Добрый час. Прошло уже пару лет с момента первой эпидемии этого вируса. И вот опять:

02.02.2012 16:01:17 - IMON - Интернет-монитор Инициирована программная вирусная тревога на CTR-MARKET2: http://192.168.0.80:5397/eptpaev инфицирован модифицированный Win32/Conficker.AA червь.
02.02.2012 16:01:17 - AMON - сканер по доступу Инициирована программная вирусная тревога на CTR-MARKET2: C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\TKE9Q3Z5\eptpaev[1].gif инфицирован модифицированный Win32/Conficker.Gen червь.
02.02.2012 16:01:18 - AMON - сканер по доступу Инициирована программная вирусная тревога на CTR-MARKET2: C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\TKE9Q3Z5\eptpaev[1].gif инфицирован модифицированный Win32/Conficker.Gen червь.

не смотря на то, что стоят заплатки для устранения уязвимости от MS. вирус снова появляется то там то тут (12 контрллеров домена с десятка полтора winxp). прогон свежими утилитами касперского ничего не даёт - не находит. утилита kk.exe удаляет только job-ы но ничего не находит.

Привет, сделайте логи авз и rsit Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему. (http://forum.oszone.net/thread-98169.html)

А также лог gmer
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется) (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

kk.exe удаляет только job-ы но ничего не находит. »Надеюсь новой версией пользовались? Лог утилиты нужно бы прикрепить. Если запуск с ключами вас затрудняет, воспользуйтесь оболочкой для запуска консольной утилиты KidoKiller - Quick Killer 3.0 Final (http://forum.oszone.net/thread-221666.html)

вот кажется всё что просили. сервер боевой, по возможности бы сократить перезагрузки к минимуму (в процессе лечения, если что то там обнаружим)

Сбор логов с терминальной сессии не продуктивен, да и базы AVZ устарели давно.

2012-01-20 - запускали AVPTool?

192.168.0.80 - что за машина?

Активного заражения сейчас не вижу.

Сбор логов с терминальной сессии не продуктивен, да и базы AVZ устарели давно. »
ок,
повторю из консольного сеанса

2012-01-20 - запускали AVPTool? »
было дело

192.168.0.80 - что за машина? »
вин хп, комп главбуха.

Активного заражения сейчас не вижу. »
однако джобы всё время появляются на этой машине причём наиболее интенсивно по сравнению с другими машинами

обновил авз+новый лог
в процессе сканирования nod завопил

- AMON - сканер по доступу Инициирована программная вирусная тревога на STR-SERVER: C:\WINDOWS\System32\izacf.qa инфицирован модифицированный Win32/Conficker.Gen червь.

не смотря на то, что стоят заплатки для устранения уязвимости от MS

Версия Windows: 5.2.3790, Service Pack 2

что-то не вяжется здесь?

что-то не вяжется здесь? »
я не знаю что именно не вяжется, на том сервере R2 SP2
стоит kb958644, 958687,957097

Поставьте все критические обновления, отключите автозапуск со съемных и сетевых дисков, смените пароли на более сложные

вин хп, комп главбуха. »
Начните лечение с компа главбуха. Он сейчас пытается заразить все.