| Регистрация Правила Главная форума Поиск |
| 0
- 17.08.2012 - 09:48
|
Привет, коллеги по цеху. С некоторого времени на контроллере домена и еще на одном сервере происходят непонятные вещи. Честно говоря, давно такого не видел. Итак. Некоторое время назад заметил, что некоторые рабочие станции в сети вдруг ни с того ни с сего блокируются администраторской учетной записью. Просто вот пользователь не работает некоторое время и бах - компьютер заблокирован администратором. Второе: на многих рабочих станциях в сети происходит постоянное переполнение журнала безопасности, с чего понятно, что на сервере орудуют какой-либо брут-форс или что то подобное. Приходится логиниться под админской учеткой, очищать Журнал, потом только пользователь может войти. Далее: на сервере происходит следующее. многие исполняемые файлы вдруг ни с того, ни с сего становятся поврежденными, то есть выскакивает сообщение file corrupt. Антивирусные утилиты, размер которых составляет в районе 150-180 Mb вдруг самопроизвольно уменьшаются до 10-15 kb и, естественно, уже не запускаются. Компьютеры, на которых случаются проблемы, как правило оказываются с убитой антивирусной защитой, то есть процесс антивируса остановлен и не запускается, так как файл поврежден. Какие файлы были повреждены: - при сканированни на вирусы на многих компах, в том числе и на сервере, выскакивало сообщение о заражении файла wmicuclt.exe Что писали антивирусы: - проверял cureit, kasper virus removal tool, AVZ. что самое странное все сканеры не находят никаких более менее серьезных угроз. - единственно, что пишет cureit, название вируса Win32.morto. НО, после сканирования файловой системы, сканер пишет, что исцелил все файлы, а после перезагрузки опять начинается то же самое! Честно говоря, уже сбился с ног, ища корень проблемы. Ясно даже и ежу, что на контроллере сидит какая-то хрень, которая все инициирует, только вот куда лезь, не понимаю уже... Может кто сталкивался с подобным???     | |
| 1
- 17.08.2012 - 10:00
| пользуйся нормальным антивирусом FEP 2010 сканируй винт со здоровой машины и не забывай обновлять антивирусы | |
| 2
- 17.08.2012 - 10:07
| Отключить от сети, отключить восстановление системы, войти в безопасном режиме, лечить 2-3 разными средствами, далее ставить свежий нормальный антивирус и обновлять его базы. Сменить пароли администраторских учетных записей. И так каждый комп и в сеть не возвращать пока не будут вылечены все. После полного лечения сети не будет лишним установить критические обновления ОС и софта типа ява-машин, флеш-плееров, броузеров, адобе ридеров и прочих ворот для вирусов. | |
| 3
- 17.08.2012 - 10:13
|
В серверной версии Windows отсутствует опция Восстановление системы. Блин, от сети нельзя... 120 рабочих станций, круглосуточная торговля... | |
| 4
- 17.08.2012 - 10:23
| 3-MrSrv > Ну это общее направление указано, в том числе и для рабочих станций. Если от сети нельзя то на 99% будет повторное заражение через те же дырки в ОС от зараженных машин сети. Поздняк метаться, лечить надо. Удачи! Тут магических рецептов вы не получите, поскольку мы не телепаты и за вас работу не сделаем. | |
| 5
- 17.08.2012 - 10:29
| P.S. Первая же ссылка в Яндексе по wmicuclt.exe http://forum.kaspersky.com/index.php?showtopic=239347 | |
| 6
- 17.08.2012 - 10:42
|
5-Квадратный Круг > Да, похоже мой случай, спасибо! | |
| 7
- 17.08.2012 - 10:46
|
6-MrSrv > Печально, борьба в ваших условиях не будет простой. Он свежий и у вас может быть модификация, надо иметь некоторые навыки борьбы со зловредами. Плохо, что такую тему создал профессионал. | |
| 8
- 17.08.2012 - 10:49
| (7) Ничего страшного: приходящий системный администратор бывает и уходящим. :-) | |
| 9
- 17.08.2012 - 10:51
| 8-Ткачик > Профессия страдает и уровень ЗП. | |
| 10
- 17.08.2012 - 10:54
|
да, да. В нашей работе все бывает. Но что нас не делает "Уходящим", то делает нас сильнее, не правда ли :-))) Я совершенно спокойно отношусь к критики в свой адрес | |
| 11
- 17.08.2012 - 10:56
| 10-MrSrv > Если решите эту проблему и в этой организации вы приходящий, то только могу снять шляпу и пожать руку. Только с ЗП не демпингуйте рынок. Удачи! | |
| 12
- 17.08.2012 - 11:15
| Можно обратиться в MS. Там есть эксперты по безопасности, которые предложат решение. | |
| 13
- 17.08.2012 - 11:18
| http://onthar.in/tag/morto/#.UC39E6C4pr0 | |
| 14
- 17.08.2012 - 11:19
| 12-Онаним > Они уже высказались http://www.microsoft.com/security/po...:Win32/Morto.A | |
| 15
- 17.08.2012 - 11:22
| http://onthar.in/articles/analiz-i-l.../#.UC3-KKC4pr0 Всё, этого автору хватит точно. | |
| 16
- 17.08.2012 - 12:01
|
15-Квадратный Круг > Эту инструкцию использовал одной из первых. Если бы помогло, здесь бы не писал... | |
| 17
- 17.08.2012 - 12:09
| 16-MrSrv > У вас может быть модификация вируса, поэтому любая инструкция не 100% панацея, плюс инструкцию надо правильно применить ибо она только указывает направление действий. Я вот почитал и понял как можно действовать дабы остановить эпидемию этой штуки в сети, подумайте и вы. Пути распространения у вас - RDP со слабыми паролями и зараженные файлы на сетевых шарах, боритесь с путями, попутно борясь с источниками распространения. | |
| 18
- 17.08.2012 - 18:23
|
17-Квадратный Круг > Как в воду глядел! Спасибо за наводку!! Да те бог плюс 100 очков к скилу! На всех компах, где я отключил RDP, о чудо!! блокировки прекратились!!! Теперь можно спокойно заняться лечением. | |
| 19
- 17.08.2012 - 18:51
| я валяюсь.. тебе понадобилось 2 часа что бы догадаться вырубить рдп? :) | |
| 20
- 17.08.2012 - 18:52
| PS: ну про лохобанские пароли я вообще молчу :D | |
| 21
- 18.08.2012 - 06:28
|
20-Gochy > Ну так елки-же палки!!! Копать то обычно начинаешь с самого худшего и трудного... О том, что решение перед глазами и очень простое, всегда понимаешь в последнюю очередь!! :-))))) | |
| 22
- 20.08.2012 - 13:30
|
Я как то двое суток угробил на сканирование на вирусы одного компа. Проблема была в том что базы не обновлялись, комп тупил, и все новые файлы были битыми при скачивании и копировании. Как будто их кто то повреждал. В итоге вирусов не нашел, а виной была битая оперативная память. | |
| 23
- 21.08.2012 - 08:03
|
А у меня был глю к БП он через 30 минут работы понижал напряжение и жесткий диск переставал записывать на диск, и винда сразу умирала. Это был комп главбуха с жутко важным софтом, как следствие была свежая копия диска акронисом. Я поменял 3 диска прежде чем мне проперло воткнуть тестер и понаблюдать, сначала эта зараза работает как надо... | |
| 24
- 25.08.2012 - 10:49
| на прокси не проще пофиксить все дыры включая анонимайзеры что бы юзвери не шарили где не нужно,а на всех машинах элементарно запретить автозагрузку со сменных дисков? | |
Интернет-форум Краснодарского края и Краснодара |
