![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png)
![[community profile]](https://www.dreamwidth.org/img/silk/identity/community.png)
Здравствуйте.
Я занимаюсь администрированием небольшой сети. Опыта мало. В последние три дня на разных машинах (Windows XP SP2) систематично происходит одно и то же. А именно: вырубаются службы сервера и сетевого входа в систему (хотя режим включения Авто) и, например, в Винампе исчезает звук (исправляется сменой устройства в плагине отвечающем за выход звука). Кажется, что вирус. Базы Нода обновляются регулярно и всегда. Drweb cureit чего то лечит, но не в памяти или системных файлах, а лишь по проверке системного раздела.
Вопрос: было такое у кого-нибудь? вирус ли и если вирус, то какой? И как бороться с ним в сети? Ведь постоянно происходит, что у кого-то перестает печатать принтер (ибо сетевой), либо люди не могут попасть в общие папки.
Спасибо за внимание и ответы.
Я занимаюсь администрированием небольшой сети. Опыта мало. В последние три дня на разных машинах (Windows XP SP2) систематично происходит одно и то же. А именно: вырубаются службы сервера и сетевого входа в систему (хотя режим включения Авто) и, например, в Винампе исчезает звук (исправляется сменой устройства в плагине отвечающем за выход звука). Кажется, что вирус. Базы Нода обновляются регулярно и всегда. Drweb cureit чего то лечит, но не в памяти или системных файлах, а лишь по проверке системного раздела.
Вопрос: было такое у кого-нибудь? вирус ли и если вирус, то какой? И как бороться с ним в сети? Ведь постоянно происходит, что у кого-то перестает печатать принтер (ибо сетевой), либо люди не могут попасть в общие папки.
Спасибо за внимание и ответы.
no subject
Date: 2009-03-12 04:25 pm (UTC)по поводу вырубания служб - а нет ли в журнале каких-то записей ?
Может какие-то твикеры использовались ?
вообще надо бы обновить до SP3 и хотфиксы поставить, их со времён SP2 несколько сотен вышло, в том числе и продиводействующих разным сетевым атакам.
no subject
Date: 2009-03-12 04:36 pm (UTC)по поводу сп3 думал. про журнал как-то не пришло в голову)
а винамп... очень долго было все нормально, а тут на десятке машин происходит одно и то же - это вызывает подозрения.
no subject
Date: 2009-03-12 05:08 pm (UTC)no subject
Date: 2009-03-12 05:45 pm (UTC)no subject
Date: 2009-03-12 05:50 pm (UTC)no subject
Date: 2009-03-12 06:11 pm (UTC)я сегодня яндекснул гуглеца пару раз раз посмотрел старых порно-баннеров, но увы дальще мне было некогда рыться в просторах интернет-вселенной (рекламы и порнухи) и я пошел работать (то есть делать то, что мне не нравится, но деньги фирме приносит ОСНОВНЫЕ). Потому сюда и обратился, то есть за быстрой помощью. Вы уж не обесудьте, но мне даже это сообщение было невыносимо трудно писать... То, что любой ответ на любой вопрос, можно найти - я знаю. Правда. А если вы УЖЕ знаете ответ на вопрос, я буду вам очень благодарен. Честно)
no subject
Date: 2009-03-12 06:22 pm (UTC)антивирус у вас обновляется? замечательно! Критические апдейты стоят (хотя бы из MS08-067)? вроятней всего нет. Есть ли у пользователей права локального админа? скорее всего есть. поздравляю, у Вас нет антивируса.
по приведенной мной ветке можно было бы определить присутствие в системе kido (первая же ссылочка в яндексе)
no subject
Date: 2009-03-12 07:53 pm (UTC)no subject
Date: 2009-03-12 08:39 pm (UTC)То, что у Вас установлен антивирус, ровным счетом ничего не значит. Очень наивно думать "я скачал\купил антивирус, теперь у меня не будет вирусов".
Просканируйте систему каким-нибудь live cd c антивирусом (допустим dr. web. бесплатен. (http://www.freedrweb.com/livecd))
посмотрите что найдется. По тому же kido (aka Win32.HLLW.Shadow.based, Net-Worm.Win32.Kido, W32.Downadup, Worm:Win32/Conficker) есть куча инструкций, в том числе на сайтах производителей антивирусов и сайте microsoft`а.
По результатам проверки можете создать новый пост в это же сообщество (продолжать этот пост не вижу смысла). только не пишите "маленькая сеть", "что-то находит" и т.д. дайте хотя бы краткое описание. Маленькая сеть может быть и с серверами (а у серверов есть какие-нибудь роли), а может и без. "что-то находит" может быть и карантином НОДа :)
"падают службы" - а в логах ведь могут быть и сообщения на этот счет.
"отваливается сеть" - подробней: для кого-то, если он не видит компьютер в"сетевом окружении" или не может зайти на сетевой компьютер по имени, то сеть "отвалилась".
no subject
Date: 2009-03-12 11:27 pm (UTC)no subject
Date: 2009-03-13 07:31 am (UTC)Вот несколько раз в целях эксперимента ставил все апдейты без разбора, последний раз при тестировании WSUS - в итоге винды таки упали. BSOD и все. Ни в какую не грузятся.
no subject
Date: 2009-03-13 07:21 am (UTC)no subject
Date: 2009-03-13 07:58 am (UTC)Скачайте триальную версию и прошмонайте все машины.