Доброго, Уважаемые Форумчане! На протяжении вот уже двух недель веду ожесточенные бои с небезизвестным Kido (мод Win32.HLLW.Autoruner.5555). Обнаружил огромный трафик в сети и периодическое отваливание серваков. Один из серваков прогнал KK, нашлось около полусотни заданий в деспетчере задач и пара зараженных файлов. Перелопатил кучу форумов - везде все советы сводятся к одному: установить обновления MS08-067, MS08-068 и MS09-001, затем прогнать КК. Все 19 серверов пролил полностью, КК прогонял в безопасном, а сверху еще доктором вебом. На следующий день снова прогоняю КК - опять задания находит. До января сего года стоял корпоративный Касперский, сейчас Доктор Веб, который благополучно ничего не видит. Все усложняется тем, что инфраструктура довольно сложная: 19 серваков (3 железки на Win2k3 x86, остальные виртуалки Win2k8R2 на ESXi) и порядка 250 клиентов на WinXPSP3. Кроме того, учреждение работает фактически круглосуточно остановить процесс никак нельзя.
Может кто сталкивался? Подскажите, как в этих условиях забороть эту заразу.

Самый верный результат будет когда изолируете каждый сервер и пролечите и нужно обнаружить зараженную точку (скорее всего клиентский комп) откуда лезет зараза. Думаю что придется останавливать процесс работы иначе будем ходить по кругу.

Пока сделайте логи хотя бы с одной машины.



Выложите логи в соответствии с этими (http://forum.oszone.net/post-717373.html) инструкциями.

Добавлю полезную тему

Как удалить Net-Worm.Win32.Kido (Conficker) (http://safezone.cc/forum/showthread.php?t=491) особенно уделите внимание третьему посту.

В прикрепленном архиве 4 файла: 2.тхт - лог КК, три другие - AVZ

В папке АВЗ - LOG есть зип-архивы вот они и нужны. Смотрите внимательно правила.

Итак, проблему фактически удалось решить. Доменной политикой разлил скрипт, который при входе пользователя запускает KK.exe в режиме монитора с доп.параметрами:

c:\kk.exe -j -t -a -z -x -m -s

Выполнил вход на всех серверах и неразлогинивал их какое-то время. Это позволило остановить распространение вируса. Для его уничтожения просил пользователей не отключать компы, и провел полную проверку на вирусы всех компов. Безусловно, полностью из сети выжить эту гадость не удалось, но эпидемию остановил. Так же жестко настроил брандмауэры на серверах по принципу "Что не разрешено, то запрещено". И вроде все в норме, изредка Веб его добивает на пользовательских ПК. В общем закрываю тему.