Вирус?

Mar. 12th, 2009 08:49 pm
[identity profile] ivan-grebnev.livejournal.com posting in [community profile] useful_faq
Здравствуйте.
Я занимаюсь администрированием небольшой сети. Опыта мало. В последние три дня на разных машинах (Windows XP SP2) систематично происходит одно и то же. А именно: вырубаются службы сервера и сетевого входа в систему (хотя режим включения Авто) и, например, в Винампе исчезает звук (исправляется сменой устройства в плагине отвечающем за выход звука). Кажется, что вирус. Базы Нода обновляются регулярно и всегда. Drweb cureit чего то лечит, но не в памяти или системных файлах, а лишь по проверке системного раздела.
Вопрос: было такое у кого-нибудь? вирус ли и если вирус, то какой? И как бороться с ним в сети? Ведь постоянно происходит, что у кого-то перестает печатать принтер (ибо сетевой), либо люди не могут попасть в общие папки.
Спасибо за внимание и ответы.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2009-03-12 04:25 pm (UTC)
From: [identity profile] f2065.livejournal.com
звук в винампе может пропадать из-за перенумерации аудиоустройств, которая может случатся в частности из-за USB-наушников или ещё какой-то мульттимедии с виртуальной звуковухой.

по поводу вырубания служб - а нет ли в журнале каких-то записей ?
Может какие-то твикеры использовались ?

вообще надо бы обновить до SP3 и хотфиксы поставить, их со времён SP2 несколько сотен вышло, в том числе и продиводействующих разным сетевым атакам.

Date: 2009-03-12 04:36 pm (UTC)
From: [identity profile] ivan-grebnev.livejournal.com
спасибо.
по поводу сп3 думал. про журнал как-то не пришло в голову)
а винамп... очень долго было все нормально, а тут на десятке машин происходит одно и то же - это вызывает подозрения.

Date: 2009-03-12 05:08 pm (UTC)
From: [identity profile] cepreu.livejournal.com
существует ли ветка реестра HKLM\SYSTEM\CurrentControlSet\Services\netsvcs ?

Date: 2009-03-12 05:45 pm (UTC)
From: [identity profile] ivan-grebnev.livejournal.com
завтра погляжу. что в ней?

Date: 2009-03-12 05:50 pm (UTC)
From: [identity profile] cepreu.livejournal.com
а Вы ее в яндекс вбейте ;)

Date: 2009-03-12 06:11 pm (UTC)
From: [identity profile] ivan-grebnev.livejournal.com
ага) я так и думал) в принципе там и так понятно, по буквам, однако я думал вы скажете что-нибудь типа "вот там должно быть так то и все такое, а у вас там содом и гомора"))
я сегодня яндекснул гуглеца пару раз раз посмотрел старых порно-баннеров, но увы дальще мне было некогда рыться в просторах интернет-вселенной (рекламы и порнухи) и я пошел работать (то есть делать то, что мне не нравится, но деньги фирме приносит ОСНОВНЫЕ). Потому сюда и обратился, то есть за быстрой помощью. Вы уж не обесудьте, но мне даже это сообщение было невыносимо трудно писать... То, что любой ответ на любой вопрос, можно найти - я знаю. Правда. А если вы УЖЕ знаете ответ на вопрос, я буду вам очень благодарен. Честно)

Date: 2009-03-12 06:22 pm (UTC)
From: [identity profile] cepreu.livejournal.com
я похож на телепата? "Drweb cureit чего то лечит", а ЧТО и ГДЕ он лечит это дело десятое, ага.
антивирус у вас обновляется? замечательно! Критические апдейты стоят (хотя бы из MS08-067)? вроятней всего нет. Есть ли у пользователей права локального админа? скорее всего есть. поздравляю, у Вас нет антивируса.
по приведенной мной ветке можно было бы определить присутствие в системе kido (первая же ссылочка в яндексе)

Date: 2009-03-12 07:53 pm (UTC)
From: [identity profile] ivan-grebnev.livejournal.com
спасибо. ваша ирония мне помогла. честно. если завтра отпишусь, поможете?

Date: 2009-03-12 08:39 pm (UTC)
From: [identity profile] cepreu.livejournal.com
нет никакой иронии. про критические апдейты и права локальных админов я вполне серьезно.
То, что у Вас установлен антивирус, ровным счетом ничего не значит. Очень наивно думать "я скачал\купил антивирус, теперь у меня не будет вирусов".
Просканируйте систему каким-нибудь live cd c антивирусом (допустим dr. web. бесплатен. (http://www.freedrweb.com/livecd))
посмотрите что найдется. По тому же kido (aka Win32.HLLW.Shadow.based, Net-Worm.Win32.Kido, W32.Downadup, Worm:Win32/Conficker) есть куча инструкций, в том числе на сайтах производителей антивирусов и сайте microsoft`а.

По результатам проверки можете создать новый пост в это же сообщество (продолжать этот пост не вижу смысла). только не пишите "маленькая сеть", "что-то находит" и т.д. дайте хотя бы краткое описание. Маленькая сеть может быть и с серверами (а у серверов есть какие-нибудь роли), а может и без. "что-то находит" может быть и карантином НОДа :)
"падают службы" - а в логах ведь могут быть и сообщения на этот счет.
"отваливается сеть" - подробней: для кого-то, если он не видит компьютер в"сетевом окружении" или не может зайти на сетевой компьютер по имени, то сеть "отвалилась".

Date: 2009-03-12 11:27 pm (UTC)
From: [identity profile] vickvega.livejournal.com
Как сказали раньше, апдейты - ВСЕ + MalwareBytes + Spyboy Search & Destroy на закуску.

Date: 2009-03-13 07:31 am (UTC)
From: [identity profile] haviras.livejournal.com
Сейчас человек накачает апдейтов, а у него винды сыпаться будут потом.

Вот несколько раз в целях эксперимента ставил все апдейты без разбора, последний раз при тестировании WSUS - в итоге винды таки упали. BSOD и все. Ни в какую не грузятся.

Date: 2009-03-13 07:21 am (UTC)
From: [identity profile] apashenko.livejournal.com
Против вирусов AVZ хорошо помогает.

Date: 2009-03-13 07:58 am (UTC)
From: [identity profile] yu-xuan.livejournal.com
Касперским похожую дрянь когда-то лечили.
Скачайте триальную версию и прошмонайте все машины.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only