Показано с 1 по 6 из 6.

Как узнать IP зараженной машины в ЛС?

  1. #1
    Junior Member Репутация
    Регистрация
    26.10.2006
    Сообщений
    1
    Вес репутации
    44

    Как узнать IP зараженной машины в ЛС?

    Дано: Локальная сеть и вирь, который забрасывает во все расшареные папки (и принтера - не видит разницы) самого себя под привлекательными именами.
    Требуется: найти комп-источник этого безобразия.

    Есть ли какая-то прога, которая бы отслеживала, откуда пришел файл в расшареную папку?
    В принципе PrintMonitor может отслеживать, откуда на него послали задание на печать, но хотелось бы именно следилку за расшареным ресурсом.
    Или есть иной способ? (Кроме установки на все компы последнего антивируса)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2271
    Если не хотите лечить отдельный комп - то вам в это раздел.
    А по поводу программы - сниффер какой- нибудь, или Filemon вам помогут.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,238
    Вес репутации
    3390
    Варианты:
    1. Сниффер + фильтры, чтобы протокол имел приемлемый для анализа объем
    2. Аудит. Очень хорошо подходит для XP ... нужно настроить аудит подключений и доступа к расшаренным папкам и читаь логи
    3. Программы типа KillWatcher (http://killprog.narod.ru/kwatchr.html) - т.е. утилиты, которые ведут логи подключений по сети

  5. #4
    Junior Member Репутация
    Регистрация
    01.11.2006
    Сообщений
    1
    Вес репутации
    44
    Цитата Сообщение от Dewi
    Дано: Локальная сеть и вирь, который забрасывает во все расшареные папки (и принтера - не видит разницы) самого себя под привлекательными именами.
    Требуется: найти комп-источник этого безобразия.
    Только что закончили чистку серверов LAN от этой же, похоже, заразы, везде W2KSP4

    Симптомы:

    1. В списке процессов виден winlogin32.exe, м.б. несколько.
    2. Особо ничего не портит, но впечатление - у компа насморк, где-то что-то как-то не так.
    3. Портятся некоторые сервисы, особенно написанные на API.

    История болезни:

    1. Проникает из инета как http://xxx
    2. Расползается по LAN как таракан через 445 порт (расшаренные ресурсы) и прописывает себя как
    C:\Documents and Settings\<Имя>\Local Settings\Temporary Internet Files\Content.IE5\<абракадабра>.pl[<число>].jpg
    3. Устанавливает связь с IP-источником в инете
    4. В %SystemRoot%\System32 появляются a.exe и winlogin32.exe, последний виден в процессах.
    Про него смотри
    http://www.trendmicro.com/vinfo/viru...T%2EPA&VSect=T
    5. В %TEMP% и в %USERPROFILE%\Local Settings\Temp для разных юзеров появляется куча файлов <абракадабра>.ехе.

    Как лечили:

    1. Определили IP источника в инете - анализ трафика с зараженных компов - и заткнули к нему маршрут.
    2. NOD32 со всеми мониторами + регулярное сканирование - детектирует как "модифицированный Win32/Rbot троян". В настройках AMON на странице действия ставить галку "Запретить доступ"
    3. Плюс AVZ + Ad-Aware SE Professional + HijackThis - прозвонили по максимуму.
    4. Выполнили рекомендации из вышеприведенной ссылки.

    Болезнь была запущена, лечили долго.
    Теперь лечим пользовательские компы аналогично.

    Мораль известна - предохраняться надо! Поэтому - профилактика:

    1. Запретили выходить в инет с серверов.
    2. На все компы в LAN - NOD32 с по крайней мере AMON и IMON +
    Ad-Aware SE Professional с AdWatch + настройки браузеров.
    3. На майл сервере - NOD32 с EMON
    4. Все av-хозяйство - регулярное обновление баз, естественно.
    5. Можно еще многое - на Ваше усмотрение.

    Успехов!
    Последний раз редактировалось anton_dr; 02.11.2006 в 06:35.

  6. #5
    мариан
    Guest

    помогите

    "Симптомы:

    1. В списке процессов виден winlogin32.exe, м.б. несколько.
    2. Особо ничего не портит, но впечатление - у компа насморк, где-то что-то как-то не так.
    3. Портятся некоторые сервисы, особенно написанные на API."

    У меня такой вирус, но я, простой юзер, особо не понимаю тонкостей лечения. не могли бы вы написать как что проделать с поправкой на "чайников"? спасибо

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2271
    Вам лучше зарегистрироваться, и выполнить "правила"

Похожие темы

  1. Ответов: 7
    Последнее сообщение: 06.11.2010, 21:20
  2. Еще одна жертва, зараженной флешки
    От Бумбарам в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 05.12.2009, 18:44
  3. Подозреваемый зараженной системе ....
    От icotonev в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 05.09.2009, 14:24
  4. Ответов: 1
    Последнее сообщение: 23.07.2009, 09:40

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00167 seconds with 16 queries