Показано с 1 по 20 из 20.

Вирус на сервере (заявка № 11003)

  1. #1
    Junior Member Репутация
    Регистрация
    12.07.2007
    Сообщений
    17
    Вес репутации
    62

    Question Вирус на сервере

    Написать вопрос по всем правилам не получиться так как вирус обнаружился на контроллере домена и отключать антивирь и перегружать не получиться, если уважаемое сообщество без этих логов не сможет помочь тогда сделаю все мероприятия вечером.
    Теперь о сути проблемы.
    Имеем сервер w2k3 контроллер домена с установленным нортоном 10 корпорейт, на основной массе компов стоит нортон клиентом на этих компах политиками отключено востановление системы. На остальных компах антивирь не обновлен и стоит что бог на душу положит, ситуация меняется но постепенно, так компов более чем достаточно.
    Уже месяц в сети буйствует W32.Sality.X, причем каждую ночь на серваке проходит полный скан и бъет\удаляет кучу зараженных экзешников, к вечеру ситуация повторяется. Теперь собственно вопрос я могу понять что вирус присутвует на компах где нет или старый антивирь, но как он пробирается на сервак, в логах антивиря на сервере пишеться что он видит их блокирует\удаляет\лечит но там потом опять появляется. По мере ввода компов в домен и накатывания на них клинта симантюка ситуация меняется в лучшую сторону, колличество зараженных файлов становиться меньше, но это ведь не решение сути вопроса, то ли симантюк пропускает толи я чего-то не так делаю.

    Обновления стоят последние, максимум отстование 1-2 дня.

    Добавлено через 3 часа 58 минут
    Молчание означает что без логов ничего не получиться
    Последний раз редактировалось jener; 12.07.2007 в 16:05. Причина: Добавлено сообщение

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Цитата Сообщение от jener Посмотреть сообщение
    Молчание означает что без логов ничего не получиться
    Именно

  4. #3
    Junior Member Репутация
    Регистрация
    12.07.2007
    Сообщений
    17
    Вес репутации
    62
    Народ ушел, сделал и выкладываю логи.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      QuarantineFile('c:\windows\system32\wins.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11003

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Молчание может еще означать то, что через AVZ тяжко бороться с энтим делом.
    Надо попробовать провериться альтернативным антивирусом. Может даже просто Cure-It. Не знаю правда на серверах он работает.

    По описаниям, данный вирусняк пролезает по всем открытым дискам. Сам понимаешь, сервер самый лакомый кусочек для него.
    У меня на машине Симантек 10.1.4.4000. Пробовал тут карантин из другой темы загрузить - тут же орать начинает.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    12.07.2007
    Сообщений
    17
    Вес репутации
    62
    Я все прекрасно понимаю и ценю Ваш труд, пока сидел почитал другие темы, а то вроде как антивирь поставил защиту настроил и забыл, пока эта зараза не полезла. Между делом архивчик вам залил с сервака.
    Что самое странное симантюк его видит и бъет, логи красным заполнены , но как этот хад пробирается мимо антивиря ума не приложу. Сделал отчет с каких машин он пробираеться в основном, народ мой щас их прибивает форматом и ставит все с нуля, сообщений становиться меньше. А насчет Cure-it щас скачаю и попробую.

    Добавлено через 5 минут
    С небольшими матами но cure запустился отработал сказал что ничего нет.
    Последний раз редактировалось jener; 12.07.2007 в 19:59. Причина: Добавлено сообщение

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Судя по длительности - это была экспресс-проверка. Теперь надо просканировать все диски. Я бы посоветовал для этого скачать с http://freedrweb.com/ бету CureIt. Хотя если заражённые файлы только оседают на сервере, а активного заражения нет, то и релизная версия справится.

    Да, интересно знать, в каких местах сервера зараза копится. Может, действительно на открытых в сеть папках?

  9. #8
    Junior Member Репутация
    Регистрация
    12.07.2007
    Сообщений
    17
    Вес репутации
    62
    Вирусы оседают токо в расшаренных папка и только в тех где разрешена запись. Проблем особых не создает, меня беспокоит вопрос, как при включеном нортоне создаются файлики с вирусами типа есть папка FOTO вирус делает в том же месте foto.exe. При ручном ночном осмотре выявлены также несколько вирей W32.Wullik@mm (очищено при удалении) VBS.Runauto (удален) JS.Exception.Exploit (очищено при удалении), такиех 3-4 было, основная масса что-то около 30-40 exe-шников это W32.Sality.X. В связи с этим меня терзают смутные сомнения что у меня что-то не так с антивирем, и не перерастет данная ситуация в большую беду.
    Что посоветуете еще сделать?

    Добавлено через 1 минуту
    Системный диск чист и таким всегда был с момента запуска сервака.
    Последний раз редактировалось jener; 13.07.2007 в 09:07. Причина: Добавлено сообщение

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Если у вас домен, то что мешает посмотреть кто Владелец (ovner) зараженных файлов?

  11. #10
    Junior Member Репутация
    Регистрация
    12.07.2007
    Сообщений
    17
    Вес репутации
    62
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Если у вас домен, то что мешает посмотреть кто Владелец (ovner) зараженных файлов?
    я это знаю и убиваю эти машины, вопрос КАК он пробирается мимо симантюка.

    Добавлено через 8 минут
    Почему антивирь зная про эти вирусы, убивает файлы им созданные выборочно, часть рубит часть нет, для меня эта загадка.
    Последний раз редактировалось jener; 13.07.2007 в 10:43. Причина: Добавлено сообщение

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Ну, это надо спрашивать в техподдержке Симантека. Хотя, может быть, PavelA чем поможет, у него тоже это чудо под боком.

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Чудо под боком, но администрю не я. Он у нас в HQ администрится службой сетевой безопасности, а я в поддержке пользователей.
    @jener Пиши в ЛС. Дам мыло наших админов. М.б. помогут.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    12.07.2007
    Сообщений
    17
    Вес репутации
    62
    Письмо написал жду ответа, еще на серваке куча файликов desktop.ini со следующим содержанием
    [ExtShellFolderViews]
    Default={5984FFE0-28D4-11CF-AE66-08002B2E1262}
    {5984FFE0-28D4-11CF-AE66-08002B2E1262}={5984FFE0-28D4-11CF-AE66-08002B2E1262}

    [{5984FFE0-28D4-11CF-AE66-08002B2E1262}]
    PersistMoniker=file://Folder.htt

    [.ShellClassInfo]
    ConfirmFileOp=0

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Проверьте на virustotal парочку лежащих рядом с ними folder.htt.

  16. #15
    Junior Member Репутация
    Регистрация
    12.07.2007
    Сообщений
    17
    Вес репутации
    62
    по поиску нашел все folder.htt не со всеми есть desktop.ini, и опять же присутсвуют токо в шарах с разрешением на запись, есть мысль прибить их все.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Логично, ибо с большой вероятностью звериные. Проверяли их на virustotal?

  18. #17
    Junior Member Репутация
    Регистрация
    12.07.2007
    Сообщений
    17
    Вес репутации
    62
    Проверил несколько штук, чистые. Но для очистки совести прибил их.

    Добавлено через 38 минут
    В реестре создается ветка HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2
    удаляеешь ее потом снова она появляется.
    владелец администраторы, похоже вирь сидит под моим именем, нортон ведет себя так же, отлавливает бъет, вечером опять сидят хады в шарах.

    Такое чуство что хожу вокруг да около решения проблемы, исправляю последствия а не суть.
    На данный момент вижу только одно решение проблемы, забить на все эти вири на серваке, продолжать каждый вечер чистить сервак (хотя и не вижу смысла, сизифов труд), ввести все компы в домен с установкой антивиря, похоже что без антивиря на клиентской машине сервак пропускает вирусы.

    Второе разочарование в Нортоне за последние 5 лет, может у меня руки кривые и я его не правильно настроил.
    Последний раз редактировалось jener; 30.07.2007 в 12:00. Причина: Добавлено сообщение

  19. #18
    Junior Member Репутация
    Регистрация
    12.07.2007
    Сообщений
    17
    Вес репутации
    62
    Прогресс на лицо, за 2 дня на сервере 3 сообщения про вирусы (вылечены), прибиты несколько компов которые были основными разносчиками заразы в сети, хотя основной вопрос ПОЧЕМУ нортон пропускал их на сервер так и остался открытым.

    Добавлено через 7 часов 16 минут

    Запустил щас скан руками:
    Обнаружена угроза!Угроза:VBS.Runauto в файле: C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\APTemp\AP1.inf_?????. Тип осмотра: Автоматическая защита. Действие: Изолировать выполнено : Доступ запрещен. Описание действия: Файл успешно помещен в Изолятор.
    файл остался на месте
    можете как-нибудь прокоментировать это?
    Последний раз редактировалось jener; 03.08.2007 в 18:21. Причина: Добавлено

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Это уже ревматизм. Аутоиммунная реакция, когда организм сам себя зловредом считает.

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) jener, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус на сервере. Помогите.
      От sergeyms в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 11.06.2012, 22:21
    2. вирус на сервере
      От rotebarex в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 08.09.2010, 22:16
    3. Вирус на сервере Win 2003 SE
      От Anton_ua в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 03.08.2010, 21:44
    4. Вирус на сервере
      От qwezxc в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 20.03.2010, 21:37
    5. Вирус на сервере
      От sparrow в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 28.07.2008, 10:10

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01461 seconds with 18 queries