Пользователь |
Сообщение: Network Service вирус (Тема#32077) |
Tester_1
генералиссимус
Возраст: 47
: Kovel,Ukraine
С нами с 10.11.03
Посты: 13415
|
Отключить сеть.
Лечить kkillerom KK'ом - http://support.kaspersky.ru/wks6mp3/error?qid=2086...
Поставить упомянутые там патчи.
Включить сеть.
Обнаружение - Nod32 2.7 на НЕПАТЧЕНОЙ винде зараженных видит при включенном IMON приблизительно так:
Отредактировано Tester_1 19.11.09 00:30. Причина редактирования: Причина не указана.
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 17999
|
Спасибо всем за инфу, ноги в руки и гогого. Если кто что еще вспомнит добавляйте.
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 17999
|
Используя утилиту psexec (из зборки pstools) удаленно копирую и запускаю примочку КК на всех машинах. На 1 из 5 уже найдена зараза.
Если кому интересно
psexec \\192.168.1.1-c kk.exe
копирует утилиту кк на комп 192.168.1.1 и запускает ее на удаленной машине и выводит консоль и результаты на ваш монитор. Можно написать файл с перечисленными ай пи или именами компьютеров и прога по списку сделает это на всех машинах. Надо иметь права администратора.
Для проверки группы компов создаем текстовой файл например name.txt перечисляем в столбик ай пи или имена запускаем командой psexec @name.txt -c kk
в данном случае файл name.txt и kk.exe должны лежать в папке с утилитой psexec если вам не интересно наблюдать за процессом добавте ключик -d
Скачать утилиты PSTOOLS и прочитать возможности ТУТ Свежая примочка КК от касперыча ТУТ
P.S>54 компа проверено(12 офф) из 105 3 зараженные машины вылечено.
|
|
|
Tester_1
генералиссимус
Возраст: 47
: Kovel,Ukraine
С нами с 10.11.03
Посты: 13415
|
Если патчи не ставить - вылеченные сразу подцепят новый экземпляр.
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 17999
|
Если патчи не ставить - вылеченные сразу подцепят новый экземпляр.
учтем
|
|
|
Slotos
подполковник
Возраст: 38
: nirvana
С нами с 17.10.02
Посты: 4025
|
Как вариант - склепать батник, который будет запускать с файл-сервера kk.exe, патч, kk.exe.
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 17999
|
я вот пока не знаю бутет ли патч майкрософта запускаться в консоли удаленного компьютера , но попробую, на крайняк у меня всего на данный момент заражено 6 компов из 98 проверенных из 105 компов пойду и ручками все сделаю.
|
|
|
Nameless
Maximus - Lite Edition
: 404
С нами с 02.11.05
Посты: 21233
|
патчи везде надо ставить полюбому
|
|
|
Slotos
подполковник
Возраст: 38
: nirvana
С нами с 17.10.02
Посты: 4025
|
Все апдейты МС юзают вин инсталлер. А последний в свою очередь имеет ключ для "тихой" установки.
|
|
|
Nameless
Maximus - Lite Edition
: 404
С нами с 02.11.05
Посты: 21233
|
кстати да
msiexec с ключиком /quiet - то, шо нужно
|
|
|
Deagle
лейтенант
: Харьков
С нами с 12.07.05
Посты: 432
|
если сеть с доменом, источники заразы находятся по аудиту безопасности отказов на КД
события 672, 675, 680 - айпи в строке "Адрес клиента" или имя тачки в "Исходная рабочая станция"
сами по себе эти события могут возникать, но если идет жесткий спам в журналах КД - то это он, ленинградский почтальон
|
|
|
Slotos
подполковник
Возраст: 38
: nirvana
С нами с 17.10.02
Посты: 4025
|
672: Authentication Ticket Granted
675: Source Security
680: Account Used for Logon by
Сообщения кербероса. Предположительно полезны для обнаружения несанкционированного скана сети, полезны для диагностики работы кербероса, абсолютно бесполезны (ибо на момент их резкого роста уже поздно) для борьбы с червями.
А работает накатка патчей, зачистка спец. тулзами, тайм лимит на количество новых TCP/UDP соединений. В идеале полностью вычищаются/проверяются сервера, на клиентские машины устанавливаются правила файрвола, блокирующие все входящие соединения не от серверов, с сервера на всех машинах запускается обновление, чистка, и восстановление доверительных политик файрвола. Хотя доверительность - та ещё фигня, доступ клиент-клиент в жёстко структурированной сети скорее зло, чем полезность.
|
|
|