Здравствуйте! Я в панике. У меня сеть примерно 50 пк,домен. На всех пк каспер,обновляется каждый день. Сегодня началась пляска. На всех пк выскакивает троян Genome.vgpo, причём имя файла заразы всегда разное. Я даже не знаю что делать. Касперские его рубит,перезагружает комп,потом через час полтора,опять выскакивает. С чего вообще начать? Как избавиться от гадости?! Очень нужна помощь!!!

Появляется в расшаренных ресурсах?

Нет на каждом пк локально C:\windows\System32 В интернете вообще инфы о нем нет!
Я реально в панике!

Вот только опять вылез
23.08.2012 15:57:45 C:\Windows\System32\baqkm.wn обнаружено: троянская программа 'Trojan.Win32.Genome.vgpo'
Каспер его сразу бахнул,но не на долго!(((

Обновления на локальных системах все установлены? Пароли сложные?

угу,я пока не могу понять принцып его работы! Сейчас сканю заражённцю машину Malwarebytes

Чрезвычайно похоже на внедрение в систему Kido
Обновления для системы все установлены?

СТавил все! Так делать что?
Логи контроллера домена выложить?

Логи давайте.

Скажите логи машины или контроллера домена? .vgpo может говорит о групп политиках?

зараженной машины давайте..

4-5 раз за день вылетает.

не могу загрузить логи avz. Сссылки с файлопомойки.
http://narod.ru/disk/59910184001.779707766a8d4f488f20526bfac69b2c/virusinfo_syscheck.zip.html
http://narod.ru/disk/59910234001.4c282157dc5e916d3656f195020b61e2/virusinfo_syscure.zip.html

Точно KIDO.

Ознакомьтесь, выполните:

http://safezone.cc/forum/showthread.php?t=491

Затем:

Загрузите GMER по одной из указанных ссылок:
Gmer со случайным именем (http://www.gmer.net/download.php) (рекомендуется), Gmer в zip-архиве (http://www.gmer.net/gmer.zip) (перед применением распаковать в отдельную папку) Временно отключите драйверы эмуляторов дисков (http://safezone.cc/forum/showthread.php?t=10608). Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

Sections IAT/EAT Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробную инструкцию читайте в руководстве (http://safezone.cc/forum/showpost.php?p=452&postcount=1)

Так это на всех машинах и серверах надо сделать? Не получится,что на одной машине пролечу,потом на вторую пойду,а на первой он опять появится?))

kk утилитой прогонял,ничего не обнаружено!(

Обновления ставить и пароли менять это на всех машинах и по-очереди лечить то же.

Есть утилита CureNet от DrWeba, для сетевого лечения, но она платная.

ничего не обнаружено! »
Логи сделайте
Затем:
Загрузите GMER по одной из указанных ссылок: »

Вот лог после GMER.

Это пока на одном пк! Вы не ответили "Не получится,что на одной машине пролечу,потом на вторую пойду,а на первой он опять появится?"

Если будут установлены ВСЕ обновления от Microsoft и уязвимых программ - таких как Java, FlashPlayer. Сменены пароли на сложные, вроде hfgKLH*76!~G пользователи будут работать под ограниченными учетками - то не появится.

Кстати сейчас нашел для Вас триальный сетевой сканер - попробуйте запросить http://www.sophos.com/en-us/products/free-tools/network-security-scan/download.aspx

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится yhyyiqsr.exe случайное имя утилиты (gmer)

yhyyiqsr.exe -del service wsxmsh
yhyyiqsr.exe -del reg "HKLM\SYSTEM\CurrentControlSet\services\wsxmsh"
yhyyiqsr.exe -del reg "HKLM\SYSTEM\ControlSet003\services\wsxmsh"
yhyyiqsr.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

Опять вылез,новый лог!