Вирус заразил нашу сеть (или как поймать то, не знаю что?)
#1 Italyano
Отправлено 04 декабря 2010 - 00:33
Итак, сначала описание беды:
Вирус через порт 445 (или 139 порт) прорывается в сеть, сидит в оперативной памяти, отключает такие службы как обозреватель компьютеров, сервер, рабочая станция. Также он делает какие-то дополнительные махинации, и потом удаляет сам себя. Касперский отловить просто ничего не в состоянии, потому что Касперский реагирует на обращение к физическому диску! А тут вирус не сотавляет своего тела на харде, ни в авторане, ни где-то ещё. Его на жёстком диске просто нет! Поэтому Касперский ничего не даёт.
Кидо киллер работает в оффлайновом режиме. То есть я хочу сказать, что если бы была такая прога, которая бы реагировала на внесение инородного тела в оперативную память (то есть нашего вируса) и сразу бы его удаляла оттуда бы...это было бы круто. Кидокиллер на такое не спасобен. Его надо запускать вручную. Ну или можно в шедулер его зафигачить, чтоб он каждые пять минут проверял...но ...в принципе то же не особо вариант.
Вариант закрыть порты. 445, 139 и другие особо важные порты, которые используются системой. Но как это сделать? Файервол?
В случае закрытия 139 и 445 порта у нас возникает отключение сетевых дисков и мы не видим шару. Что в нашем случае недопустимо.
мы поставили заплатки (сервис паки) на сервер и рабочие станции, на рабочих станциях windows XP до SP3, а на серверах до SP2 с дополнениями, но это не особо помогло. Всё равно отваливаются службы.
Поэтому мы сделали зацикливание, поставили службы сервер, рабочая станция и обозреватель компов на авто перезапуск.
Вот так и живём. Но так жить тоже нельзя. Так как в тот момент когда служба вырубается и снова врубается, сетевой диск тупит и неможет авто переподключиться. Для этого надо перезагрузиться.
Но нельзя же в конце концов перезагружаться всё время.
Как быть в данной ситуации? Можно ли проблему решить программным файерволом типа Outpost или комодо?
если с помощью этих файерволов закрыть 445, порты, сможет ли работать шара и т.д? В инете пишут что нет.
Если бы это был домашний комп, но вопросов бы не было. Всё бы закрыл и всё. а так....это же сеть и не самая маленькая.
#2
Отправлено 04 декабря 2010 - 01:13
Italyano (4th December 2010 - 0:32) писал:
Если ничто другое не помогает, прочтите, наконец, инструкцию.
Создайте еще более понятный интерфейс и мир создаст еще более тупого юзера.
Британские учёные доказали: 95% населения Земли идиоты.
#3
Отправлено 04 декабря 2010 - 02:14
Где-нибудь он должен храниться на диске, ибо при выключении или перезагрузке компьютера умрёт и воскреснуть ему будет неоткуда. А значит найти и прибить его можно. Только для этого нужен не школьник, а, действительно, кто-то типа администратора.
И да, принимать меры (сервис-паки, заплатки, пароли, ограничения учёток и так далее) нужно до того, как вирус попал в систему.
#4
Отправлено 04 декабря 2010 - 03:00
чувак походу пригрел попу на месте сисадмина за дополнительное бабло, вот и парится)
а так на не самую маленькую сеть надо и сисадмина с не самым маленьким
Сообщение отредактировал Садист: 04 декабря 2010 - 03:02
#5
Отправлено 04 декабря 2010 - 12:32
а на деле, раз вирус сидит тока в оперативке (по словам аффтора), то можно дождаться воскресенья и одновременно выключить все компьютеры в сети
ну а если по нормальному - то обозревателем процессов (можно даже виндовским, но лучше чем нить нормальным) найти эту шнягу и по пиду или по имени или по реальному поведению поискать в интернете сведения. наверняка уже давным давно есть лекарство. в том числе и у касперского.
#6
Отправлено 04 декабря 2010 - 12:49
Бросая мусор на берегу - не забывайте хрюкать.
410011676952748
#7
Отправлено 04 декабря 2010 - 14:47
Ostap_Bender (Dec 4 2010, 12:48) писал:
Чтоб не спрятался - ищите вирусы без загрузки поражённой вирусом ОС. Это легко. Существуют такие загрузочные диски как CD, или USB, или просто второй HDD с чистой системой, накрайняк второй комп, заведомо чистый.
А лучше - обратиться
#8
Отправлено 15 июля 2013 - 10:49
#9
Отправлено 15 июля 2013 - 16:03
... сменить админа
... в топку винду, поднимаем сервак на Lunix
....
... если то и другое требует времени, начинаем как обычно с клиентов
Если Вы заведете себе Яндекс.Диск по этому приглашению, то получите 1 ГБ дополнительного места в подарок к тем 10 ГБ, которые дадут и так. Жмахаем ТУТ
#10
Отправлено 22 июля 2013 - 23:04
Вариант 1.
- Выкинуть Каспера :)
- Поставить SEP.
- На высвободившихся вычислительных ресурсах поднять сервак контры.
- Выкинуть винду.
- На высвободившийся сервер поставить Линух + Samba + clamd (Если все на *Nix - не надо).
- На высвободившихся системных ресурсах организовать вычислительный кластер для SETI или Mersenne Prime.
#11
Отправлено 27 июля 2013 - 18:47
FeodoR (22 июля 2013 - 23:04) писал:
Вариант 1.
- Выкинуть Каспера :)
- Поставить SEP.
- На высвободившихся вычислительных ресурсах поднять сервак контры.
- Выкинуть винду.
- На высвободившийся сервер поставить Линух + Samba + clamd (Если все на *Nix - не надо).
- На высвободившихся системных ресурсах организовать вычислительный кластер для SETI или Mersenne Prime.
Выкинуть винду и сервак на Lunix , продай сервак . На высвободившиеся системные и денежные ресурсы арендуй облачный сервис.
#12
Отправлено 03 октября 2013 - 15:13
чидовище (27 июля 2013 - 18:47) писал:
Не оплачивать арендованный облачный сервер, купить водки, напиться и летать в облаках. Ни каких вирусов. ни каких проблем, и море по колено)))
ОНЛАЙН ПОДДЕРЖКА НА ФОРУМЕ НЕ ОКАЗЫВАЕТСЯ ИЩИТЕ ПОМОЩЬ ТАМ ===>>>>
Группа АКАДО на Facebook Микроблог АКАДО в Твиттере Группа АКАДО ВКонтакте Сообщество «АКАДО.Прямой эфир» в Живом Журнале Официальная страница АКАДО на Google+
Работаю за "Нравится" =)
#13
Отправлено 06 октября 2013 - 08:51
belial (03 октября 2013 - 15:13) писал:
#14
Отправлено 07 октября 2013 - 10:56
ОНЛАЙН ПОДДЕРЖКА НА ФОРУМЕ НЕ ОКАЗЫВАЕТСЯ ИЩИТЕ ПОМОЩЬ ТАМ ===>>>>
Группа АКАДО на Facebook Микроблог АКАДО в Твиттере Группа АКАДО ВКонтакте Сообщество «АКАДО.Прямой эфир» в Живом Журнале Официальная страница АКАДО на Google+
Работаю за "Нравится" =)
#15
Отправлено 07 октября 2013 - 17:26
Ну не на 100% :D
#16
Отправлено 07 октября 2013 - 17:31
FeodoR (07 октября 2013 - 17:26) писал:
Ну не на 100% :D
Тема просто флудливая)) все решается граммотным админом в нужном месте)
PS так я и не писал что всегда на 100%, а написал что зачастую))))
ОНЛАЙН ПОДДЕРЖКА НА ФОРУМЕ НЕ ОКАЗЫВАЕТСЯ ИЩИТЕ ПОМОЩЬ ТАМ ===>>>>
Группа АКАДО на Facebook Микроблог АКАДО в Твиттере Группа АКАДО ВКонтакте Сообщество «АКАДО.Прямой эфир» в Живом Журнале Официальная страница АКАДО на Google+
Работаю за "Нравится" =)
#17
Отправлено 04 ноября 2013 - 06:48
Количество пользователей, читающих эту тему: 3
0 пользователей, 3 гостей, 0 анонимных