а был ли вирус?

[intrepid]

здравствуйте.
ситуация :каждый день в одно и тоже время (приблизительно в 10:00) перестаёт работать любой браузер и почтовый клиент(только отправка) на некоторых машинах сети.
перезагрузка не исправляет ситуацию , но через некоторое время (15-20 мин) все исчезает само.
исходные данные: машины выходят в интернет через ISA2004 , на каждой машине установлен firewall client.

[V_Bond]

выполните правила

[intrepid]

да, извините , втупил
вот вложения

[V_Bond]

выполните скрипт..

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('winsystem.exe','');
 QuarantineFile('C:\Documents and Settings\murashov\Главное меню\Программы\Автозагрузка\regedit.bat','');
 QuarantineFile('C:\Documents and Settings\murashov\Главное меню\Программы\Автозагрузка\logon.cmd','');
 QuarantineFile('C:\Documents and Settings\murashov\Главное меню\Программы\Автозагрузка\MurashovNet.cmd','');
BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
 end.

пришлите карантин согласно приложения 3 правил...

[Bratez]

Пофиксите в HijackThis:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4WJ2304LFD0SF9FSD0A2T4LD.BIZ/search.htm (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.traffer.ru/
O4 - HKCU\..\Run: [Windows_Protect] winsystem.exe

Поищите через AVZ - Сервис - Поиск файлов: winsystem.exe
Если найдется, пришлите по правилам (приложение 2).

[intrepid]

выполните скрипт..

пришлите карантин согласно приложения 3 правил...

готово

Добавлено через 4 минуты

Пофиксите в HijackThis:

Поищите через AVZ - Сервис - Поиск файлов: winsystem.exe
Если найдется, пришлите по правилам (приложение 2).

пофиксил. файл не найден.

[AndreyKa]

В присланном карантине чисто.
Пришлите файл C:\kamers.reg

PS. Может все дело в правилах ISA2004? Вы их можете проверить?

[intrepid]

В присланном карантине чисто.
Пришлите файл C:\kamers.reg

PS. Может все дело в правилах ISA2004? Вы их можете проверить?

указаный вами файл изготовлен моим напарником, он был предназначен для того ,чтобы обозначить в реестре установленые в сети веб-камеры как локальные хосты(чекбокс в настройках ИЕ "не использовать прокси-сервер для локальных адресов"). что именно проверить в правилах?
ситуация такова что только несколько машин(точнее 4) подвержены подобному глюку. возможно натолкнет на мысль следующее: когда это происходит (а происходит напоминаю в одно и тоже время каждый день) то браузер перестает открывать страницы , the bat принимает почту но не может отправить(ошибка типа "не могу связатся с сервером") ,аська и скайп работают. firewall client показывает отсутствие связи с сервером , а когда нажимаешь кнопку "тест" ,пишет :Failed to resolve server name.
я пробовал смотреть в этот момент активность на портах и увидел что идет обращение к файерволу по тср портам 1745 и udp 1900 .
зы:логи присланы от одной из этих четырех машин,другие пока не исследовал.

[intrepid]

хм. действительно , сабж... исследуемый компьютер перестал отваливатся от инета( по -крайней мере сегодня этого не произошло).
а я могу прислать логи с других машин подверженых таким же багам?

[AndreyKa]

а я могу прислать логи с других машин подверженых таким же багам?

Да, только отдельную тему для каждого из них создавайте и ссылку на эту тему в сообщение вставтьте.

[intrepid]

а вот сегодня произошел отвал инета ,но в другое время. все по стандартному сценарию: аська работает браузер нет. да и еще вот какой момент отметил: каким-то образом в настройках ие слетает чекбокс "использовать прокси-сервер..." вместо этого ставится чекбокс "автоматическая настройка"

[Trotil]

аська работает браузер нет

У моего знакомого было такое (малые пакеты пропускал, большие - уже нет) - как оказалось, проблемы была на стороне провайдера.

[intrepid]

У моего знакомого было такое (малые пакеты пропускал, большие - уже нет) - как оказалось, проблемы была на стороне провайдера.

всё дело в том что происходит это не на всех машинах и один раз в день на 15 мин. такое впечатление что какая-то зараза забивает канал .

[PavelA]

Профработы у провайдера. Такое тоже может быть.

[intrepid]

Профработы у провайдера. Такое тоже может быть.

а если серьёзно? я не зря тему так назвал, явных симптомов вирусной активности нет, но странные вещи происходят......

[PavelA]

а вот сегодня произошел отвал инета. да и еще вот какой момент отметил: каким-то образом в настройках ие слетает чекбокс "использовать прокси-сервер..." вместо этого ставится чекбокс "автоматическая настройка"

Это бывает, если отрабатывает какой-то скрипт.
Такое бывает если машина в домене и в Active Directory.

Можно принудительно настроить полиси на запрет смены этих настроек.

[intrepid]

Это бывает, если отрабатывает какой-то скрипт.
Такое бывает если машина в домене и в Active Directory.

Можно принудительно настроить полиси на запрет смены этих настроек.

смена настроек не самое страшное их можно и руками поправить.главное что на 15 мин перестаёт ходить браузер .

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 11
• В ходе лечения вредоносные программы в карантинах не обнаружены