Кратко описываю суть проблемы.
У нас на работе сеть локальная - более 100 ПК.
С появление флешек начался ужас на работе, люди несут из дома все что только можно.
Интернет есть только на нескольких машинах, все остальные машины обладают лишь локальной сетью.
После очередного обновления пользователи локальной сети стали массово жаловаться на непрерывное появление сообщений Dr Web об удалении вируса. Этот процесс происходит практически постоянно с интервалом от 1 до 10 минут.
C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\Content.IE5\XVIQSKN2\bvqptcr[1].jpg - инфицирован Trojan.DownLoad.16849
C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\Content.IE5\GIVFJO9I\efqeln[1].jpg - инфицирован Trojan.DownLoad.16849
C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\Content.IE5\UGVDYTQP\dsylegoq[1].jpg - инфицирован Trojan.DownLoad.16849
Если пользователь отключается от локальной сети то вирус появляться перестает.
Проверка компьютера на вирусы ничего не дает (вирусы находятся - успешно удаляются) но при подключении к сети все начинается по новой. Это при том что папка где появляется вирус не сетевая.
Раздел правил я читал, но ситуация у меня не стандартная поэтому делать логи по моему нет смысла.
Кто сталкивался с таким?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Нужно искать в сети зараженную машину, которая распространяет это по сети, другого варианта нет... можно еще поставить ловушку: создать сетевую папку и поставить на нее в политиках аудит доступа и вычислить, какая машина туда будет писать зверей...
Смысл есть делать логи хотя бы на заражённых машинах.Словим копию того зловреда, который не определяется - вы его отправите антивирусной компании- будет лечение для всех ста машин.
А политику насчёт флешек надо ужесточить Как минимум запретить автостарт.
Выполнил скрипт. Карантин выслал по правилам.
Логи пока не могу сделать, компьютер сканируется более 1 часа, а сейчас в организации рабочий процесс, доступа к ПК нет.
в карантине только ini, там указано что файла самого на компьютере нет.
Если возможно, то поискать на всех компьютерах и найти существующий файл C:\WINDOWS\system32\csrcs.exe , запаковать в zip с паролем virus и отправить нам и в сапорт дрвеба.
просмотрел около 10 компьютеров файлы csrcs.exe нигде нет.
На той машине где мы вчера запускали скрипт и делали логи вирус не появляется, только к компьютеру подключается сетевой кабель сразу идет почти непрерывная атака вирусов
C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\Content.IE5\XVIQSKN2\bvqptcr[1].jpg - инфицирован Trojan.DownLoad.16849
C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\Content.IE5\GIVFJO9I\efqeln[1].jpg - инфицирован Trojan.DownLoad.16849
C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\Content.IE5\UGVDYTQP\dsylegoq[1].jpg - инфицирован Trojan.DownLoad.16849
Добавлено через 43 минуты
Народ я нашел этот файл. прикладываю в карантин
Последний раз редактировалось sir-gorgoroth; 04.12.2008 в 10:55.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: