|
|
|
|
| Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 - Помогите выловить машины с вирусами |
|
|
2008 - Помогите выловить машины с вирусами
|
|
Старожил Сообщения: 170 |
Приветствую, на всех 4ёх серверах с настроеным DFS и репликой папок пользователей по офисам организации антивирус (NOD32 v4) захлёбывается от потока вирусов а точнее вот оно событие
13.10.2009 9:59:02 Защита в режиме реального времени файл E:\System Volume Information\DFSR\Private\{61BF1733-A8E2-4A8D-9297-3AE7D9C3FFA1}-{0549777C-E20C-4AC5-A5CE-E7F5DF06A8C4}\Installing\eaqqaxste-{28041D4D-CBC8-4E8C-898B-3B10F3C18AF9}-v9223.exe вероятно модифицированный Win32/Injector.YY троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\Windows\System32\dfsrs.exe. я так понимаю система пытается реплицировать какой то файл который зараженная машина упорно пишет в папку пользователя и удаляет его. Так вот вопрос как найти эту машину? |
|
|
Отправлено: 08:03, 13-10-2009 |
Пользователь Сообщения: 96
|
Профиль | Сайт | Отправить PM | Цитировать Насчёт встроенных утилит не вспомню, но есть куча сниферов (wireshark, MS network monitor,....) с полчаса просканить а потом распарсить лог (здоровый правда будет
 )или на каждой машинке запустить что-то типу currports, process explorer,..... - глянуть сетевую активность |
|
Отправлено: 11:34, 13-10-2009 | #2 |
|
Старожил Сообщения: 170
|
Профиль | Отправить PM | Цитировать Да на самом деле я думаю просто как то аудит настроить правильно... вот только бы мне какой ни будь прям по пунктам мануал.
Я думаю поставить на всю реплицируемую папку аудит на пол часа и смотреть кто пишет и что... юзверей около 300 так что не шибко большой лог должен получиться. только вот как он настраивается. |
|
Отправлено: 12:40, 13-10-2009 | #3 |
|
Пользователь Сообщения: 96
|
Профиль | Сайт | Отправить PM | Цитировать аудит скорее всего не поможет, в силу особенностей распространения вирусов
расширенный снифер на сервере, может решить всё быстрее ( wireshark + CACE Pilot (см. ролик http://www.cacetech.com/media/2.0/00_intro_web/ )) А что Ваш антивирь не показывает в логе сетевые атаки |
|
Отправлено: 13:21, 14-10-2009 | #4 |
|
Ветеран Сообщения: 1001
|
Профиль | Отправить PM | Цитировать Donner,
Прочитайте рекомендации к использованию антивирусных мониторов с dfsr http://blogs.technet.com/filecab/arc...01/426926.aspx |
|
|
Отправлено: 17:38, 14-10-2009 | #5 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Помогите, похожая проблема с вирусами!!! | E.M. | Лечение систем от вредоносных программ | 3 | 23-01-2010 00:10 | |
| Интерфейс - [решено] Последствия борьбы с вирусами | Василий123 | Лечение систем от вредоносных программ | 5 | 16-01-2010 23:51 | |
| Помогите с вирусами (packed.monder; injector.ez; win32.virtu.56 и т. д.) | HunterDreVit | Лечение систем от вредоносных программ | 18 | 21-08-2009 17:58 | |
| Проблема с антивирусом NOD32 и вирусами... | F_Art | Лечение систем от вредоносных программ | 7 | 09-02-2008 13:58 | |
|
|
Время: 22:41. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
