Какая-то дрянь в сети останавливает службы Сервер и Рабочая станция - как вычислить? #553629

... похоже на конфикер, но не он похоже.

format c:

что в логах системы?

ничего подозрительного. Записи об остановке служб нет

Единственное что есть: "Ошибка приложения svchost.exe, версия 5.2.3790.3959, модуль kernel32.dll, версия 5.2.3790.3959, адрес 0x0006beb8."

ну хоть сниффер какой-нибудь порекомендуйте под Вин

недели 3 назад была такая кака. Поставил на все машины конфикеровскую заплатку от мелкософта. Тьху-тьху-тьху вроде тихо.

конфицкер ищи на рабстанциях убей админов всех

Возможно с ключом проблема.

+ смотри в систем32конфигсюстемпрофиле в инет темпорарях, если хватит тямы

заплатка то помогает, вопрос какая машина гадить начала с каким ключем?

+ запусти "мастер настройки безопасности" - если поймешь как настроит, он тебе потом все расскажет кто и откудова

я смотрю kidokiller-ом, + утилитой от mcafee - ничего не нахожу.

пофиг на кидокиллер, смотри

+ искать не на сервере, а на всех рабстанциях если не осилишь

Лицензия на сервер 1с

пока не осилил нет у нас такого

1.  а там по-любому надо ставить везде, ибо он по-новой расползается.

да не расползается он - нет симптомов на рабочих станциях

avz и скань все компы обновления на оси крайне  советуемы

сам понимаешь 60 компов сканить - не лучший вариант

Поставил пока триального Касперского - посмотрим обнаружит ли он сетевые атаки какие

т.е. сабж наблюдается только на одном компе, я правильно понял? что там за ось?

нет сабж наблюдается на всех компах - все компы WinXP, и один Win2003 - без обновлений. После установки заплатки на комп, службы больше не останавливаются

легко, все делается одним пакетником с одного рабочего места, прозрачно для усеров

ну, значит точно червячок сидит

подробнее можно про этот пакетник

обошел половину компов - прогнал kido-killerom, поставил заплатки - источника заразы не обнаружил

ну, не факт, что это именно кидо. а может, и новая разновидность. я кода кидо выдирал из корпоративной сетки - его ещё ни каспер, ни веб не знали. только через несколько дней в базе появился.

на сервере ставишь заплатки, конфискер перестает останавливать службу "сервер". Потом поочередно на каждой машине ставишь сложный пароль администратора и прогоняешь все кидокиллером.

вот в этом то и проблема - ловить черную кошку в темной комнате не слишком эффективно. Вычислить бы какой комп

У нас после атаки кидо я везде пароли поставил типа FirmaName - достаточно для кидо.

сервер с обновлением - с ним проблем нет. Сложные пароли у локальных админов уже поставлены. Все пользователи работают под правами Пользователь домена

на клиентских машинах смотри планировщик заданий. на компах рассыльщиках создаются задания со странными именами

Ну тогда только все компы обходить. По пять минут на машину не так уж и долго.

вопрос что на этих компах искать

сервис с абракадабррским именем, например, типа wdfrtyr.dll, только видно его будет с лайв-сиди или флэхи

сделай проще. поставь любой файерволл/антивирь модный мы в офисе кидоху вычислили благодаря моему компу. у всех сетка начала жутко виснуть у 99% стоял касперыч и он молчал предательски у меня на тот момент стоял symantec endpoint protection и он мне каждые пару минут выдавал мессаг что он блочит трафик на мой комп с такого то ИП так ты быстрее вычислишь на ком зараза сидит

+ сейчас вин7х64 + NIS2011

если это кидо, то 99% что сидит почти на всех компах

+ которые не обновлённые - точно, пофих на пароль админа, он ещё уязвимости использует, например в netapi

если касперыч ничего не покажет - попробую ну нет симптомов - сайты открываются, автораны не создаются, kk - молчит.

как вариант - возможно тварь долбится извне, но внутрь по каким-либо причинам не попадает. а останов сервисов - побочное явление долбёжки

я не утверждаю что это КИДО. просто тебе файер покажет откуда атака идет. что бы не бегать по всем компам (у нас их больше сотни)

и тут же файлик kk.exe

Запускаем пакетник номер 2 и ждем логов, логи перенаправлять в обратку не стал, сам допиши

(42,44) из вне вряд ли - на шлюзе все порты прикрыты // правда раньше все через прокси ходили, а теперь через NAT

счас попробуем, спасибо

ты avz-шкой то всё же пару компов проскань

тут жестко для х32 и диска с: переделать для тех, что всамом деле на каждом просто тупо добавить проверку с wmic /node:%%i share get name,path /format:csv

+ логи лягут на самих компах в файлы program fileskasperskykk-report.log

Включи у Касперского Антихакер. Там будет отоброжаться с какого IP идёт атака. Вот на тех компах и лечи Кидо.

где это такое - в упор не вижу

не слушай его - антихакер уже лет пять как не выпускается. щас весь этот функционал в KIS зашит,

Забыл еще добавить что заплатки от кидо надо и на клиентские машины все ставить.

Кстати, в настройках безопасности можно изменить пользователей, которые имеют доступ к компьютеру из сети - тогда и пароль администратора не нужен будет - так как Администратор просто не сможет подключаться по сети.