий - rundll32.exe qytlt.ln,vjqhpl (последние 6 символов - постоянно разные).
Все последние обновления с microsoft стоят и антивирусник постоянно обновляется.
Логи в соответвствии с правилами прилагаю.
Прошу помощи в лечении.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пароли поменял. Не понятно почему задания появляются и подменные PID - Nod32 пишет что отлавливает вирус. Вирус отлавливается от разных приложений - я так понимаю, что приходит не из сети а локально. Или я ошибаюсь?
Добавлено через 2 минуты
Логи делал под администратором домена
Последний раз редактировалось Mikhail_2009; 28.03.2009 в 21:21.
Причина: Добавлено
Спасибо. Но похоже это только часть лечения. Что-то еще инфицированное есть.
Полечил с помощью kkiller. Он нашел только инфицированные задания в планировщике. Перезапустил комп. Патчи MS08-067, MS08-068, MS09-001 - проверил стоят.
Появляться опять они будут или нет, для меня так и не понятно. Запустил AVZ - он так и дает подменные PID.
Лог kkiller:
C:\admin\KKiller_v3.4.1>kkiller
Net-Worm.Win32.Kido removing tool, Kaspersky Lab 2009
version 3.4.1 Mar 17 2009 14:06:06
scanning jobs ...
Infected job (JobId 1) was deleted
Infected job (JobId 2) was deleted
Infected job (JobId 3) was deleted
Infected job (JobId 4) was deleted
scanning threads ...
scanning modules in svchost.exe...
scanning modules in services.exe...
scanning modules in explorer.exe...
restoring SafeBoot registry node
Restoring safe/network boot registry branches for windows 2003
29.03.2009 14:16:47 Real-time file system protection file C:\WINDOWS\System32\qytlt.ln Win32/Conficker.AA worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\lsass.exe.
Опять задание с именем At1 появилось?
Что делать то? Неужели новый вирус?
То есть у меня из сети вирус проникает? Данный комп - файл сервер. Локально сервер чист? И при обращении пользователей по сети вирус проникает через защиту Nod32? Вот беда-то. Ведь все заплаты стоят! Можете подсказать можно ли узнать с какого компа идет вирус? Nod32 - отображает только то что я прислал.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: