Что то по сети ползет

**freeman_net** · 12.03.2008, 10:11

Сеть более 30 машин в локали.
В пятницу 9:30 на сервере APS (система обнаружения сканирования портов) сообщила о флуде в сети по порту 8080. Через час флудили уже 4 компа.
Сеть изолировал. Стал просто переустанавливать ось так как ни один антивирь не смог ничего найти. В момент когда бэкапил с вирусованной машины документы на сервер под линух один из юзеров загрузил свой комп - через 5 минут его машина тоже стала сканировать сеть. Сканирование идет только по локальным адресам сети.
Пробовал запускать AVZ кроме подмены pid ничего не находит.
На текущий момент AVZ обнаруживает подмену PID на сервере Windows server 2003 боюсь что тот же вирус. Есть еще один инфицированный комп под Windows XP с него логи чуть позже.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**drongo** · 12.03.2008, 12:26

hfs.exe- сами ставили ?
process explorer деинсталировать, возможно это он так у вас шалит.
сделать новые логи .

**freeman_net** · 12.03.2008, 13:01

Это шара для FTP при отключении ее ничего не меняется. Да и проверена временем она.

**freeman_net** · 13.03.2008, 13:04

Пока идей нет?

Добавлено через 3 часа 25 минут

Выручайте... Мне нужно винду сносить но очень хочу знать что за гадость....

Если комп не вотну в сеть через пару часов мне начнут

**Terry** · 13.03.2008, 15:02

А файлик C:\WINDOWS\system32\ntfrs.exe - это что такое ?

**XP user** · 13.03.2008, 15:05

Сообщение от Terry

А файлик C:\WINDOWS\system32\ntfrs.exe - это что такое ?

ntfrs.exe - служба репликации файлов

Paul

**freeman_net** · 13.03.2008, 15:08

Это не хрюша, это win serv 2003
C:\WINDOWS\system32\ntfrs.exe
on Microsoft Windows Server 2003 family, Advanced Serverversion 5.3790

File Version Information :

Version language : Русский
CompanyName : Microsoft Corporation
FileDescription : Служба репликации файлов
FileVersion : 5.2.3790.3959 (srv03_sp2_rtm.070216-1710)
InternalName : NTFRS.EXE
LegalCopyright : © Корпорация Майкрософт. Все права защищены.
OriginalFilename : NTFRS.EXE
ProductName : Операционная система Microsoft® Windows®
ProductVersion : 5.2.3790.3959

Creation Date : 15/03/2007 15:00:00
Last Modif. Date : 15/03/2007 15:00:00
Last Access Date : 13/03/2008 15:06:53
FileSize : 792576 bytes ( 774.000 KB, 0.756 MB )
FileVersionInfoSize : 1852 bytes
File type : Application (0x1)
Target OS : Win32 API (Windows NT) (0x40004)
File/Product version : 5.2.3790.3959 / 5.2.3790.3959
Language : Русский (0x419)
Character Set : 1200 (ANSI - Unicode (BMP of ISO 10646)) (0x4B0)

Build Information :
Debug Version : yes
Patched Version : no
Prerelease Version : no
Private Version : no
Special Build : no

**Rene-gad** · 13.03.2008, 15:43

http://virusinfo.info/showpost.php?p=201380&postcount=1 Вот так поступать не надо:

Пожалуйста, помните, что помощь Вам оказывается бесплатно, и на добровольной основе. Не требуйте помощи в категоричной форме.

Кроме того, даже коллективный мозг не всегда в состоянии помочь всем ( в смысле: 9 беременных женщин не родят ребенка за 1 месяц (с)

)
Наверное Вам лучше обратиться к специалистам ближайшей компьютерной фирмы.

**Numb** · 13.03.2008, 15:53

В порядке бреда: проверьте еще C:\WINDOWS\system32\srmhost.exe - больно у него дата создания интересная.

**freeman_net** · 13.03.2008, 16:07

Как его проверить. (отдельное спасибо за помощь впервые столкнулся с тем что не могу найти сам)
C:\WINDOWS\system32\srmhost.exe
on Microsoft Windows Server 2003 family, Advanced Serverversion 5.3790

File Version Information :

Version language : Английский (США)
CompanyName : Microsoft Corporation
FileDescription : Microsoft® File Server Resource Management Service Host
FileVersion : 5.2.3790.2075 (dnsrv_r2.051122-2350)
InternalName : srmhost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : srmhost.exe
ProductName : Microsoft® Windows® Operating System
ProductVersion : 5.2.3790.2075

Creation Date : 04/03/2008 09:46:18
Last Modif. Date : 14/03/2007 15:00:00
Last Access Date : 13/03/2008 16:04:22
FileSize : 10752 bytes ( 10.500 KB, 0.010 MB )
FileVersionInfoSize : 1956 bytes
File type : Application (0x1)
Target OS : Win32 API (Windows NT) (0x40004)
File/Product version : 5.2.3790.2075 / 5.2.3790.2075
Language : Английский (США) (0x409)
Character Set : 1200 (ANSI - Unicode (BMP of ISO 10646)) (0x4B0)

Build Information :
Debug Version : no
Patched Version : no
Prerelease Version : no
Private Version : no
Special Build : no

Добавлено через 2 минуты

Про специалистов - поверьте нет таких тут...

**XP user** · 13.03.2008, 18:43

@ freeman_net

Дайте нам, пожалуйста, один комплект логов с компьютера, который показывает такое поведение, и где установлен не сервер, а XP.
P.S.: Вы проверили наличие файлов autorun.* и наличие открытых админ шаров у всех в локалке? В этих двух, скорее всего, и можно найти ответ...

Paul

**freeman_net** · 14.03.2008, 08:31

По хрюшкам. Все компы проверялись. drweb, nod32 (2.7, 3.06), kasper, avz.
1-2 мелких трояна... Снять логи пока не могу или совсем не смогу пока не знаю.
Да и не волнуют хрюшки, сервак важней.
На инфицированных хрюшках после перезагрузки с пользователя снимали админ права (даже с администраторов) - блокировался вызов диспетчера задач и установка програм (любых). Вирус оставлял права "пользователя".

**XP user** · 14.03.2008, 08:57

Сообщение от freeman_net

По хрюшкам. Все компы проверялись. drweb, nod32 (2.7, 3.06), kasper, avz.
1-2 мелких трояна... Снять логи пока не могу или совсем не смогу пока не знаю.
Да и не волнуют хрюшки, сервак важней.
На инфицированных хрюшках после перезагрузки с пользователя снимали админ права (даже с администраторов) - блокировался вызов диспетчера задач и установка програм (любых). Вирус оставлял права "пользователя".

Да, сейчас модно так делать.
Ищите всё-таки со здорового компа (или с компакт-диска) файлы autorun.* Там, скорее всего инструкции, которые указывают на местонахождение зловреда (он, скорее всего себя прописал как устройство с драйвером). Далее идея посмотреть на ВСЕ параметры MountPoints2 в реестре и удалить их ВСЕ (ключ восстанавливается после перезагрузки, но уже чистым).
Хорошо бы, если вы смогли бы форсировать вот такое:

Код:

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

Система тогда не будет познавать файлы autorun.inf, и зловред может быть парализован если везёт...
P.S.: Ещё идея -
1) пользоваться MakeMeAdmin.
Это даёт временно админ права ограниченному пользователю.
2) Переустановка поверх (также должны восстанавливаться по крайне мере права группы Админов), и при этом данные не теряются.

Paul

**freeman_net** · 17.03.2008, 14:40

День добрый!
Посоветуйте образ диска с комплектом лечилок...

Добавлено через 6 часов 3 минуты

Плз плз плз

**freeman_net** · 19.03.2008, 09:14

Граждане специалисты в области вирусообрезания! Поскажите ISO образ загрузочного диска с лечилками.. ПЛЗ

**PavelA** · 19.03.2008, 12:07

http://winpe.nnm.ru - посмотри вот здесь. Регистрация свободная.

А так ищи в гугле LiveCD, либо BartPE

Что то по сети ползет (заявка № 19622)

Опции темы

Что то по сети ползет

Похожие темы

соц . сети

Скорость внутри своей сети(сети Wi-Fi роутера)

В сети 2 компьютера, один вчера вылечен, но на втором фаервол обнаружил сегодня подключение к новой частной сети.

Привратник для локальной сети: обзор решений для выхода в Интернет и защиты сети

Worm/Downadup по сети ползет похоже

Ваши права в разделе