-
Junior Member
- Вес репутации
- 56
Сеть падает.Вроде: Trojan-PSW.Win32.QQPass.xw
Организация. 35 компьютеров.
ОС: XP sp2
на каждом компьютере стоит лицензионный Kaspersky EnterpriseSpace Security Russian Edition. Обновление - каждые 2 часа.
Есть 2 сервера:
1.Интернетовский - FreeBSD
2.Файловый - WinNT Server. Я этот сервер не трогал вообще, знаю только что там RAID и каспер стоит.
И тут бац вчера на всех компьютерах атака:
Trojan-PSW.Win32.QQPass.xw
и доступ к файлову серверу блокировался на час.
Я в срочном порядке отключил в касперском "Анти-хакер" "Включить систему обнаружения вторжений". И всё вроде как стало работать.
НО всё УЖАС как тормозит.
Сейчас подключил свой ноут к сети, и мой ноут начал тупить жёстко. У меня стоит тот же самый касперский + Agnitium Outpost Firewall.
Поставил анализатор трафика WireShark.
По сети ходят запросы с сервака файлового. Определил это по айпи в заголовках.
Стал копаться в файловом сервере - у него кончилась лицензия на Kaspersky и походу там появился вирус. Хотя за серваком никто не работает, странно что вирус там смог вообще запустится.
В файрволе и в анализаторе трафика вижу постоянно запросы с сервака. Вот цитирую логи из WireShark:
7887 1669.384194 10.0.0.251 255.255.255.255 UDP Source port: ssslog-mgr Destination port: tbrpf
7899 1684.387381 10.0.0.251 255.255.255.255 UDP Source port: accord-mgc Destination port: tbrpf
7908 1699.383192 10.0.0.251 255.255.255.255 UDP Source port: anthony-data Destination port: tbrpf
7917 1714.382654 10.0.0.251 255.255.255.255 UDP Source port: metasage Destination port: tbrpf
8085 1909.376280 10.0.0.251 255.255.255.255 UDP Source port: qt-serveradmin Destination port: tbrpf
8135 1954.375229 10.0.0.251 255.255.255.255 UDP Source port: tgp Destination port: tbrpf
и таких запросов немыслимо много.
Я пытался на файловый сервер с которого идут эти запросы - поставить файрвол - установился, запустился, но там пусто. Такое ощущение что он не может получить доступ к сети. Он не отображает ни сетевые подключения ни порты открытые.
Пытался поставить касперский как у всех - для NT не поставился. НА сайте касперского под NT не нашёл
помогите пожалуйста. Если ещё что то надо описать - скажите, постараюсь сделать.
Сейчас прогонял бесплатную утилиту от Др.ВЕБ он нашёл:
Win32.HHLW.Shadow.based - и удалил его.
Но запросы как были так и есть.
в сети ужас что творится к инету подключается, работает минут 10 и всё....инет не пингуется, не отключается и всё ужасно тормозит.
Ещё на компьютерах(не на сервере) периодически возникает ошибка:
svchost.exe - ошибка приложения
инструкция по адресу "0xaa8946ab" обратилась к памяти по адресу "0xaa871118". Память не может быть "read".
Ок/Отмена
и вот такое:
Generic Host Process for Win32 Services
Generic Host Process for Win32 Services - обнаружена ошибка. Приложение будет закрыто.
отладка/закрыть
и после такой ошибки - всё тупит полностью. Только перезагрузка.
Последний раз редактировалось CoLoR; 15.01.2009 в 13:47.
Причина: добавление информации
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-