-
Junior Member
- Вес репутации
- 54
Эпидемия в сети
Добрый день!
Проблема в сети (300 ПК) На всех актуальный Kaspersky 6.0 для рабочих станций\серверов.
Предисловие: Начал чистить на файловом сервере (он же контроллер домена) папки сотрудников, в этот же день начались симптомы:
-нет доступа к сайтам антивирусов и микрософт
- постоянная остановка служб "Сервер" и "Рабочая станция" на всех серверах
После разговора с лаб. Касперского посоветовали лечение от KIDO.
На серваках была запущена утилита KK.exe. (Находила вирусы в процессах svchost). Сервера излечились. Для безопасности были установлены SP3 на рабочие станции без него.
На следующий день 30% рабочих станций остановили у себя службы "Сервер" и "Рабочая станция". Постоянно вылетает служба svhost. Либо в ней же "Память не может быть read". Утилита KK.exe ничего не находит. Попробовал переустановить Windows, после переустановки на машине начинается тоже самое. Сборки XP на ПК разные. SP3 ставился из разных источников.
Утилиты avz4.zip, HijackThisInstaller.exe, DrWeb ничего не находят. ((
В приложении логи контроллера домена и рабочей станции.
Помогите, что делать?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Во первых:
Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Базы AVZ надо обновлять.
2. Для разных компов - разные темы.
3. На контроллере домена есть следы Sality (Sector). Это файловый вирус.
4. SP3 не полностью устраняет дыры, используемые Kido. Надо:
* Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001 (на данных страницах вам необходимо выбрать операционную систему, которая установлена на зараженном компьютере, скачать нужный патч и установить его).
* Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр. Либо сменить ранее установленный пароль локального администратора.
* Отключить автозапуск исполняемых файлов со съемных носителей.
* Заблокировать доступ к TCP-портам: 445 и 139 с помощью сетевого экрана.
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 54
Поставил патчи майкрософт, порты закрыты.. вот логи с обновленной базы
На контроллере домена есть следы Sality (Sector). Это файловый вирус.
Ни одной утилитой не находится, как быть?
-
Kido не видно. ПРоблема решена?
Сообщение от
IIIaMaH
Ни одной утилитой не находится, как быть?
Вирус и его следы это не одно и то же.
-