Проблемы с сетью после Kido.

[es5ape]

Товарищи, посоветуйте!
Есть домен и туча компьютеров, около 5 серверов, файловый, терминальных для работы с 1С полно и DC, все на Win2k3. После заражения Kido сеть работает нестабильно, отсутствует сетевая печать, все принтера подключены через AD, при попытке печати или подключения принтера пишет "Сервер печати временно не доступен." Подключить принтер по IP адресу также не удается. На всех машинах периодически вылетает служба "Обозреватель компьютеров", что влечёт за собой вылетание служб "Сервер" и "Рабочая станция". Брандмауэр не установлен, так как при блоке 139 и 445 портов печати не будет и так (может я и ошибаюсь). На всех машинах стоит Avira, которая постоянно фиксирует вирус. На серверах стоит Symantec Endpoint Protection, вирус постоянно выявляется и помещается в карантин. DC бесперебойно сыпет ошибками типа "База данных SAM не смогла заблокировать учетную запись Администратор из-за ошибки ресурса. Учетные записи блокируются после ввода нескольких неправильных паролей, поэтому, возможно, следует переустановить пароль для указанной выше учетной записи." Пароли на Админа менял, политика блокировки паролей после ввода неправильного пароля выключена. Заплатки от Майкрософта стоят, нифига не помагают .

[drongo]

значит где-то живёт.
" Пилите Шура, пилите " (C)
Включайте политику аудита и смотрите с какого компьютера идёт перебор паролей- он и заражён модификацией, которую не знают ваши антивирусы. На таком и делать комплект логов по правилам.Посмотрим.

[vitaky]

Посоветуйте что можно сделать. Заранее спасибо




Вобщем проблема: в локальной сети 2 компа, протокол Tcp\ip настроен правильно, компы между собой пингуются. у каждого расшарены некоторые папки, на компах установлены клиет для сетей майкрософт и служба доступа к файлам и принтерам - в обозревателе сети компьюторы друг к другу "не заходят" - нет доступа. Учетная запись Гость активирована. Переустановка винды помогает.Но как токо комп подсоединяю к сети кристалл лезет этот вирус ( WIN32.hllw.AUTORUNER.5555 ) и локалка летит
Новичок







__________________

[ice-berg]

Отключите глобальной политикой запуск с Сетевых дисков (!) обязательно - (можно проверить AVZ на любой машине после применения политики - там увидите в логах), отключите административные шары, отключите запуск с флешек в локальной сети.

батник на запрет флешек на глобальную политику повесьте:

cacls %SystemRoot%\Inf\Usbstor.pnf /E /D "local\domain users"
cacls %SystemRoot%\Inf\Usbstor.inf /E /D "local\domain users"
cacls %SystemRoot%\Inf\Usbstor.pnf /E /D System
cacls %SystemRoot%\Inf\Usbstor.inf /E /D System
regedit /s no_flash_drivers.reg
pause

no_flash_drivers.reg:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\USBSTOR]
"Type"=dword:00000001
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6 d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53 ,00,42,00,53,00,54,00,4f,\
00,52,00,2e,00,53,00,59,00,53,00,00,00
"DisplayName"="Драйвер запоминающих устройств для USB"



Смените пароль глобального админа, и в AD рекомендую проставить, чтобы каждый пользватель при след входе в систему сменил пароль.

Рассмотрите варианты отключения службы Сервера на серверах временно. Заблокируйте на шлюзе интернет в сети до решения проблемы.
Сделайте профилактику как на серверах так и на пользовательских машинах путем проверки сервиса кидо утилитой gmer.
Как то так. Суть одна, закрыть все пути распространения червя в сети до его убивания.
Проверьте утилитой уязвимость, которую использует Кидо в локальной сети. (http://www.securitylab.ru/bitrix/ext...67%28ru%29.zip )

Добавлено через 40 минут

p.s. еще главное забыл..
зарубите глобально службу Назначенных заданий.