|
Непонятный вирус на контроллере домена. Уже с катушек слетел в поисках... Привет, коллеги по цеху. С некоторого времени на контроллере домена и еще на одном сервере происходят непонятные вещи. Честно говоря, давно такого не видел. Итак. Некоторое время назад заметил, что некоторые рабочие станции в сети вдруг ни с того ни с сего блокируются администраторской учетной записью. Просто вот пользователь не работает некоторое время и бах - компьютер заблокирован администратором. Второе: на многих рабочих станциях в сети происходит постоянное переполнение журнала безопасности, с чего понятно, что на сервере орудуют какой-либо брут-форс или что то подобное. Приходится логиниться под админской учеткой, очищать Журнал, потом только пользователь может войти. Далее: на сервере происходит следующее. многие исполняемые файлы вдруг ни с того, ни с сего становятся поврежденными, то есть выскакивает сообщение file corrupt. Антивирусные утилиты, размер которых составляет в районе 150-180 Mb вдруг самопроизвольно уменьшаются до 10-15 kb и, естественно, уже не запускаются. Компьютеры, на которых случаются проблемы, как правило оказываются с убитой антивирусной защитой, то есть процесс антивируса остановлен и не запускается, так как файл поврежден. Какие файлы были повреждены: - при сканированни на вирусы на многих компах, в том числе и на сервере, выскакивало сообщение о заражении файла wmicuclt.exe Что писали антивирусы: - проверял cureit, kasper virus removal tool, AVZ. что самое странное все сканеры не находят никаких более менее серьезных угроз. - единственно, что пишет cureit, название вируса Win32.morto. НО, после сканирования файловой системы, сканер пишет, что исцелил все файлы, а после перезагрузки опять начинается то же самое! Честно говоря, уже сбился с ног, ища корень проблемы. Ясно даже и ежу, что на контроллере сидит какая-то хрень, которая все инициирует, только вот куда лезь, не понимаю уже... Может кто сталкивался с подобным??? |
пользуйся нормальным антивирусом FEP 2010 сканируй винт со здоровой машины и не забывай обновлять антивирусы |
Отключить от сети, отключить восстановление системы, войти в безопасном режиме, лечить 2-3 разными средствами, далее ставить свежий нормальный антивирус и обновлять его базы. Сменить пароли администраторских учетных записей. И так каждый комп и в сеть не возвращать пока не будут вылечены все. После полного лечения сети не будет лишним установить критические обновления ОС и софта типа ява-машин, флеш-плееров, броузеров, адобе ридеров и прочих ворот для вирусов. |
В серверной версии Windows отсутствует опция Восстановление системы. Блин, от сети нельзя... 120 рабочих станций, круглосуточная торговля... |
3-MrSrv > Ну это общее направление указано, в том числе и для рабочих станций. Если от сети нельзя то на 99% будет повторное заражение через те же дырки в ОС от зараженных машин сети. Поздняк метаться, лечить надо. Удачи! Тут магических рецептов вы не получите, поскольку мы не телепаты и за вас работу не сделаем. |
P.S. Первая же ссылка в Яндексе по wmicuclt.exe [url]http://forum.kaspersky.com/index.php?showtopic=239347[/url] |
5-Квадратный Круг > Да, похоже мой случай, спасибо! |
6-MrSrv > Печально, борьба в ваших условиях не будет простой. Он свежий и у вас может быть модификация, надо иметь некоторые навыки борьбы со зловредами. Плохо, что такую тему создал [url=http://forums.kuban.ru/showthread.php?p=26360383]профессионал[/url]. |
(7) Ничего страшного: приходящий системный администратор бывает и уходящим. :-) |
8-Ткачик > Профессия страдает и уровень ЗП. |
да, да. В нашей работе все бывает. Но что нас не делает "Уходящим", то делает нас сильнее, не правда ли :-))) Я совершенно спокойно отношусь к критики в свой адрес |
10-MrSrv > Если решите эту проблему и в этой организации вы приходящий, то только могу снять шляпу и пожать руку. Только с ЗП не демпингуйте рынок. Удачи! |
Можно обратиться в MS. Там есть эксперты по безопасности, которые предложат решение. |
[url]http://onthar.in/tag/morto/#.UC39E6C4pr0[/url] |
12-Онаним > Они уже высказались [url]http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Virus:Win32/Morto.A[/url] |
[url]http://onthar.in/articles/analiz-i-lechenie-wormwin32morto-a/#.UC3-KKC4pr0[/url] Всё, этого автору хватит точно. |
15-Квадратный Круг > Эту инструкцию использовал одной из первых. Если бы помогло, здесь бы не писал... |
16-MrSrv > У вас может быть модификация вируса, поэтому любая инструкция не 100% панацея, плюс инструкцию надо правильно применить ибо она только указывает направление действий. Я вот почитал и понял как можно действовать дабы остановить эпидемию этой штуки в сети, подумайте и вы. Пути распространения у вас - RDP со слабыми паролями и зараженные файлы на сетевых шарах, боритесь с путями, попутно борясь с источниками распространения. |
17-Квадратный Круг > Как в воду глядел! Спасибо за наводку!! Да те бог плюс 100 очков к скилу! На всех компах, где я отключил RDP, о чудо!! блокировки прекратились!!! Теперь можно спокойно заняться лечением. |
я валяюсь.. тебе понадобилось 2 часа что бы догадаться вырубить рдп? :) |
PS: ну про лохобанские пароли я вообще молчу :D |
20-Gochy > Ну так елки-же палки!!! Копать то обычно начинаешь с самого худшего и трудного... О том, что решение перед глазами и очень простое, всегда понимаешь в последнюю очередь!! :-))))) |
Я как то двое суток угробил на сканирование на вирусы одного компа. Проблема была в том что базы не обновлялись, комп тупил, и все новые файлы были битыми при скачивании и копировании. Как будто их кто то повреждал. В итоге вирусов не нашел, а виной была битая оперативная память. |
А у меня был глю к БП он через 30 минут работы понижал напряжение и жесткий диск переставал записывать на диск, и винда сразу умирала. Это был комп главбуха с жутко важным софтом, как следствие была свежая копия диска акронисом. Я поменял 3 диска прежде чем мне проперло воткнуть тестер и понаблюдать, сначала эта зараза работает как надо... |
на прокси не проще пофиксить все дыры включая анонимайзеры что бы юзвери не шарили где не нужно,а на всех машинах элементарно запретить автозагрузку со сменных дисков? |
| Текущее время: 05:46. Часовой пояс GMT +3. |