Версия 5.
Доменная сеть, 80 компьютеров
Каждые два часа идет вирусная атака на все компьютеры:
Станция: 24_5 (tcp/192.168..:1047)
Время: 24/11/2009 16:30:59.857
Источник: SpIDer Guard ® for Windows XP (NT AUTHORITY\SYSTEM)
Объект: "C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\0SKCDNFY\sxyql[1].png" ()
Тип: инфицирован
Инфекция: Win32.HLLW.Autoruner.5555
Результат: вылечен
Станция: 24_5 (tcp/192.168..:1047)
Время: 24/11/2009 16:30:59.935
Источник: SpIDer Guard ® for Windows XP (NT AUTHORITY\SYSTEM)
Объект: "C:\WINDOWS\system32\x" ()
Тип: инфицирован
Инфекция: Win32.HLLW.Autoruner.5555
Результат: вылечен
как определить откуда идет вирусная атака
Автор
oaesi
, ноя 24 2009 16:49
28 ответов в этой теме
#2
basid
-
- Posters
- 4 483 Сообщений:
Guru
Отправлено 24 Ноябрь 2009 - 17:48
"Выделено мной".Время: 24/11/2009 16:30:59.857
Источник: SpIDer Guard ® for Windows XP (NT AUTHORITY\SYSTEM)
Объект: "C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\0SKCDNFY\sxyql[1].png" ()
Вероятно, дроппер грузит вирус -> (кроме всег прочего) смотреть логи прокси.
Включите аудит и смотрите кто, куда и откуда логинится/получает доступ/отлупы.Время: 24/11/2009 16:30:59.935
Источник: SpIDer Guard ® for Windows XP (NT AUTHORITY\SYSTEM)
P.S. Раз "каждые два часа", значит смотрим "at" и "schtasks /query".
#3
oaesi
-
- Posters
- 14 Сообщений:
Newbie
Отправлено 24 Ноябрь 2009 - 18:04
прокси нет, как найти дроппер?Вероятно, дроппер грузит вирус -> (кроме всег прочего) смотреть логи прокси.
Аудит включить на рабочей станции?Включите аудит и смотрите кто, куда и откуда логинится/получает доступ/отлупы.
#4
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 24 Ноябрь 2009 - 18:05
Это Конфикер так по сети через дыры проходит. Пачей нет..."Выделено мной".Время: 24/11/2009 16:30:59.857
Источник: SpIDer Guard ® for Windows XP (NT AUTHORITY\SYSTEM)
Объект: "C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\0SKCDNFY\sxyql[1].png" ()
Вероятно, дроппер грузит вирус -> (кроме всег прочего) смотреть логи прокси.
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#5
oaesi
-
- Posters
- 14 Сообщений:
Newbie
Отправлено 24 Ноябрь 2009 - 18:10
Я слабо понимаю о чем речь, к сожалению...Это Конфикер так по сети через дыры проходит. Пачей нет...
Делать-то чего?
#6
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 24 Ноябрь 2009 - 18:11
Я слабо понимаю о чем речь, к сожалению...Это Конфикер так по сети через дыры проходит. Пачей нет...
Делать-то чего?
Закрыть шары, отключить автозапуск, установить сильные пароли, накатить обновления на систему.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#7
oaesi
-
- Posters
- 14 Сообщений:
Newbie
Отправлено 24 Ноябрь 2009 - 18:28
Это общие профилактические меры, а в данной конкретной ситуации неужели нельзя определить откуда он берется в сети?Закрыть шары, отключить автозапуск, установить сильные пароли, накатить обновления на систему.
#8
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 24 Ноябрь 2009 - 18:32
Это общие профилактические меры, а в данной конкретной ситуации неужели нельзя определить откуда он берется в сети?Закрыть шары, отключить автозапуск, установить сильные пароли, накатить обновления на систему.
Ну ищите-ищите, раз профилактика не нравится.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#9
HHH
-
- Posters
- 2 714 Сообщений:
Massive Poster
Отправлено 24 Ноябрь 2009 - 20:52
Посмотреть задания планировщика на всех машинах, как уже советовали.Это общие профилактические меры, а в данной конкретной ситуации неужели нельзя определить откуда он берется в сети?Закрыть шары, отключить автозапуск, установить сильные пароли, накатить обновления на систему.
Запустить на всех машинах проверку папки system32 c помощью enterprise scanner, смотреть на предмет подозрительной dll с диагнозом "ошибка чтения".
Взять nmap и просканить сеть на предмет конфискера.
Убедиться, что никто не включил потихоньку в сеть личный компьютер.
...
Больше пока не придумал
#10
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 24 Ноябрь 2009 - 23:09
По-моему, проще запланировать проверку GUI-сканером. Сразу и лечение будет.Запустить на всех машинах проверку папки system32 c помощью enterprise scanner, смотреть на предмет подозрительной dll с диагнозом "ошибка чтения".
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#11
oaesi
-
- Posters
- 14 Сообщений:
Newbie
Отправлено 25 Ноябрь 2009 - 15:13
Через сетевое окружение на всех компьютерах сети появилась общая папка "Назначенные задания". Задание выполняется каждый день в одно время. Выполнить rundll.exe, а потом на разных компьютерах разные параметры. c:\windows\tasks\at1.job
Это признак вируса?
Это признак вируса?
#12
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 25 Ноябрь 2009 - 15:14
Да, это признак вируса.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#13
oaesi
-
- Posters
- 14 Сообщений:
Newbie
Отправлено 25 Ноябрь 2009 - 15:31
drweb ничего не находит в безопасном режиме
#14
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 25 Ноябрь 2009 - 15:45
oaesi
Переезжаем. Делайте логи по Правилам раздела "Помощь по лечению".
Переезжаем. Делайте логи по Правилам раздела "Помощь по лечению".
#15
oaesi
-
- Posters
- 14 Сообщений:
Newbie
Отправлено 25 Ноябрь 2009 - 16:26
сделала логи, подскажите как их прикрепить
ручное удаление заданий поможет или надо еще что-то сделать?
ручное удаление заданий поможет или надо еще что-то сделать?
#16
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 25 Ноябрь 2009 - 16:28
Уже сказано, что надо сделать. В кривонастроенной системе эту заразу можно всю жизнь ловить.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#17
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 25 Ноябрь 2009 - 16:28
Справа кнопочки "Обзор" и "Загрузить". Если логи большие - сожмите архиватором.сделала логи, подскажите как их прикрепить
ручное удаление заданий поможет или надо еще что-то сделать?
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#18
oaesi
-
- Posters
- 14 Сообщений:
Newbie
#19
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 25 Ноябрь 2009 - 17:20
Проверьте на ВирусТотал и зашилите в Вирлаб:
C:\Windows\system32\itcadvapi.dll
C:\WINDOWS\system32\DRIVERS\itcscrpt.sys
C:\Windows\system32\itcadvapi.dll
C:\WINDOWS\system32\DRIVERS\itcscrpt.sys
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#20
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 25 Ноябрь 2009 - 18:44
oaesi
где лог gui-сканера (drweb32w.exe) ?
где лог gui-сканера (drweb32w.exe) ?
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых
