Как найти зараженные машины трояном HEUR:Trojan.NSIS.BitMin.gen

[Баир Мангутов]

Работаю в организации с количеством машин около 90 и на половине есть антивирус. AD не работает, учетки только на машинах и все имеют доступ к сетевым папкам На серваке Win Server 2008 стоит KES10 с самого утра начинает ловить вирус в папках до конца рабочего дня. В начале рабочего дня запускается эти машины и вирус записывает себя в сетевые папки этого сервера. Как обнаружить зараженные машины? можно в KES по логу найти с какой машины пришел вирус в расшаренную папку?

Прикрепляю отчет KES з

Отчет.txt

[oit]

@Баир Мангутов, что-то даже идей нет.

Закрыть доступ гостю. Создать около 10 учеток, дать права. Какая учетка руганетя - на той поменять пароль и выдать новый пароль 5м, а остальным 5м - другую учетку. Так в 3-4 этапа найдете злодея.

KSC понимаю нет?

[Баир Мангутов]

@Баир Мангутов, 

KSC понимаю нет?

Гостя уже отключил. Стоит KSC10  но ключей у меня всего на 55 машин + агент администрирования не на всех стоит тк есть старые компы на XP мож по ним пробежаться? В касперском можно как- нибудь сетевую фильтрацию настроить и найти по ip зараженные машины или с помощью другого софта?

[oit]

@Баир Мангутов, а в KSC в меню Карантин/Резервное хранилище не фигурируют клиентские машины?

[Баир Мангутов]

@Баир Мангутов, а в KSC в меню Карантин/Резервное хранилище не фигурируют клиентские машины?

Такого не меню не нашел. Зато зашел в меню отчеты-отчет о пользователях  зараженных компьютеров и Отчет о наиболее заражаемых компьютерах

и вижу одну машину ECON4 завтра ее проверю

[oit]

 

 

Такого не меню не нашел.

какая версия KSC стоит?

[Баир Мангутов]

 

Такого не меню не нашел.

какая версия KSC стоит?

 

10.3.407 Вот скрины

[oit]

@Баир Мангутов, раздел дополнительно. Там Хранилище есть - Карантин, Резервное хранилище

[Баир Мангутов]

в карантине 11 машин в резервном 3 

[oit]

@Баир Мангутов, вот и проверяйте все, кот орые в Карантине, я так понимаю, вас не интересует not-a-virus.

*а по сути, у вас скорее большинство заражено и вирус распространяется через шары друг друг на компы. Скорее всего, у вас на компах шары открыты для всех - пока их не прикроете, не избавитесь - рекурсивно будут заражать друг друга.

[eremeev]

Работаю в организации с количеством машин около 90 и на половине есть антивирус. AD не работает, учетки только на машинах и все имеют доступ к сетевым папкам На серваке Win Server 2008 стоит KES10 с самого утра начинает ловить вирус в папках до конца рабочего дня. В начале рабочего дня запускается эти машины и вирус записывает себя в сетевые папки этого сервера. Как обнаружить зараженные машины? можно в KES по логу найти с какой машины пришел вирус в расшаренную папку?

Прикрепляю отчет KES з

 

Здравствуйте,

 

на серверных ОС рекомендуется использовать KSWS.

В этом продукте есть компонент - Untrusted Hosts Blocking

Он поможет в вашей ситуации.

Спасибо.

[Kapral]

Как вариант - смотреть владельца файла, и потом по владельцу файла смотреть с какого компа пришла зараза

[Friend]

@Баир Мангутов, также можно включить расширенный набор баз: http://support.kaspersky.ru/12613, затем все обновить и запустить проверку.

По скринам видно, что виновник "счастья" пользователь "ЗОЯ".

[Баир Мангутов]

Глянул автозагрузку, запущенные процессы  и отчеты антивируса на замглавбуха,econ4, zakupki2, юрист-пк  и антивирус их удалил. Троян сидел в сетевых папках 192,168,1,137 а не на компе. Короче проблема осталась, где-то  зараженная машина продолжает записывать  троян в шаренные папки. Думаю сделать как советует eremeev

[eco]

Троян сидел в сетевых папках 192,168,1,137 а не на компе

Ну насколько я понял это IP адрес зараженного ПК или???

Да, и на каком ПК стоит Eset ???

Изменено 20 февраля, 2017 пользователем eco