Как найти зараженные машины трояном HEUR:Trojan.NSIS.BitMin.gen

[eremeev]

Глянул автозагрузку, запущенные процессы  и отчеты антивируса на замглавбуха,econ4, zakupki2, юрист-пк  и антивирус их удалил. Троян сидел в сетевых папках 192,168,1,137 а не на компе. Короче проблема осталась, где-то  зараженная машина продолжает записывать  троян в шаренные папки. Думаю сделать как советует eremeev

 

Ждём от вас результатов после того как последуете совету.

Спасибо.

[Баир Мангутов]

 

Троян сидел в сетевых папках 192,168,1,137 а не на компе

Ну насколько я понял это IP адрес зараженного ПК или???

Да, и на каком ПК стоит Eset ???

 

1) 192.168.1.137 это сервак. в его  в его открытых сетевых папках сидит троян а записывает троян зараженный комп в сети. 

2) нету ни на одной из этих машин есета, установлен агент админ. и kes10

[andrew75]

А попробуйте эту програмку:

http://sputnik70.narod.ru/lanwork.html

Обратите внимание, последние обновления на главной странице сайта: http://sputnik70.narod.ru/

[Баир Мангутов]

 

Глянул автозагрузку, запущенные процессы  и отчеты антивируса на замглавбуха,econ4, zakupki2, юрист-пк  и антивирус их удалил. Троян сидел в сетевых папках 192,168,1,137 а не на компе. Короче проблема осталась, где-то  зараженная машина продолжает записывать  троян в шаренные папки. Думаю сделать как советует eremeev

 

Ждём от вас результатов после того как последуете совету.

Спасибо.

 

Установил на сервак. Утром 21.02.17 сразу позвонили и сказали что обмен не работает. пришел на арм оказывается на нем антивирус каспкрского 6 версии с просроченным ключом.  попытался сам зайти в сетевую папку сервера 192,168,1,222 выскакивает окно что нет доступа, тут я сразу и догнал  проверил автозагрузку и вот тебе этот троян. В безопасном режиме все ручками почистил удалил каспер6 и поставил kes10 и агента. Зашел в логи в касперского на серваке чтоб узнать какие еще машины попались. У него в бане было 3 машины одна часто с переодичностью попадала видимо интнрвал в 30 мин бана. Переделал на 1 сутки чтоб остальные найти ведь пользователи позвонят если не будет доступа на сервак  тк  имя блокированных машин не понятное. нету ни сетевого адреса машины не имя ее. Блин так еще и журнал заблокированных машин удалил  Сейчас буду опять после праздников искать остальные

А попробуйте эту програмку:

http://sputnik70.narod.ru/lanwork.html

Обратите внимание, последние обновления на главной странице сайта: http://sputnik70.narod.ru/

А как по ней найти зараженную машину? Ограничение доступа с нежелательных компьютеров и для нежелательных пользователей. Как оно работает.

Сейчас еще глянул логи 2 сервака на нем пока стоит KES10 на него пока что прекратились атаки последнее число 21.02.2017 время 9.40

Изменено 22 февраля, 2017 пользователем Баир Мангутов

[andrew75]

Насколько я понял, она умеет вести логи доступа к сетевым папкам. Кто к каким файлам обращался. По идее можно понять, кто записывает троян.

Но сам я ей не пользовался.

[Баир Мангутов]

Насколько я понял, она умеет вести логи доступа к сетевым папкам. Кто к каким файлам обращался. По идее можно понять, кто записывает троян.

Но сам я ей не пользовался.

   Ладно я еще не супер админ, но вы то блин должны тут всех собак съесть

[andrew75]

Я такой же пользователь как и вы.

И тоже не супер админ )

Поэтому я и не лезу с советами по корпоративным продуктам, а предлагаю попробовать решить проблему сторонними средствами.

[Баир Мангутов]

Я такой же пользователь как и вы.

И тоже не супер админ )

Поэтому я и не лезу с советами по корпоративным продуктам, а предлагаю попробовать решить проблему сторонними средствами.

Ясно, попробую, посмотрю как она работает. 

[Баир Мангутов]

Ну что ж неделя заканчивается, по отчетам в бан компы не попались, пользователи не звали с проблемой доступа к сетевым папкам. Прикол с той зараженной машиной  стоит она в кабинете врача по венере) Так что друзья всегда предохраняйтесь)

Изменено 2 марта, 2017 пользователем Баир Мангутов