итак имееться:
1. локальная сетка Ethernet, построена на неуправляемых свичах dlink
2. адреса рабочим станциям выдаються службой DHCP (W2K3)
3. на машинах установлен Eset Nod32 3.0, базы свежие, регулярно обновляюца.
4. обновления безопасности винды тоже имеются.
проблема:
каждый понедельник, ровно в 8 утра, машины подключенные к одному из свичей, перестают получать адрес. Через некоторое время все встает на свои места.
синдромы:
1. Если в это время поставить статический адрес, то пинги до сервака не проходят.
2. Адрес получают на подобии 169.254.97.6..
подозрения:
1. Zlob.DNS Changer (т.к. были обнаружены записи в реесте :Tcpip\Parametrs\NameServer 85.255.112.208 85.255.112.79
2. Trojan.Flush.M (подозрение на поддельный DHCP сервер который раздает неправильные dns настройки клиентам, на том же свиче)
действия:
1. был сужен круг подозреваемых, до 5 компьютеров..
2. на указанных компьютерах была проведена проверка:
а.) DrWeb CureIt (ничего)
б.) HiJackThis (ничго подозрительного)
в.) Trojan Remover (ничего)
г.) Anti-Malware (обнаружил остатки MyWebSearch недоснесенного Нодом)
д.) ExtrimateIt (ничего)
е.) AVZ (ничего подозрительного)
Ё.) сканирование открытых портов по которым работает dhcp на этих хостах тоже ничего не дало.
3. жду следущего понедельника чтобы воспользоваться DhcpExplorer для обнаружения поддельного Dhcp
вопрос: какие советы будут?
где еще можно посмотреть следы трояна..
принимаю любые предложения
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: