Баир Мангутов 0 Опубликовано 16 февраля, 2017 Share Опубликовано 16 февраля, 2017 Работаю в организации с количеством машин около 90 и на половине есть антивирус. AD не работает, учетки только на машинах и все имеют доступ к сетевым папкам На серваке Win Server 2008 стоит KES10 с самого утра начинает ловить вирус в папках до конца рабочего дня. В начале рабочего дня запускается эти машины и вирус записывает себя в сетевые папки этого сервера. Как обнаружить зараженные машины? можно в KES по логу найти с какой машины пришел вирус в расшаренную папку? Прикрепляю отчет KES з Отчет.txt Цитата Ссылка на сообщение Поделиться на другие сайты
oit 2 139 Опубликовано 16 февраля, 2017 Share Опубликовано 16 февраля, 2017 @Баир Мангутов, что-то даже идей нет. Закрыть доступ гостю. Создать около 10 учеток, дать права. Какая учетка руганетя - на той поменять пароль и выдать новый пароль 5м, а остальным 5м - другую учетку. Так в 3-4 этапа найдете злодея. KSC понимаю нет? Цитата Ссылка на сообщение Поделиться на другие сайты
Баир Мангутов 0 Опубликовано 16 февраля, 2017 Автор Share Опубликовано 16 февраля, 2017 @Баир Мангутов, KSC понимаю нет? Гостя уже отключил. Стоит KSC10 но ключей у меня всего на 55 машин + агент администрирования не на всех стоит тк есть старые компы на XP мож по ним пробежаться? В касперском можно как- нибудь сетевую фильтрацию настроить и найти по ip зараженные машины или с помощью другого софта? Цитата Ссылка на сообщение Поделиться на другие сайты
oit 2 139 Опубликовано 16 февраля, 2017 Share Опубликовано 16 февраля, 2017 @Баир Мангутов, а в KSC в меню Карантин/Резервное хранилище не фигурируют клиентские машины? Цитата Ссылка на сообщение Поделиться на другие сайты
Баир Мангутов 0 Опубликовано 16 февраля, 2017 Автор Share Опубликовано 16 февраля, 2017 @Баир Мангутов, а в KSC в меню Карантин/Резервное хранилище не фигурируют клиентские машины? Такого не меню не нашел. Зато зашел в меню отчеты-отчет о пользователях зараженных компьютеров и Отчет о наиболее заражаемых компьютерах и вижу одну машину ECON4 завтра ее проверю Цитата Ссылка на сообщение Поделиться на другие сайты
oit 2 139 Опубликовано 16 февраля, 2017 Share Опубликовано 16 февраля, 2017 Такого не меню не нашел. какая версия KSC стоит? Цитата Ссылка на сообщение Поделиться на другие сайты
Баир Мангутов 0 Опубликовано 16 февраля, 2017 Автор Share Опубликовано 16 февраля, 2017 Такого не меню не нашел.какая версия KSC стоит? 10.3.407 Вот скрины Цитата Ссылка на сообщение Поделиться на другие сайты
oit 2 139 Опубликовано 16 февраля, 2017 Share Опубликовано 16 февраля, 2017 @Баир Мангутов, раздел дополнительно. Там Хранилище есть - Карантин, Резервное хранилище Цитата Ссылка на сообщение Поделиться на другие сайты
Баир Мангутов 0 Опубликовано 16 февраля, 2017 Автор Share Опубликовано 16 февраля, 2017 в карантине 11 машин в резервном 3 Цитата Ссылка на сообщение Поделиться на другие сайты
oit 2 139 Опубликовано 16 февраля, 2017 Share Опубликовано 16 февраля, 2017 @Баир Мангутов, вот и проверяйте все, кот орые в Карантине, я так понимаю, вас не интересует not-a-virus. *а по сути, у вас скорее большинство заражено и вирус распространяется через шары друг друг на компы. Скорее всего, у вас на компах шары открыты для всех - пока их не прикроете, не избавитесь - рекурсивно будут заражать друг друга. Цитата Ссылка на сообщение Поделиться на другие сайты
eremeev 3 Опубликовано 17 февраля, 2017 Share Опубликовано 17 февраля, 2017 Работаю в организации с количеством машин около 90 и на половине есть антивирус. AD не работает, учетки только на машинах и все имеют доступ к сетевым папкам На серваке Win Server 2008 стоит KES10 с самого утра начинает ловить вирус в папках до конца рабочего дня. В начале рабочего дня запускается эти машины и вирус записывает себя в сетевые папки этого сервера. Как обнаружить зараженные машины? можно в KES по логу найти с какой машины пришел вирус в расшаренную папку? Прикрепляю отчет KES з Здравствуйте, на серверных ОС рекомендуется использовать KSWS. В этом продукте есть компонент - Untrusted Hosts Blocking Он поможет в вашей ситуации. Спасибо. Цитата Ссылка на сообщение Поделиться на другие сайты
Kapral 1 488 Опубликовано 17 февраля, 2017 Share Опубликовано 17 февраля, 2017 Как вариант - смотреть владельца файла, и потом по владельцу файла смотреть с какого компа пришла зараза Цитата Ссылка на сообщение Поделиться на другие сайты
Friend 1 247 Опубликовано 17 февраля, 2017 Share Опубликовано 17 февраля, 2017 @Баир Мангутов, также можно включить расширенный набор баз: http://support.kaspersky.ru/12613, затем все обновить и запустить проверку. По скринам видно, что виновник "счастья" пользователь "ЗОЯ". Цитата Ссылка на сообщение Поделиться на другие сайты
Баир Мангутов 0 Опубликовано 17 февраля, 2017 Автор Share Опубликовано 17 февраля, 2017 Глянул автозагрузку, запущенные процессы и отчеты антивируса на замглавбуха,econ4, zakupki2, юрист-пк и антивирус их удалил. Троян сидел в сетевых папках 192,168,1,137 а не на компе. Короче проблема осталась, где-то зараженная машина продолжает записывать троян в шаренные папки. Думаю сделать как советует eremeev Цитата Ссылка на сообщение Поделиться на другие сайты
eco 230 Опубликовано 20 февраля, 2017 Share Опубликовано 20 февраля, 2017 (изменено) Троян сидел в сетевых папках 192,168,1,137 а не на компе Ну насколько я понял это IP адрес зараженного ПК или??? Да, и на каком ПК стоит Eset ??? Изменено 20 февраля, 2017 пользователем eco Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.