Перейти к содержанию

Как найти зараженные машины трояном HEUR:Trojan.NSIS.BitMin.gen


Рекомендуемые сообщения

Работаю в организации с количеством машин около 90 и на половине есть антивирус. AD не работает, учетки только на машинах и все имеют доступ к сетевым папкам На серваке Win Server 2008 стоит KES10 с самого утра начинает ловить вирус в папках до конца рабочего дня. В начале рабочего дня запускается эти машины и вирус записывает себя в сетевые папки этого сервера. Как обнаружить зараженные машины? можно в KES по логу найти с какой машины пришел вирус в расшаренную папку?

Прикрепляю отчет KES з

Отчет.txt

Ссылка на сообщение
Поделиться на другие сайты

@Баир Мангутов, что-то даже идей нет.

Закрыть доступ гостю. Создать около 10 учеток, дать права. Какая учетка руганетя - на той поменять пароль и выдать новый пароль 5м, а остальным 5м - другую учетку. Так в 3-4 этапа найдете злодея.

KSC понимаю нет?

Ссылка на сообщение
Поделиться на другие сайты

@Баир Мангутов

KSC понимаю нет?

Гостя уже отключил. Стоит KSC10  но ключей у меня всего на 55 машин + агент администрирования не на всех стоит тк есть старые компы на XP мож по ним пробежаться? В касперском можно как- нибудь сетевую фильтрацию настроить и найти по ip зараженные машины или с помощью другого софта?

Ссылка на сообщение
Поделиться на другие сайты

@Баир Мангутов, а в KSC в меню Карантин/Резервное хранилище не фигурируют клиентские машины?

Такого не меню не нашел. Зато зашел в меню отчеты-отчет о пользователях  зараженных компьютеров и Отчет о наиболее заражаемых компьютерах

и вижу одну машину ECON4 завтра ее проверю
Ссылка на сообщение
Поделиться на другие сайты

@Баир Мангутов, вот и проверяйте все, кот орые в Карантине, я так понимаю, вас не интересует not-a-virus.


*а по сути, у вас скорее большинство заражено и вирус распространяется через шары друг друг на компы. Скорее всего, у вас на компах шары открыты для всех - пока их не прикроете, не избавитесь - рекурсивно будут заражать друг друга.

Ссылка на сообщение
Поделиться на другие сайты

Работаю в организации с количеством машин около 90 и на половине есть антивирус. AD не работает, учетки только на машинах и все имеют доступ к сетевым папкам На серваке Win Server 2008 стоит KES10 с самого утра начинает ловить вирус в папках до конца рабочего дня. В начале рабочего дня запускается эти машины и вирус записывает себя в сетевые папки этого сервера. Как обнаружить зараженные машины? можно в KES по логу найти с какой машины пришел вирус в расшаренную папку?

Прикрепляю отчет KES з

 

Здравствуйте,

 

на серверных ОС рекомендуется использовать KSWS.

В этом продукте есть компонент - Untrusted Hosts Blocking

Он поможет в вашей ситуации.

Спасибо.

Ссылка на сообщение
Поделиться на другие сайты

Как вариант - смотреть владельца файла, и потом по владельцу файла смотреть с какого компа пришла зараза

Ссылка на сообщение
Поделиться на другие сайты

@Баир Мангутов, также можно включить расширенный набор баз: http://support.kaspersky.ru/12613, затем все обновить и запустить проверку.

По скринам видно, что виновник "счастья" пользователь "ЗОЯ". :)

Ссылка на сообщение
Поделиться на другие сайты

Глянул автозагрузку, запущенные процессы  и отчеты антивируса на замглавбуха,econ4, zakupki2, юрист-пк  и антивирус их удалил. Троян сидел в сетевых папках 192,168,1,137 а не на компе. Короче проблема осталась, где-то  зараженная машина продолжает записывать  троян в шаренные папки. Думаю сделать как советует eremeev

Ссылка на сообщение
Поделиться на другие сайты

Троян сидел в сетевых папках 192,168,1,137 а не на компе

Ну насколько я понял это IP адрес зараженного ПК или???

Да, и на каком ПК стоит Eset ???

Изменено пользователем eco
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...