Вирус в локальной сети

Антивирусное ПО, опыт борьбы с вирусами и прочее

Модератор: mike 1

Ответить

Автор темы
user259
Новичок
Сообщения: 3
Зарегистрирован: 29 авг 2015, 16:51
Репутация: 0
Статус: Не в сети

Вирус в локальной сети

Сообщение user259 » 11 июн 2016, 13:56


Здравствуйте! Такая есть проблема. Сеть из 40 компов. Стоит Windows xp везде стоит антивирус Eset endpoint security v. 5 На одном компе несколько расшаренных папок. Время от времени по очередно проникает вирус. Антивирус его удаляет но он откуда-то приходит опять. Делал так. Поотключал все компъютеры от сети и проверил Dr.Web CureIT на нескольких машинах понаходил ,поудалял. Проблема нерешилась. Вирус как заходил так и заходит. Каждый раз он выглядит так : itcewd.exe; tkvrzr.exe; freeqlr.exe; fpqtbw.exe; igihax.exe; stpvks.exe; havqqx.exe; tzezcs.exe Сейчас пробую его вычислить утилитой Process Monitor но пока результата нет. Как найти зараженную машину на которой он находится?

Отправлено спустя 38 минут 17 секунд:
Оставляет за собой такие файлы khx, khw, khy

Аватара пользователя

DesignerMix
Администратор
Администратор
Сообщения: 4451
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 170
Репутация: 547
Откуда: Белгород
Контактная информация:
Статус: Не в сети

Вирус в локальной сети

Сообщение DesignerMix » 11 июн 2016, 23:09


user259 писал(а):Источник цитаты Стоит Windows xp

К сожалению эта ОС уже устаревшая и в ней есть куча незакрытых уязвимостей так что думаю что вирус проникает как раз с их использованием не смотря на наличие антивируса. А Security Update'ы для XP больше не выходят - http://windows.microsoft.com/ru-ru/windows/lifecycle

Рекомендовал-бы подумать об обновлении ОС если железо конечно потянет. Если не потянет то можно попробовать отобрать у пользователей админские права и настроить учетку на минимум того, что необходимо для пользователей. При этом админскую учетку лучше всего запаролить или отключить и включать только по необходимости при администрировании компьютера.


Автор темы
user259
Новичок
Сообщения: 3
Зарегистрирован: 29 авг 2015, 16:51
Репутация: 0
Статус: Не в сети

Вирус в локальной сети

Сообщение user259 » 13 июн 2016, 08:23


Здравствуйте,Дмитрий! Пока обновить железо и Windows нет возможности. На всех машинах открыта учетная запись гостя. Отключить не могу . Пользователи не смогут работать с базами данных. Большинство работают под админом. Пока перевести на ограниченные права не получиться. Основные программы ,базы данных работают только под админ правами. Так было настроено изначально. Основная часть машин работают без доступа к интернету локально. Что можете посоветовать для защиты и обнаружения вируса. Может есть программы следящие за расшаренными папками. Начал знакомство с Process Monitor пока ничего.

Аватара пользователя

DesignerMix
Администратор
Администратор
Сообщения: 4451
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 170
Репутация: 547
Откуда: Белгород
Контактная информация:
Статус: Не в сети

Вирус в локальной сети

Сообщение DesignerMix » 13 июн 2016, 11:27


user259, запустите на компьютерах которые подключены к интернету утилиту которая мониторит какие процессы работают с сетью. Я лично использую Process Hacker (в этой теме подробнее), так вот в этой программе можно отследить процесс которые и к каким ресурсам он подключается.

Например вирус должен распространять себя в локалку, соответственно он будет обращаться к локальным ресурсам. Попробуйте его увидеть. А заодно посмотрите к каким внешним ресурсам он обращается и добавьте их в брандмауэр или в hosts чтобы заблокировать, возможно это помешает дальнейшей переустановке вируса в системе.

Но конечно есть шанс что вирус у кого-то на флешке и он его каждый раз запускает не с компа которые подключен к интернету, тогда попробуйте проверить флешки всех сотрудников каким-нибудь kaspersky virus remuval tool или подобными утилитами. Если выявите такую флешку то попросите человека проверить ПК дома чтобы удалить источник вируса.

PS: Я не Дмитрий, я Михаил


Автор темы
user259
Новичок
Сообщения: 3
Зарегистрирован: 29 авг 2015, 16:51
Репутация: 0
Статус: Не в сети

Вирус в локальной сети

Сообщение user259 » 14 июн 2016, 19:02


В процессах пока ничего подозрительного нет. Возможно кто-то из сотрудников запускает флешку с вирусом . Пока проверить все флешки всех сотрудников нет такой возможности но я обращу на это внимание.


EZmimego
Новичок
Сообщения: 4
Зарегистрирован: 25 дек 2015, 15:57
Репутация: 0
Статус: Не в сети

Вирус в локальной сети

Сообщение EZmimego » 20 авг 2016, 19:00


user259 писал(а):Источник цитаты Здравствуйте! Такая есть проблема. Сеть из 40 компов. Стоит Windows xp везде стоит антивирус Eset endpoint security v. 5 На одном компе несколько расшаренных папок. Время от времени по очередно проникает вирус. Антивирус его удаляет но он откуда-то приходит опять. Делал так. Поотключал все компъютеры от сети и проверил Dr.Web CureIT на нескольких машинах понаходил ,поудалял. Проблема нерешилась. Вирус как заходил так и заходит. Каждый раз он выглядит так : itcewd.exe; tkvrzr.exe; freeqlr.exe; fpqtbw.exe; igihax.exe; stpvks.exe; havqqx.exe; tzezcs.exe Сейчас пробую его вычислить утилитой Process Monitor но пока результата нет. Как найти зараженную машину на которой он находится?

Отправлено спустя 38 минут 17 секунд:
Оставляет за собой такие файлы khx, khw, khy

Ну с локальной сеть отлично работает антивирус 360 Total Security. Меня он не раз выручал, вот обзор на сайте гикнос. Рекомендовано ставить его одного, без дополнительных утилит или сканеров, он сам все сделает.

Аватара пользователя

DesignerMix
Администратор
Администратор
Сообщения: 4451
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 170
Репутация: 547
Откуда: Белгород
Контактная информация:
Статус: Не в сети

Вирус в локальной сети

Сообщение DesignerMix » 20 авг 2016, 20:54


Еще одна ссылка на гикнос и все ваши посты будут удалены.