как определить откуда идет вирусная атака
#1
Отправлено 24 Ноябрь 2009 - 16:49
Доменная сеть, 80 компьютеров
Каждые два часа идет вирусная атака на все компьютеры:
Станция: 24_5 (tcp/192.168..:1047)
Время: 24/11/2009 16:30:59.857
Источник: SpIDer Guard ® for Windows XP (NT AUTHORITY\SYSTEM)
Объект: "C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\0SKCDNFY\sxyql[1].png" ()
Тип: инфицирован
Инфекция: Win32.HLLW.Autoruner.5555
Результат: вылечен
Станция: 24_5 (tcp/192.168..:1047)
Время: 24/11/2009 16:30:59.935
Источник: SpIDer Guard ® for Windows XP (NT AUTHORITY\SYSTEM)
Объект: "C:\WINDOWS\system32\x" ()
Тип: инфицирован
Инфекция: Win32.HLLW.Autoruner.5555
Результат: вылечен
#2
Отправлено 24 Ноябрь 2009 - 17:48
"Выделено мной".Время: 24/11/2009 16:30:59.857
Источник: SpIDer Guard ® for Windows XP (NT AUTHORITY\SYSTEM)
Объект: "C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\0SKCDNFY\sxyql[1].png" ()
Вероятно, дроппер грузит вирус -> (кроме всег прочего) смотреть логи прокси.
Включите аудит и смотрите кто, куда и откуда логинится/получает доступ/отлупы.Время: 24/11/2009 16:30:59.935
Источник: SpIDer Guard ® for Windows XP (NT AUTHORITY\SYSTEM)
P.S. Раз "каждые два часа", значит смотрим "at" и "schtasks /query".
#3
Отправлено 24 Ноябрь 2009 - 18:04
прокси нет, как найти дроппер?Вероятно, дроппер грузит вирус -> (кроме всег прочего) смотреть логи прокси.
Аудит включить на рабочей станции?Включите аудит и смотрите кто, куда и откуда логинится/получает доступ/отлупы.
#4
Отправлено 24 Ноябрь 2009 - 18:05
Это Конфикер так по сети через дыры проходит. Пачей нет..."Выделено мной".Время: 24/11/2009 16:30:59.857
Источник: SpIDer Guard ® for Windows XP (NT AUTHORITY\SYSTEM)
Объект: "C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\0SKCDNFY\sxyql[1].png" ()
Вероятно, дроппер грузит вирус -> (кроме всег прочего) смотреть логи прокси.
Борис А. Чертенко aka Borka.
#5
Отправлено 24 Ноябрь 2009 - 18:10
Я слабо понимаю о чем речь, к сожалению...Это Конфикер так по сети через дыры проходит. Пачей нет...
Делать-то чего?
#6
Отправлено 24 Ноябрь 2009 - 18:11
Я слабо понимаю о чем речь, к сожалению...Это Конфикер так по сети через дыры проходит. Пачей нет...
Делать-то чего?
Закрыть шары, отключить автозапуск, установить сильные пароли, накатить обновления на систему.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#7
Отправлено 24 Ноябрь 2009 - 18:28
Это общие профилактические меры, а в данной конкретной ситуации неужели нельзя определить откуда он берется в сети?Закрыть шары, отключить автозапуск, установить сильные пароли, накатить обновления на систему.
#8
Отправлено 24 Ноябрь 2009 - 18:32
Это общие профилактические меры, а в данной конкретной ситуации неужели нельзя определить откуда он берется в сети?Закрыть шары, отключить автозапуск, установить сильные пароли, накатить обновления на систему.
Ну ищите-ищите, раз профилактика не нравится.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#9
Отправлено 24 Ноябрь 2009 - 20:52
Посмотреть задания планировщика на всех машинах, как уже советовали.Это общие профилактические меры, а в данной конкретной ситуации неужели нельзя определить откуда он берется в сети?Закрыть шары, отключить автозапуск, установить сильные пароли, накатить обновления на систему.
Запустить на всех машинах проверку папки system32 c помощью enterprise scanner, смотреть на предмет подозрительной dll с диагнозом "ошибка чтения".
Взять nmap и просканить сеть на предмет конфискера.
Убедиться, что никто не включил потихоньку в сеть личный компьютер.
...
Больше пока не придумал
#10
Отправлено 24 Ноябрь 2009 - 23:09
По-моему, проще запланировать проверку GUI-сканером. Сразу и лечение будет.Запустить на всех машинах проверку папки system32 c помощью enterprise scanner, смотреть на предмет подозрительной dll с диагнозом "ошибка чтения".
Борис А. Чертенко aka Borka.
#11
Отправлено 25 Ноябрь 2009 - 15:13
Это признак вируса?
#12
Отправлено 25 Ноябрь 2009 - 15:14
Личный сайт по Энкодерам - http://vmartyanov.ru/
#13
Отправлено 25 Ноябрь 2009 - 15:31
#14
Отправлено 25 Ноябрь 2009 - 15:45
Переезжаем. Делайте логи по Правилам раздела "Помощь по лечению".
#15
Отправлено 25 Ноябрь 2009 - 16:26
ручное удаление заданий поможет или надо еще что-то сделать?
#16
Отправлено 25 Ноябрь 2009 - 16:28
Личный сайт по Энкодерам - http://vmartyanov.ru/
#17
Отправлено 25 Ноябрь 2009 - 16:28
Справа кнопочки "Обзор" и "Загрузить". Если логи большие - сожмите архиватором.сделала логи, подскажите как их прикрепить
ручное удаление заданий поможет или надо еще что-то сделать?
Борис А. Чертенко aka Borka.
#19
Отправлено 25 Ноябрь 2009 - 17:20
C:\Windows\system32\itcadvapi.dll
C:\WINDOWS\system32\DRIVERS\itcscrpt.sys
Борис А. Чертенко aka Borka.
#20
Отправлено 25 Ноябрь 2009 - 18:44
где лог gui-сканера (drweb32w.exe) ?
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых