Вирус в локальной сети (Синий экран) :: В помощь системному администратору

Новости • Файловые архивы
Поиск • Активные темы • Топ лист
Правила • Кто в on-line?

Вход • Забыли пароль? • Первый раз на этом сайте? • Регистрация

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вирус в локальной сети (Синий экран)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR
Версия для печати • Подписаться • Добавить в закладки

linar375 Newbie	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору Подробнее...
	Всего записей: 9 \| Зарегистр. 26-11-2018 \| Отправлено: 21:55 26-11-2018

ne_viens Advanced Member	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору Наверно опять SMB поимели. Какие версии и даты сборки "C:\Windows\System32\drivers\mrxsmb*.sys" файлов?
	Всего записей: 1530 \| Зарегистр. 01-11-2004 \| Отправлено: 23:14 26-11-2018

linar375 Newbie	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору ne_viens как смотреть дату сборки не знаю. Но дата изменения 23.02.2011 пишет
	Всего записей: 9 \| Зарегистр. 26-11-2018 \| Отправлено: 09:52 27-11-2018

ne_viens Advanced Member	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору 2018.11.11 v6.1.7601.24291 должно быть. Настрой обновления чтоб приходили на рабочие станции, да и на сервера тоже наверное. И это самое, сходи на курсы админов.
	Всего записей: 1530 \| Зарегистр. 01-11-2004 \| Отправлено: 10:18 27-11-2018

linar375 Newbie	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору ne_viens обновления стоят, sp1 установлен.
	Всего записей: 9 \| Зарегистр. 26-11-2018 \| Отправлено: 10:33 27-11-2018

ne_viens

Advanced Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Какая версия у драйвера C:\Windows\System32\drivers\mrxsmb.sys ?
Если дата изменения 23.02.2011, то он не обновлялся ~7 лет.
За это время вышла куча эксплойтов для SMB, включая EternalBlue.

Всего записей: 1530 | Зарегистр. 01-11-2004 | Отправлено: 11:29 27-11-2018

linar375 Newbie	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору ne_viens окей как обновить SMB, если при обновлении винды он остается прежним?
	Всего записей: 9 \| Зарегистр. 26-11-2018 \| Отправлено: 13:56 27-11-2018

ne_viens

Advanced Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Скорее всего она вообще не обновляется, так как эти обновления являются критическими, а файлы годами не меняются. Впрочем, точно это можно узнать только по версии файла.

Всего записей: 1530 | Зарегистр. 01-11-2004 | Отправлено: 14:23 27-11-2018

linar375 Newbie	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору ne_viens как узнать версию файла?
	Всего записей: 9 \| Зарегистр. 26-11-2018 \| Отправлено: 14:27 27-11-2018

ne_viens Advanced Member	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору Правый клик, Properties (Свойства?), Details (Детально?).
	Всего записей: 1530 \| Зарегистр. 01-11-2004 \| Отправлено: 15:07 27-11-2018

linar375 Newbie	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору ne_viens Версия файла 6.1.7601.17514
	Всего записей: 9 \| Зарегистр. 26-11-2018 \| Отправлено: 15:25 27-11-2018

ne_viens Advanced Member	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору Вручную KB4467107 скачай и накати. Должно стать v6.1.7601.24291. И кури, почему обновления автоматом не ставятся.
	Всего записей: 1530 \| Зарегистр. 01-11-2004 \| Отправлено: 15:36 27-11-2018

linar375 Newbie	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору ne_viens да, стала такая версия, и что теперь следить появится ли синяк повторно или не появится?
	Всего записей: 9 \| Зарегистр. 26-11-2018 \| Отправлено: 16:15 27-11-2018

linar375 Newbie	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору ne_viens Обновление судя по всему помогло, сервак больше не ребутался. Но проблема остается, как вылечить сеть от вируса?
	Всего записей: 9 \| Зарегистр. 26-11-2018 \| Отправлено: 15:23 29-11-2018

ne_viens

Advanced Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Отсоединить от сети все рабочие станции и сервера.
Переинсталировать все рабочие станции и сервера с предварителным "bootrec /FixMbr".
На все рабочие станции и сервера накатить KB4467107.
Подсоединить все рабочие станции и сервера обратно к сети.
Настроить WSUS.

Всего записей: 1530 | Зарегистр. 01-11-2004 | Отправлено: 16:16 29-11-2018

linar375

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

ne_viens переинсталяция не реальна 300+ машин плюс сервера. На это уйдет пару лет. Пользователи без сети пару лет к сожалению не могут сидеть) поэтому есть ли средства которые могут отслеживать вирусную активность или что то подобное?

Всего записей: 9 | Зарегистр. 26-11-2018 | Отправлено: 16:46 29-11-2018

ne_viens Advanced Member	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору Да есть, антивирусы. Если вирус им известен, они найдут.
	Всего записей: 1530 \| Зарегистр. 01-11-2004 \| Отправлено: 17:01 29-11-2018

VV2006

Silver Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

linar375

Цитата:

Этот вирус создает в планировщике задач свою задачу которая дает какую то команду(команда зашифрована не известным кодом) на PowerShell

Если задачу грохнуть - воссоздаётся? Если да, то отследить и убить её "аффтора".

Всего записей: 2123 | Зарегистр. 10-02-2006 | Отправлено: 17:07 29-11-2018

Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC