Сеть более 30 машин в локали.
В пятницу 9:30 на сервере APS (система обнаружения сканирования портов) сообщила о флуде в сети по порту 8080. Через час флудили уже 4 компа.
Сеть изолировал. Стал просто переустанавливать ось так как ни один антивирь не смог ничего найти. В момент когда бэкапил с вирусованной машины документы на сервер под линух один из юзеров загрузил свой комп - через 5 минут его машина тоже стала сканировать сеть. Сканирование идет только по локальным адресам сети.
Пробовал запускать AVZ кроме подмены pid ничего не находит.
На текущий момент AVZ обнаруживает подмену PID на сервере Windows server 2003 боюсь что тот же вирус. Есть еще один инфицированный комп под Windows XP с него логи чуть позже.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
А файлик C:\WINDOWS\system32\ntfrs.exe - это что такое ?
Hикогда не бойся делать то, что ты не умеешь. Помни: ковчег был построен любителем, профессионалы построили "ТИТАHИК".
Руководитель антивирусной лаборатории
Creation Date : 15/03/2007 15:00:00
Last Modif. Date : 15/03/2007 15:00:00
Last Access Date : 13/03/2008 15:06:53
FileSize : 792576 bytes ( 774.000 KB, 0.756 MB )
FileVersionInfoSize : 1852 bytes
File type : Application (0x1)
Target OS : Win32 API (Windows NT) (0x40004)
File/Product version : 5.2.3790.3959 / 5.2.3790.3959
Language : Русский (0x419)
Character Set : 1200 (ANSI - Unicode (BMP of ISO 10646)) (0x4B0)
Build Information :
Debug Version : yes
Patched Version : no
Prerelease Version : no
Private Version : no
Special Build : no
Пожалуйста, помните, что помощь Вам оказывается бесплатно, и на добровольной основе. Не требуйте помощи в категоричной форме.
Кроме того, даже коллективный мозг не всегда в состоянии помочь всем ( в смысле: 9 беременных женщин не родят ребенка за 1 месяц (с) )
Наверное Вам лучше обратиться к специалистам ближайшей компьютерной фирмы.
Как его проверить. (отдельное спасибо за помощь впервые столкнулся с тем что не могу найти сам)
C:\WINDOWS\system32\srmhost.exe
on Microsoft Windows Server 2003 family, Advanced Serverversion 5.3790
Creation Date : 04/03/2008 09:46:18
Last Modif. Date : 14/03/2007 15:00:00
Last Access Date : 13/03/2008 16:04:22
FileSize : 10752 bytes ( 10.500 KB, 0.010 MB )
FileVersionInfoSize : 1956 bytes
File type : Application (0x1)
Target OS : Win32 API (Windows NT) (0x40004)
File/Product version : 5.2.3790.2075 / 5.2.3790.2075
Language : Английский (США) (0x409)
Character Set : 1200 (ANSI - Unicode (BMP of ISO 10646)) (0x4B0)
Build Information :
Debug Version : no
Patched Version : no
Prerelease Version : no
Private Version : no
Special Build : no
Добавлено через 2 минуты
Про специалистов - поверьте нет таких тут...
Последний раз редактировалось freeman_net; 13.03.2008 в 16:07.
Причина: Добавлено
Дайте нам, пожалуйста, один комплект логов с компьютера, который показывает такое поведение, и где установлен не сервер, а XP.
P.S.: Вы проверили наличие файлов autorun.* и наличие открытых админ шаров у всех в локалке? В этих двух, скорее всего, и можно найти ответ...
Paul
Последний раз редактировалось XP user; 13.03.2008 в 19:11.
По хрюшкам. Все компы проверялись. drweb, nod32 (2.7, 3.06), kasper, avz.
1-2 мелких трояна... Снять логи пока не могу или совсем не смогу пока не знаю.
Да и не волнуют хрюшки, сервак важней.
На инфицированных хрюшках после перезагрузки с пользователя снимали админ права (даже с администраторов) - блокировался вызов диспетчера задач и установка програм (любых). Вирус оставлял права "пользователя".
По хрюшкам. Все компы проверялись. drweb, nod32 (2.7, 3.06), kasper, avz.
1-2 мелких трояна... Снять логи пока не могу или совсем не смогу пока не знаю.
Да и не волнуют хрюшки, сервак важней.
На инфицированных хрюшках после перезагрузки с пользователя снимали админ права (даже с администраторов) - блокировался вызов диспетчера задач и установка програм (любых). Вирус оставлял права "пользователя".
Да, сейчас модно так делать.
Ищите всё-таки со здорового компа (или с компакт-диска) файлы autorun.* Там, скорее всего инструкции, которые указывают на местонахождение зловреда (он, скорее всего себя прописал как устройство с драйвером). Далее идея посмотреть на ВСЕ параметры MountPoints2 в реестре и удалить их ВСЕ (ключ восстанавливается после перезагрузки, но уже чистым).
Хорошо бы, если вы смогли бы форсировать вот такое:
Система тогда не будет познавать файлы autorun.inf, и зловред может быть парализован если везёт...
P.S.: Ещё идея -
1) пользоваться MakeMeAdmin.
Это даёт временно админ права ограниченному пользователю.
2) Переустановка поверх (также должны восстанавливаться по крайне мере права группы Админов), и при этом данные не теряются.
Paul
Последний раз редактировалось XP user; 14.03.2008 в 09:54.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: