-
Junior Member
- Вес репутации
- 59
Sality.NAR вирус
Здравствуйте, помогите пожалуйста...контроллер домена ОС windwows server 2003...около 50 клиентов, клиенты(NOD32 версия 3.0.669) детектят и постоянное удаляют вирус Sality.NAR, но он создаётся снова, причём с большой скоростью. На сервере стоит NOD32 версия 2 какая-то...она вообще вирус не видит, более позднии версии на сервер не устанавливаются...антивирус официальный. Пытался отследить с какого клиента создаются файлы, поставил аудит этой папки, добавил в отслеживаемые пользователей домена, администраторов домена, включил в политиках контроллера домена успех аудита доступа к объектам. В результате в журнале безопасности по категории доступ к объектам светится только администратор...учётка, которая залогинена на этом контроллере домена. Или этот вирус не может распространять себя через сетевые папки?
Добавлено через 9 минут
считаю, что сам сервер не заражён, потому как симптомов заражения на нём нет, только файлы создаются в этой папке, которая выложена на общий доступ. Когда с клиента заходишь в эту папку НОД детектит вирус, когда в другую, в других папках вируса нет.
Добавлено через 3 минуты
да, кстати...файлы там создаются с расширениями .cmd и .exe в с атрибутом скрытый и только чтение
Последний раз редактировалось KpaH4iTo; 07.08.2009 в 13:20.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Я думаю, Вам в "Помогите". Может даже стоит с начало пролечить сервер, а потом думать дальше 
Клуб любителей Symantec - http://symantecclub.ru/
-
Ответить с цитированием
