New virus?

Yanis
Дата: 06.08.2004 12:02:32
Сегодня у меня утро началось весело: два компа начали показывать окошки от shutdown.exe с рассказом что в течение 60 секунд комп перезагрузится, а послал его lsass.exe

Один комп - Вин2к Про инглиш
Второй - ВинХР Про китайский

Все критические патчи стоят (спасибо СУСу)

Известных вирусов нет (на ХР стоит НАВ корп 7.6, база от 4 августа; на 2к стоит КАВ 4.5, база от 31 июля - он из чужого домена и в Инет доступ уже неделю не имеет). И тот и другой комп я дополнительно сканировал по сети.

Китайский комп имеет доступ в Инет через ИСА сервер. На сервере забанены все порты от Sobig, Sasser, MSBlast

Почта - Эксчейндж. На ней висит GFI с четырьмя встроенными антивирями + на каждом эксчейндж сервере стоит КАВ 4.5

Из автозагрузки все что можно повыключал. В параметрах службы RPC поставил перезапуск сервиса, а не компа в случае сбоя этого сервиса.

На китайской винде сейчас запустил sfc /scannow, потому что уже не знаю что делать.

Ну и теперь вопрос: что дальше с этим делать?
Рыжий Кот
Дата: 06.08.2004 12:13:52
И так постоянно? или только один раз?
У нас тоже так было, всего 2 раза за год. Из зверей никого не найдено.
Yanis
Дата: 06.08.2004 12:21:49
Рыжий Кот
И так постоянно? или только один раз?
У нас тоже так было, всего 2 раза за год. Из зверей никого не найдено.
Началось говорят вчера вечером, с тех пор постоянно - уже почти сутки...
После загрузки комп работает от 5 минут до получаса, потом говорит "давай-ка брат перезагрузимся"
Luchkin Dmitry
Дата: 06.08.2004 13:28:02
ну а стена-то стоит? а то, патчи патчами, а дырок ещё ой-ей-ей скока в виндах....
alex777
Дата: 06.08.2004 13:31:19
Очень похоже на стародавнего зверя
не помню как называется
год назад злобствовал

Alex_M
Yanis
Дата: 06.08.2004 13:37:27
Luchkin Dmitry
ну а стена-то стоит? а то, патчи патчами, а дырок ещё ой-ей-ей скока в виндах....
alex777
Очень похоже на стародавнего зверя
не помню как называется
год назад злобствовал
Читаем еще раз мой первый пост... Интернет - за ИСА сервером, известных Симантеку на позавчерашний день вирусов нет.
Очень похоже - согласен, и не на одного, а на минимум двух. Но не они.
Luchkin Dmitry
Дата: 06.08.2004 13:40:54
было такое пару раз. вернее похожее -- перегружалось молча.
в логах локальной стены увидел что-то подозрительное и запретил пропускать извне. с тех пор за пару месяцев не наблюдал ни разу.
Yanis
Дата: 06.08.2004 14:07:06
На всех виндах с китайским интерфейсом появилась та же проблема. Похоже кто-то новый народился...
Еще пара часов, и надо будет наверное ставить всем английский с МУИ, хоть они и отказываются (там всякой китайской фигни не хватает а они без нее видите ли не могут).
Luchkin Dmitry
Дата: 06.08.2004 14:19:33
гы
но таки подумай, наверняка работает по принципу не изменения файлов ОС, а проникновения извне, подача команды на ретапок и прочий ремоте процедуре колл. поставь одному какой-нибудь простенький аутпост фиревалл и глянь логи...
gip
Дата: 06.08.2004 15:04:53
Это все последствия от вируса Sasser. Нужно сделать все что там написано: http://www.microsoft.com/Rus/Security/Incident/Sasser.mspx
Проверено!:)