Написать вопрос по всем правилам не получиться так как вирус обнаружился на контроллере домена и отключать антивирь и перегружать не получиться, если уважаемое сообщество без этих логов не сможет помочь тогда сделаю все мероприятия вечером.
Теперь о сути проблемы.
Имеем сервер w2k3 контроллер домена с установленным нортоном 10 корпорейт, на основной массе компов стоит нортон клиентом на этих компах политиками отключено востановление системы. На остальных компах антивирь не обновлен и стоит что бог на душу положит, ситуация меняется но постепенно, так компов более чем достаточно.
Уже месяц в сети буйствует W32.Sality.X, причем каждую ночь на серваке проходит полный скан и бъет\удаляет кучу зараженных экзешников, к вечеру ситуация повторяется. Теперь собственно вопрос я могу понять что вирус присутвует на компах где нет или старый антивирь, но как он пробирается на сервак, в логах антивиря на сервере пишеться что он видит их блокирует\удаляет\лечит но там потом опять появляется. По мере ввода компов в домен и накатывания на них клинта симантюка ситуация меняется в лучшую сторону, колличество зараженных файлов становиться меньше, но это ведь не решение сути вопроса, то ли симантюк пропускает толи я чего-то не так делаю.
Обновления стоят последние, максимум отстование 1-2 дня.
Добавлено через 3 часа 58 минут
Молчание означает что без логов ничего не получиться
Последний раз редактировалось jener; 12.07.2007 в 16:05.
Причина: Добавлено сообщение
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Молчание может еще означать то, что через AVZ тяжко бороться с энтим делом.
Надо попробовать провериться альтернативным антивирусом. Может даже просто Cure-It. Не знаю правда на серверах он работает.
По описаниям, данный вирусняк пролезает по всем открытым дискам. Сам понимаешь, сервер самый лакомый кусочек для него.
У меня на машине Симантек 10.1.4.4000. Пробовал тут карантин из другой темы загрузить - тут же орать начинает.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Я все прекрасно понимаю и ценю Ваш труд, пока сидел почитал другие темы, а то вроде как антивирь поставил защиту настроил и забыл, пока эта зараза не полезла. Между делом архивчик вам залил с сервака.
Что самое странное симантюк его видит и бъет, логи красным заполнены , но как этот хад пробирается мимо антивиря ума не приложу. Сделал отчет с каких машин он пробираеться в основном, народ мой щас их прибивает форматом и ставит все с нуля, сообщений становиться меньше. А насчет Cure-it щас скачаю и попробую.
Добавлено через 5 минут
С небольшими матами но cure запустился отработал сказал что ничего нет.
Последний раз редактировалось jener; 12.07.2007 в 19:59.
Причина: Добавлено сообщение
Судя по длительности - это была экспресс-проверка. Теперь надо просканировать все диски. Я бы посоветовал для этого скачать с http://freedrweb.com/ бету CureIt. Хотя если заражённые файлы только оседают на сервере, а активного заражения нет, то и релизная версия справится.
Да, интересно знать, в каких местах сервера зараза копится. Может, действительно на открытых в сеть папках?
Вирусы оседают токо в расшаренных папка и только в тех где разрешена запись. Проблем особых не создает, меня беспокоит вопрос, как при включеном нортоне создаются файлики с вирусами типа есть папка FOTO вирус делает в том же месте foto.exe. При ручном ночном осмотре выявлены также несколько вирей W32.Wullik@mm (очищено при удалении) VBS.Runauto (удален) JS.Exception.Exploit (очищено при удалении), такиех 3-4 было, основная масса что-то около 30-40 exe-шников это W32.Sality.X. В связи с этим меня терзают смутные сомнения что у меня что-то не так с антивирем, и не перерастет данная ситуация в большую беду.
Что посоветуете еще сделать?
Добавлено через 1 минуту
Системный диск чист и таким всегда был с момента запуска сервака.
Последний раз редактировалось jener; 13.07.2007 в 09:07.
Причина: Добавлено сообщение
Чудо под боком, но администрю не я. Он у нас в HQ администрится службой сетевой безопасности, а я в поддержке пользователей.
@jener Пиши в ЛС. Дам мыло наших админов. М.б. помогут.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Письмо написал жду ответа, еще на серваке куча файликов desktop.ini со следующим содержанием
[ExtShellFolderViews]
Default={5984FFE0-28D4-11CF-AE66-08002B2E1262}
{5984FFE0-28D4-11CF-AE66-08002B2E1262}={5984FFE0-28D4-11CF-AE66-08002B2E1262}
Проверил несколько штук, чистые. Но для очистки совести прибил их.
Добавлено через 38 минут
В реестре создается ветка HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2
удаляеешь ее потом снова она появляется.
владелец администраторы, похоже вирь сидит под моим именем, нортон ведет себя так же, отлавливает бъет, вечером опять сидят хады в шарах.
Такое чуство что хожу вокруг да около решения проблемы, исправляю последствия а не суть.
На данный момент вижу только одно решение проблемы, забить на все эти вири на серваке, продолжать каждый вечер чистить сервак (хотя и не вижу смысла, сизифов труд), ввести все компы в домен с установкой антивиря, похоже что без антивиря на клиентской машине сервак пропускает вирусы.
Второе разочарование в Нортоне за последние 5 лет, может у меня руки кривые и я его не правильно настроил.
Последний раз редактировалось jener; 30.07.2007 в 12:00.
Причина: Добавлено сообщение
Прогресс на лицо, за 2 дня на сервере 3 сообщения про вирусы (вылечены), прибиты несколько компов которые были основными разносчиками заразы в сети, хотя основной вопрос ПОЧЕМУ нортон пропускал их на сервер так и остался открытым.
Добавлено через 7 часов 16 минут
Запустил щас скан руками:
Обнаружена угроза!Угроза:VBS.Runauto в файле: C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\APTemp\AP1.inf_?????. Тип осмотра: Автоматическая защита. Действие: Изолировать выполнено : Доступ запрещен. Описание действия: Файл успешно помещен в Изолятор.
файл остался на месте
можете как-нибудь прокоментировать это?
Последний раз редактировалось jener; 03.08.2007 в 18:21.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: