Пользователь |
Сообщение: Network Service вирус (Тема#32077) |
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 18000
|
Появился в сетке вирус. Использует учетные локальные учетные записи Network Service и размещает в системных папках типа c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ файлы с расширением типа графических (JPG png ) зараженные трояном. Причем даже на компах отключенных от интернета. Отсюда делаю заключение что лезет именно из сети (хотя не факт) Иногда подвешивает службу svhost с выбиванием частично сетки (нельзя войти в сеть через сетевое окружение но можно по ярлыку или указав явный путь к папке).
Как отследить источник заразы если в сети более 100 компов. Пролазит вроде даже через оутпост. Принимаються любые идеи. Антизвери типа НОД AVG аваст каспеский, находят указанные выше файлы и удаляют но скорее всего есть что-то еще так как атаки периодически повторяються на все компы сети.
|
|
|
ME4EHbIU
Only GOD can judge me
Возраст: 40
: Киев
С нами с 05.01.06
Посты: 11686
|
попробуй в сапорт каспера написать.....у них по ловле того же кидо была целая метода (как правильно убить).....может и на сие чудо имеется...
|
|
|
лучший друг
дружелюбный мясник
Возраст: 42
: ниризиновый
С нами с 26.04.05
Посты: 16780
|
поздравляю, вы подхватили конфикер Win32/Conficker.AA
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 18000
|
Возможно есть связь с вирусом Win32.HLLW.Autoruner.5555 еще пока не уверен.
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 18000
|
поздравляю, вы подхватили конфикер Win32/Conficker.AA
Позравления приняты, что конкретно предложите. Хотя нигде на подобный вирус отчетов не наблюдалось.
|
|
|
лучший друг
дружелюбный мясник
Возраст: 42
: ниризиновый
С нами с 26.04.05
Посты: 16780
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 18000
|
|
|
лучший друг
дружелюбный мясник
Возраст: 42
: ниризиновый
С нами с 26.04.05
Посты: 16780
|
у нас на работе сетка этим болеет, я когда-то гуглил варианты решения данной проблемы, но других вариантов, кроме отключения всех компов от сети, не нашел
|
|
|
Slotos
подполковник
Возраст: 38
: nirvana
С нами с 17.10.02
Посты: 4025
|
WinSSH, wipfw, блок всего, кроме 22го порта.
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 18000
|
WinSSH, wipfw, блок всего, кроме 22го порта.
Противопоказано блок всего, у меня домен+DHCP один деятель врубил файревалл по максимуму и остался без сети и домена.
|
|
|
Milky Way
No Limit Infinite
С нами с 18.01.02
Посты: 33612
|
Убрать права админстрантора у всех с машин, позакрывать шары, переименовать гостя + админа...
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 18000
|
При чем тут гость и шары, я говорю под учеткой network service лазит паразит, а эту учетку ты не отрубишь никак. По шарам то другие вирусы лазят те слава богу легко найти откуда приходят там владелец виден. Прав администратора домена нет ни укого, а локальные права на домен пофигу. Я же писал где вирус проявляеться c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5 а это скрытая системная папка не расшаренная ни на одной машине.Возможно он другим путем залазит на комп но кроме этих файлов периодически появляющихся и удаляемых антивирусом на компах ничего не замечено вот что странно.
|
|
|
Nameless
Maximus - Lite Edition
: 404
С нами с 02.11.05
Посты: 21233
|
Бродил у нас конфикер по сети, пока все централизованно не заюзали кидокиллер от каспера и не поставили нужные патчи. Этих конфикеров правда несколько . Не помню, какой у нас бродил.
В аттаче нужное. Мало ли, может пригодится)
зы лично я от сети не отключался. Запустил кидокиллер, сразу накатил патчи и все. Более меня эта дрянь не беспокоила.
Отредактировано Nameless 18.11.09 18:57. Причина редактирования: Причина не указана.
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 18000
|
|
|
Slotos
подполковник
Возраст: 38
: nirvana
С нами с 17.10.02
Посты: 4025
|
Шурмур, кроме "блок всего" там ещё было указание на административную утилиту и файрвол, настраиваемый из командной строки. DHCP на файре легко пропускается. А вот домен придётся перекрыть, ибо вирус по тем же протоколам лупит. Везде запустили лечение, отработали, простейшим циклом вызвали снятие блока на файрволе на всех компах в сети.
|
|
|
Nameless
Maximus - Lite Edition
: 404
С нами с 02.11.05
Посты: 21233
|
да, кстати, кидокиллер кажись есть более поздний, чем в архиве.
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 18000
|
Шурмур, кроме "блок всего" там ещё было указание на административную утилиту и файрвол, настраиваемый из командной строки. DHCP на файре легко пропускается. А вотдомен придётся перекрыть , ибо вирус по тем же протоколам лупит. Везде запустили лечение, отработали, простейшим циклом вызвали снятие блока на файрволе на всех компах в сети.
И как по твоему без домена будут работать юзвери если все учетки и права доступа к сетевым ресурсам храняться в домене? Тогда сразу можно сухарики сушить мне Тут как говориться и рыбку съесть надо и не обмочиться Все равно сенкс на будущее может пригодиться.
|
|
|
Nameless
Maximus - Lite Edition
: 404
С нами с 02.11.05
Посты: 21233
|
можно выйти в субботу поработать
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 18000
|
Тогда мне и фареволы нафиг не надо каждую машину в отдельности полечить и все. Но проблема то в том что я еще не знаю конкретно от чего лечить и чем. ВОт инфу собираю.
|
|
|
Nameless
Maximus - Lite Edition
: 404
С нами с 02.11.05
Посты: 21233
|
По симптомам очень похоже именно на конфикер. Джпег файлы, антивирь лечит, снова появляются, службы некоторые падать начинают.
|
|
|