Помогите поймать зловреда

[Rubit]

Коллеги, добрый день.
Помогите поймать зловреда.
Ситуация следующая.
На котроллере домена фиксируются попытки подбора пароля к стандартным учетным записям, например, administrator, user, test, audit и т.д с неизвестных ПК (testdrp и т.д.).
Собрав логи wireshark'ом удалось выяснить, что в момент подбора пароля в контроллеру домента обращается постовый сервер Exchange.
Exchange сервер проверен и анамалий не выяслено.
Исходя из выше изложенного есть подозрения что что-то пытается авторизоваться на Exchange сервере под вышеупомянутыми учетными записями.
Поймать трафик WireShark'ом не удается, т.к. события происходят с разной периодичностью (примерно 3-5 раз в сутки-двое).
Что можно сделать в данной ситуации?
На Exhange сервере и контроллере домена стоит антивирус - вредоносных событий - 0.

[mike 1]

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[Rubit]

На какой из машин собирать данный лог? обязательно ли чтобы в лог попало данное событие?

[mike 1]

На той машине, которую подозреваете в заражении. Можете собрать со всех машин, но только у нас есть правило: 1 компьютер - 1 тема.

[Rubit]

Проблема в том, что в логах на контролере домена указана не известная нам машина. По подозрениям что-то пытается залогиниться на Exchange и мы видит блоки на контроллере домена.

[mike 1]

Я понимаю, но без логов мы ничем помочь не сможем. Я в конце концов не телепат. 

[Rubit]

ссылка на логи с почтового сервера

https://drive.google.com/file/d/0Bxac8gtqWllKWU9DY3NVRk9SRU0/view?usp=sharing

[mike 1]

1. Скачайте Universal Virus Sniffer (uVS)

Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание.

Если у вас установлены архиваторы

WinRAR

или

7-Zip

, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание

, что утилиты необходимо запускать от имени Администратора. По умолчанию в

Windows XP

так и есть. В

Windows Vista

и

Windows 7

администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать

Запуск от имени Администратора

, при необходимости укажите пароль администратора и нажмите

"Да"

.

[Rubit]

Добрый день.

прикладываю лог.

извините за задержку.

SRV-EXCH2013_2016-06-02_13-01-16.7z

[mike 1]

Здесь логи в порядке. 

[Rubit]

Возможно еще есть какие-то способы выловить зловреда, кроме попытки поймать трафик?

Изменено 3 июня, 2016 пользователем Rubit

[mike 1]

Остальные компьютеры проверяйте.