6 ответов в этой теме

[djust]

Добрый день.

Происходит следующее... Позавчера появился вирус, который грузит сеть, в сети 250 машин. Вылазят окна xx.scr.exe Машины с ХП в принципе устояли, с некоторыми исключениями, а с 2000ой сп4+ заплатками нет... Вирус пробивает фаервол, даже когда настроен на пропуск только с одного АЙПИ не зараженной машины. Сниффер показывает высокую активность нескольких машин, который ломяться на один адрес. Соответственно сетевые принтеры не практически не работают и общие папки для обмена инфой пользователей в сетевом окружении тоже. 

В приложении логи с машины (ХП сп2, которая самая активная в сети) и пробитой 2000ой..

Могу лог снифера выложить, если нужно.

Спасибо.

Прикрепленные файлы:

•  logs.zip   39,34К   33 Скачано раз

Сообщение было изменено djust: 03 Июль 2009 - 12:04

[YVS]

Сделайте, пожалуйста, логи по правилам раздела на проблемной машине

[djust]

Сделал... я так понимаю вариантов решения немного? ))

[YVS]

Win2K
Проверьте на VirusTotal
C:\WINNT\system\dllcache.exe
C:\DOCUME~1\user\LOCALS~1\Temp\fwccPxrf.sys

WinXP
Проверьте на VirusTotal
C:\RESTORE\c-1-3-64-8794238531-8742492-9897532\DriveFix.exe
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winupd32.exe

А какой у Вас антивирус стоит на XP?

[djust]

На ХП стоит аваст, но сканим периодически cureit.

После скана на вирусы и их удаление, машина с ХП перестала создавать лишний трафик в сети (судя по логу снифера)...
Думаю нужно просто самые активные машины полечить для начала.

[YVS]

На ХП стоит аваст, но сканим периодически cureit.

На ней еще видны следы NOD-a.

[djust]

На ней кажись 2 антивира стояло сразу )))