64 ответов в этой теме

[Andrey_Kr]

Как по мне машина, с которой предоставлены логи чистая, единственный момент это диск H, я так понимаю это флэшка, вопрос: был ли на ней вирус или он появился после подключения. Вставьте флэшку еще раз на этот комп и посмотрите не появляется ли вирус снова.

Смущает столбец Пользователь. Т.е. я делаю вывод что пароли этих администраторов домена(Кузнецов и Колосков) вирусу известны?

ИМХО, заражены компьютеры, на которых залогинены KoloskovVG и Kuznetsov, и эти пользователи имеют права на административно-разделяемый ресурс удаленного компа, проверяйте при помощи CureIt или GUI-сканера компы, где залогинены эти пользователи.

UPD: все-таки с диском H не совсем понятно , не могли бы вы уточнить с ними ситуацию

[Sergey Rodich]

нет это приноссили зараженную флешку. Машина не заражает флешки.

ИМХО, заражены компьютеры, на которых залогинены KoloskovVG и Kuznetsov, и эти пользователи имеют права на административно-разделяемый ресурс удаленного компа, проверяйте при помощи CureIt или GUI-сканера компы, где залогинены эти пользователи.

Т.е. если заразилась машина с пользователями которые имеют права на административно-разделяемые ресурсы удаленных компьютеров то вирус дальше распространяется от их имени? Значит shadow владеет их паролем? Или это ему не нужно чтоб дальше распространяться?

Может имеет смысл усложнить пароли этих пользователей.

А что можно сказать про dll к которой веб не получил доступ. Это должно говорить о том что машина заразилась (shadow установился в систему)?

[Borka]

А что можно сказать про dll к которой веб не получил доступ. Это должно говорить о том что машина заразилась (shadow установился в систему)?

ИМХО, однозначно. c:\windows\system32\kxbvak.dll - очень похоже на Тень.

[Andrey_Kr]

Т.е. если заразилась машина с пользователями которые имеют права на административно-разделяемые ресурсы удаленных компьютеров то вирус дальше распространяется от их имени?

Если на зараженной машине в данный момент залогинен пользователь с админ правами, то в данный момент вирус будет распространяться используя возможности пользователя, пароли тут не причем.

[Andrey_Kr]

А что можно сказать про dll к которой веб не получил доступ. Это должно говорить о том что машина заразилась (shadow установился в систему)?

ИМХО, однозначно. c:\windows\system32\kxbvak.dll - очень похоже на Тень.

Да по-любому, смутило только, что дата вчерашняя, а сегодня о нем упоминания нет. Надо проверить есть ли dll в наличии и что о ней думает GUI сканер

[Sergey Rodich]

Если на зараженной машине в данный момент залогинен пользователь с админ правами, то в данный момент вирус будет распространяться используя возможности пользователя, пароли тут не причем.

Согласен

Но то как она сама заразилась остается только предполагать... Поэтому пароль я думаю усложнить обязательно, хотя может какое-то время компьютер оставался с включенным локальным администратором без пароля!


Еще один вывод. Если заразилась машина с пользователями с ограниченными правами то (если везде стоят заплатки!!!) shadow распространиться не сможет?

Да по-любому, смутило только, что дата вчерашняя, а сегодня о нем упоминания нет. Надо проверить есть ли dll в наличии и что о ней думает GUI сканер

Машина сегодня проверялась не ентерпрайз сканером самим пользователем.Завтра уточню что он нашел.

[Andrey_Kr]

Еще один вывод. Если заразилась машина с пользователями с ограниченными правами то (если везде стоят заплатки!!!) shadow распространиться не сможет?

По моим наблюдениям компы себя нормально чувствуют и без заплаток, лишь бы файловый монитор постоянно функционировал. Сосредоточтесь на борьбе с источником заражения.

Да по-любому, смутило только, что дата вчерашняя, а сегодня о нем упоминания нет. Надо проверить есть ли dll в наличии и что о ней думает GUI сканер

Машина сегодня проверялась не ентерпрайз сканером самим пользователем.Завтра уточню что он нашел.

Что он нашел и так можно увидеть. Вопрос: что он проверял?

[Sergey Rodich]

Сосредоточтесь на борьбе с источником заражения.

Машины этих пользователей уже сегодня были вылечены.

Но меня мучает один момент...

Сметный отдел (имеют ограниченные права) с понедельника стал жаловаться на сильное торможение комтьютеров (около 20 компов). Выяснилось что процесс svchost сильно нагружает систему. Потом и dll нашлась в system 32. Машины были чистые с заплатками. И веб работал и ловил заразу "на лету". Зараза пришла все от тех же обсуждавшихся выше пользователей с админскими правами (как показало вскрытие).

Вопрос! Как же вирус их опять заразил? Может есть варианты когда Веб дает установиться в системе shadow?

[Sergey Rodich]

или это и есть мой ответ :

1. Не полностью пролечивался
2. Где-то наблюдаются проблемы в правах. Возможно у кого-то их больше, чем положено.

[Andrey_Kr]

Сосредоточтесь на борьбе с источником заражения.

Машины этих пользователей уже сегодня были вылечены.

Но меня мучает один момент...

Сметный отдел (имеют ограниченные права) с понедельника стал жаловаться на сильное торможение комтьютеров (около 20 компов). Выяснилось что процесс svchost сильно нагружает систему. Потом и dll нашлась в system 32. Машины были чистые с заплатками. И веб работал и ловил заразу "на лету". Зараза пришла все от тех же обсуждавшихся выше пользователей с админскими правами (как показало вскрытие).

Вопрос! Как же вирус их опять заразил? Может есть варианты когда Веб дает установиться в системе shadow?

В понедельник говорите... Гхм...
Если базы обновляются каждый. то может вы и попали под раздачу

[Sergey Rodich]

В понедельник говорите... Гхм...
Если базы обновляются каждый. то может вы и попали под раздачу

Нет, это не мой случай.
В понедельник было обнаружено что Тенью заразился сервер, веб с середины чтверга не мог достучаться до BCO. Поэтому обновления пришли только в понедельник после трех дня (как вылечили сервер).

[DoC]

В понедельник говорите... Гхм...
Если базы обновляются каждый. то может вы и попали под раздачу

Нет, это не мой случай.
В понедельник было обнаружено что Тенью заразился сервер, веб с середины чтверга не мог достучаться до BCO. Поэтому обновления пришли только в понедельник после трех дня (как вылечили сервер).

мой метод решения "теневой" болезни:
1. Включается автообновление через GPO
2. Отключается в GPO планировщик
3. В GPO записывается автозапуск KidoKill (возьмите на сайте каспера - никакой рекламы, просто она удобнее чем курилка)
4. Оставляете автозапуск кидокиллера на недельку - как раз доставятся все заплатки и убьются все звери...

P.S. лучше выдавать предупреждение для юзера, что если что-то найдено - комп ребутить...

тьфу-тьфу-тьфу - у меня за последнее время более тень не проявлялась :-) хотя до того более месяца ее лечил.

[WinLin]

Windows SP3 Pro + заплаты от M$.
Shadow прописал себя в исключениях брандмауэра Windows (sdqrsund порт 1924).
Если удалить эту запись, то в домен компьютер не входит даже при выключенном брандмауэре.

В рекомендациях DrWeb по лечению Shadow написано, восстановите реестр из резервной копии.
Где взять эту копию? System Volume запрещен, так как кроме вирусов там никто не живет http://forum.drweb.com/public/style_emoticons/default/smile.png
Кроме лечения должна быть какая-то операция "ремонта" реестра!

Сейчас приходится переформатировать компьютеры, но спокойствия не ощущается.

[WinLin]

1) Enterprise Scanner почему не лечит трояны?
2) У пользователей ограниченные права, как автоматически запустить CureIt или GUI Scanner?
3) Запускаемый пользователем GUI Scanner лечит с правами администратора?

[Borka]

2) У пользователей ограниченные права, как автоматически запустить CureIt или GUI Scanner?

По расписанию.

3) Запускаемый пользователем GUI Scanner лечит с правами администратора?

Безусловно.

[Andrey_Kr]

Windows SP3 Pro + заплаты от M$.
Shadow прописал себя в исключениях брандмауэра Windows (sdqrsund порт 1924).
Если удалить эту запись, то в домен компьютер не входит даже при выключенном брандмауэре.

В рекомендациях DrWeb по лечению Shadow написано, восстановите реестр из резервной копии.
Где взять эту копию? System Volume запрещен, так как кроме вирусов там никто не живет http://forum.drweb.com/public/style_emoticons/default/smile.png
Кроме лечения должна быть какая-то операция "ремонта" реестра!

Попробуйте послать образец вируса в вир. лаб. , выбрав категорию "запрос на лечение" , и в комментариях опишите проблему, может доделают лечение

[WinLin]

2) У пользователей ограниченные права, как автоматически запустить CureIt или GUI Scanner?

По расписанию.

3) Запускаемый пользователем GUI Scanner лечит с правами администратора?

Безусловно.

Где прочитать про командную строку запуска GUI Scanner? Приведите пример.
Что с поломанной вирусом Windoй делать?

[WinLin]

Windows SP3 Pro + заплаты от M$.
Shadow прописал себя в исключениях брандмауэра Windows (sdqrsund порт 1924).
Если удалить эту запись, то в домен компьютер не входит даже при выключенном брандмауэре.

В рекомендациях DrWeb по лечению Shadow написано, восстановите реестр из резервной копии.
Где взять эту копию? System Volume запрещен, так как кроме вирусов там никто не живет http://forum.drweb.com/public/style_emoticons/default/smile.png
Кроме лечения должна быть какая-то операция "ремонта" реестра!

Попробуйте послать образец вируса в вир. лаб. , выбрав категорию "запрос на лечение" , и в комментариях опишите проблему, может доделают лечение

Вируса уже нет, а в домен компьютер не входит.
Послать ничего не могу.

[Borka]

Где прочитать про командную строку запуска GUI Scanner? Приведите пример.

Если есть консольный сканер, то drwebwcl.exe /?
Если есть ru-drweb.chm, то в Приложении по ключам комстроки сканеров.

Что с поломанной вирусом Windoй делать?

Пытать восстановить. http://forum.drweb.com/public/style_emoticons/default/smile.png Не очень понятно:

Shadow прописал себя в исключениях брандмауэра Windows (sdqrsund порт 1924).
Если удалить эту запись, то в домен компьютер не входит даже при выключенном брандмауэре.

но

Вируса уже нет, а в домен компьютер не входит.

Может, не все вычистили?

[WinLin]

1) Что непонятно? В брандмауэре Windows создана вирусом запись, при удалении этой записи компьютер в домен не входит.
Компьютер полностью вылечен графическим сканером, установлен SP3 + заплаты.
Вирус удаляет ветки реестра и модифицирует реестр под себя, а DrWeb только удаляет вирус
и остальным не занимается.

2) Добавил kidokiller от Касперского в централизованное расписание: u:\kkiller.exe
kkiller.exe запустился только на компьютере администратора домена от имени пользователя.
В расписании у обычных пользователей есть возможность запуска от имени локального администратора?