Virus? maar Antivirus vind niets

vreemd probleem op mijn werk, begon met terminal server (2003) die opeens om de CD vroeg vanwege Windows File Protection. Braaf gedaan (helaas) systeem is daarna richting 100% CPU gegaan en niet meer gedaald. Pagefile groeit en groeit. Oudere image terug gezet en systeem is in ieder geval weer werkzaam.

Virusscan gedraaid, niets gevonden.

Op verscheiden werkstations (XP) meldingen van Firewall dat er iets geblokt is (explorer.exe).

We werken met McAfee 8.7 SP4, al moet ik eerlijk bekennen dat nog niet alles up2date is . Sommige systemen draaien nog 8.0 of helemaal niets. We zijn druk bezig om alles overal te upgraden en zoeken ons suf op Internet, maar komen niet met de beroemde vinger op de juiste plek. Is er iemand die iets van dit verhaal herkend en ons in de juiste richting kan wijzen?

BVD

Het is wel degelijk een virus, alleen vind Mcafee 8.7 SP4 en het bijbehorende spywarepakket niets. Symptomen zijn Windows File Protection op Server 2003 systemen en Windows Firewall blokkeringen op XP machines.

We zijn ook in overleg met onze leverancier van Mcafee, maar het probleem is gewoon dat we niets kunnen melden, behalve deze 2 symptomen en de machines die vollopen qua geheugen/PageFile.

Daarom deze wanhoopskreet met weinig houvast voor jullie, in de hoop dat iemand iets herkende, kan me namelijk niet voorstellen dat we de enige zijn.

Update:

we denken de boosdoener gevonden te hebben:
http://vil.nai.com/vil/content/v_287053.htm

Update:

we zijn nu een aantal werkdagen van meer dan 12 uur verder en de stand is Virus 4 McAfee 1

Dit heb ik nog niet eerder gezien (ben meer dan 10 jaar systeembeheerder) en het bedrijf hangt aan een zijden draadje.

Het virus is rond 1 oktober begonnen (en gelijk bij ons) en McAfee detecteert elke variant continu pas een paar dagen later. Er lopen nu continu mensen van onze AV-leverancier met ons mee en we krijgen het niet onder controle.

McAfee is nu vervangen door AVG en nu is duidelijk dat elke executable geinfecteerd is. Helaas kan AVG niet meer dan geinfecteerde exe bestanden weggooien/detecteren, vervolgens kunnen de gebruikers niet meer bij die applicaties en ligt het bedrijf stil. Door toe te staan dat onze applicaties geinfecteerd zijn en ze niet te scannen kan men doorwerken en hopen wij tijd te winnen en wachten op de nieuwere updates van AV.

We hopen nu ons serverpark schoner te houden en via software niet wijzigbare clients uit te rollen.

Heb net even 4 uur geslapen en ga nu weer een lange werkdag tegemoet

Zo eindelijk kan ik antwoord geven, het gaat om Zbot, of een of andere variant. De werkdag waar ik woensdag 1100 uur over schreef duurde uiteindelijk tot donderdag 1900 uur Vandaag is mijn 1e dag vrij, maar vanaf vrijdag heb ik wel normaal kunnen slapen.

Achteraf gezien is het grootste probleem geweest dat wij vanaf dag 1 met het virus te maken hadden en Mcafee pas 4 dagen later met een detectie kwam. Hierdoor was dus echt alles bij ons besmet, servers en workstations. Alle 11 servers zijn uiteindelijk teruggezet vanaf een BU van een maand terug, daarna is de data restored tot op heden. Daarna 1 voor 1 werkstations aangesloten en via AV-manager van Mcafee uitgerold.

Het heeft wat uren gekost maar we hebben het bedrijf draaiende kunnen houden. We zijn nu nog steeds bezig om alle foutjes uit de workstations te slopen die door haast/slaapgebrek zijn vergeten, en de rest van de week gaan we ook de overige, minder belangrijke systemen scannen, cleanen en weer inzetten.

Dan komt daarna hopelijk wat tijd om mijzelf wat meer in te lezen in Zbot en wat het precies doet.