-
Junior Member
- Вес репутации
- 49
Очень серьезный вирус, домен на Win2003
Добрый день, сегодня утром ничего не предвещало беды, как в 10:20 выскочило сообщение что-то в роде Generis Host процесс ....
Что имеем, локальная сеть домен на Windows Server 2003, в сети основной контроллер домена, и резервный контроллер домена, рабочих станций около 50. Кроме этих серверов имеются В РАБОЧЕЙ группе 2 прокси-сервера, раздающих интернет через Traffic Inspector.
В общем в 10:30 пропала возможность через сеть заходить на основной контроллер домена, пишет у вас нет прав, или сеть не установлена. На резервный - с горем пополам заходит, но с тормозами.
Начал копать сервер, нашел, что в автозагрузке прописался conime.exe, поиск по реестру вывел его на след C:\WINDOWS\System32\wmpdn3.exe
Физически файл wmpdn3.exe не удаляется, занят процессом, программа Unlocker здесь тоже не помогла. Файл conime.exe, также хранящийся в System32 - удаляется, но тут же снова появляется, если удалять из автозагрузки - также появляется.
И в итоге wmpdn32.exe расплодился по всей сети на все рабочие станции, видимо этот вирус создает повышенную сетевую активность, от чего Traffic Inspector перекрывает пользователям доступ к интернет по сетевой статистике.
В сети установлен антивирус Symantec Corporate 10, проверка dr.web Cureit не помогла. Отправил файлик wmp3dn.exe на проверку virustotal.com, там из 43 антивирусов только 12 малоизвестных, определили его как Trojan.Generiс
В безопасном режиме не грузится ни один компьютер, при загрузке выскакивает синий экран смерти.
Единственный компьютер, который не заразился этим вирусом - резервный контроллер домена, необъяснимо почему.
Также пробовал на Основной контроллер домена накатить вчерашний незараженный образ - вируса там нет до момента подключения к сети, появился через минуту.
С одного из компьютеров сделал логи программой AVZ, а вот Hijack при запуске выдавал синий экран и уводил комп на перезагрузку. Скачал переименованный Hijack, он вроде успел сделать лог, и все равно с синим экраном ушел на перезагрузку.
В общем выкладываю логи, которые у меня получились, и очень надеюсь на вашу помощь, нужно излечить все компьютеры в сети, не представляю как это сделать..
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru: