Упали все компьютеры в сети
Модератор: Trinity admin`s
-
TypucT-cheb
- Junior member
- Сообщения: 1
- Зарегистрирован: 31 май 2007, 17:55
- Откуда: Москва
- Контактная информация:
Упали все компьютеры в сети
Совсем недавно была похожая проблема. Правда, успел вовремя заметить. Да и плюсик один есть: работаю в конторе недавно, до меня сисадмин сделал одну очень полезную вещь: кроме антивирей и фаеров заблокировал все порты на каждом компе, кроме 2-3 портов. Поэтому забитость портов легко было обнаружить.Уважаемые Вебер и Касперский этот вирь не видели. NOD32 увидел подозрение на вирь. Зато и Аваст, и AVG (бесплатные версии) не только увидели, но даже умудрились вылечить поврежденные файлы, а сам вирь удалить. Это троян; не помню как называется, попозже время будет - сообщу. Ставьте эти антивири )). Не понравятся - всегда выкинуть можно.
Похожая ситуация была. Однажды встал прокси (squid). Оказалось он написал пару-тройку гигибайт логов за неделю, место кончилось и он встал. По логам было видно что одна машина ломилась в интернет неавторизованно, прокси ее естественно не пускал и делал запись в лог и так 400-500 раз в секунду 
Смотрим машину. Процесс explorer стабильно нагружает на 30-40% процессор. Достаем патчкорд, все утихает, вставляем - начинается сново. Прибить этот процесс нельзя Ни один антивирус ничего не находит (+AVZ тоже). Под рукой утилит никаких нету. Надо было быстро что-то сделать. Заткнули файерволом на время. Потом "раздели" процесс - оказалось маленькая dll-ка на 20 kb это вытворяла. Вручную прибили. Потом еще на одной машине такое было.
Кстати она ломилась на сайт vista.winmicrosoft.com, которого не существует. Может и был когда-то и его решили завалить
Смотрим машину. Процесс explorer стабильно нагружает на 30-40% процессор. Достаем патчкорд, все утихает, вставляем - начинается сново. Прибить этот процесс нельзя
Ни один антивирус ничего не находит (+AVZ тоже). Под рукой утилит никаких нету. Надо было быстро что-то сделать. Заткнули файерволом на время. Потом "раздели" процесс - оказалось маленькая dll-ка на 20 kb это вытворяла. Вручную прибили. Потом еще на одной машине такое было.Кстати она ломилась на сайт vista.winmicrosoft.com, которого не существует. Может и был когда-то и его решили завалить
Такая же проблема сейчас существует, забиваются логи на прокси. Что-то ломиться на vista.winmicrosoft.com. Можно узнать как называется эта dll-ка?Dmitrii писал(а):Похожая ситуация была. Однажды встал прокси (squid). Оказалось он написал пару-тройку гигибайт логов за неделю, место кончилось и он встал. По логам было видно что одна машина ломилась в интернет неавторизованно, прокси ее естественно не пускал и делал запись в лог и так 400-500 раз в секунду
Смотрим машину. Процесс explorer стабильно нагружает на 30-40% процессор. Достаем патчкорд, все утихает, вставляем - начинается сново. Прибить этот процесс нельзя
Кстати она ломилась на сайт vista.winmicrosoft.com, которого не существует. Может и был когда-то и его решили завалить
to andron_d
Всем привет, давно не заходил.
Она называлась как-то на i. Весила всего 10-12к, была кажется в system32. Отловили process explorer - ом от sysinternals. Ищется машина которая это творит. У нее процесс explorer (у нас так было) должен грузить процессор. Упомянутая утилита хорошо 'раздевает' каждый процесс и показывает какие библиотеки работают по этим процессом. Правой кнопкой на процессе > properties, вкладка threads кажется.
Всем привет, давно не заходил.
Она называлась как-то на i. Весила всего 10-12к, была кажется в system32. Отловили process explorer - ом от sysinternals. Ищется машина которая это творит. У нее процесс explorer (у нас так было) должен грузить процессор. Упомянутая утилита хорошо 'раздевает' каждый процесс и показывает какие библиотеки работают по этим процессом. Правой кнопкой на процессе > properties, вкладка threads кажется.
-
Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
сам попал впросак недавно))))
Резко возрос исходящий трафик, свыше гигабайта, при обычных 100-150 Мб. Стал выяснять, что за зараза, оказалось одна машина в режиме нон-стоп отправляет что-то по SMTP. Сразу мысли о троянах и рассылке спама. Проверяю каспером - все чисто. Отцепляю винт, прогоняю еще раз каспером, AVZ, AVG и NOD - тишина, никто ничего не видит. Подключаю винт назад, включаю машинку - тишина, сажаю пользователя, через 3 минуты начинается безостановочная отправка пакетов по SMTP. Выясняю - OUTLOOK. Прошу пользователя открыть outlook - вижу у него валяющиеся и, видимо, зависшие, письма в папке исходящие. Перенос их из исходящих в черновики - полностью решил проблему.
Резко возрос исходящий трафик, свыше гигабайта, при обычных 100-150 Мб. Стал выяснять, что за зараза, оказалось одна машина в режиме нон-стоп отправляет что-то по SMTP. Сразу мысли о троянах и рассылке спама. Проверяю каспером - все чисто. Отцепляю винт, прогоняю еще раз каспером, AVZ, AVG и NOD - тишина, никто ничего не видит. Подключаю винт назад, включаю машинку - тишина, сажаю пользователя, через 3 минуты начинается безостановочная отправка пакетов по SMTP. Выясняю - OUTLOOK. Прошу пользователя открыть outlook - вижу у него валяющиеся и, видимо, зависшие, письма в папке исходящие. Перенос их из исходящих в черновики - полностью решил проблему.
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 5 гостей