На работе сеть (wifi, ip заданы постоянные, сервер без домена и рабочие компы). После того, как по сети прогулялся вирус, который создаёт файлы autorun.inf и khr (размером 0) в корнях дисков, появилась такая проблема. Пробую зайти с одного из рабочих компов на расшареную папку на сервере (через сетевое окружение) - пишет "нет доступа - обратитесь к администратору". Сам сервер и эта папка в сетевом окружении видны. До вируса при этих же манипуляциях выдавало запрос имени пользователя и пароля, при вводе которых открывалась расшареная папка. Вирус был удалён с помощью Nod32 3.0.65. Через "подключение к удалённому рабочему столу" на сервер заходит без проблем. Остались в сети пару компов, не тронутых вирусом - с них заходит как и раньше, с запросом пароля и имени (зайти может любой из наших работников, введя свои логин/пароль). Помогите, пожалуйста, разобраться, а то сисадмина у нас нету...
PS Что-то подсказывает, что может фишка в подмене каких-нибудь адресов... Но я тут ламер, Вам виднее конечно же
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
образца не осталось...
Подключаю сетевой диск, но зайти на него не могу - отказано в доступе. При отключении этого диска он оказался не единственным (z:\\server\файлы), ещё там были 3 штуки (нет)\\server\файлы. Отключил их все, но после попытки открыть эту папку через сетевое окружение (безрезультатно) опять появились 2 штуки...
Да, вирус был scrcs.exe
Последний раз редактировалось X_6; 09.12.2008 в 11:20.
В Проводнике меню Сервис - Свойства Папки - Вид - снять галочку Автоматический поиск сетевых папок
Перезагрузите компьютер. Подключите сетевой диск указав пользователя с правом доступа через строчку "Подключение под другим именем" в диалоге.
Она была снята. При таком подключении выдаёт "Указанная сетевая папка подключена с использованием других имени пользователя и пароля. Чтобы подключиться к ней с использованием других имени пользователя и пароля, необходимо отключить от неё все имеющиеся подключения." И затем сразу "Не удаётся выполнить сопоставление сетевого диска из-за следующей ошибки: Множественное подключение к серверу или разделяемым ресурсам одним пользователем с использованием более одного имени пользователя неразрешено, отключите все предыдущие подключения к серверу или разделяемым ресурсам и повторите..."
При попытке зайти в эту папку через Total commander выдаёт "нет доступа или файл уже используется"
Да - всё то же самое. После перезагрузки сразу пытаюсь создать сетевой диск и мне выдаёт всё что писал выше.
Добавлено через 1 час 7 минут
Такое чувство, что он думает, будто я уже вошёл и второй раз пытаюсь...
PS Сорри, забыл сказать, на сервере Windows Server 2003 SP1 (но началось это ещё до установки SP1)
Добавлено через 1 час 5 минут
И ещё, в сервере вообще пропало сетевое окружение (открывается только через Мой компьютер) и "Отобразить компьютеры рабочей группы" делается медленно (думает секунд 30). Может скинуть логи с сервера? Хотя пускает же он неинфицированные компы без проблем, как и раньше...
Последний раз редактировалось X_6; 09.12.2008 в 14:51.
Причина: Добавлено
Логи сервера можно сделать, но в отдельной теме.
Поосторожнее с AVZ, действуйте без отклонений от Правил.
Посмотрите на сервере через управление компьютером, какие ресурсы использует данный компьютер и от имени какого пользователя.
Тааак, если подумать логически, на расшареные папки/диски других компов в сетке я зайти могу, без запросов паролей/логинов, гулял по ним вирус/не гулял - без разницы. Не могу только на расшареные папки на сервере, причём только с компов, по которым "прошёлся" вирус. Следовательно, может дело всё же в серваке? Может там есть какой-нить блэклист в фаерволе (Lan2net)? Утром сделаю логи с сервака в новой ветке.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: