1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

virus estranho ou sabotagem interna? help?

Discussão em 'Dúvidas e Suporte—Internet, Redes, Segurança' iniciada por pepperoni, 16 de Dezembro de 2004. (Respostas: 8; Visualizações: 931)

  1. pepperoni

    pepperoni Power Member

    Viva

    tenho um amigo que me ligou descrevendo problemas estranhos nos pc's da sua rede, na empresa...

    REDE :

    1 router DSL
    1 Servidor Win2003

    • DHCP
      Domain Controller
      ISA Server ( ainda em fase de instalação na data dos problemas )
      DNS
      Symantec Corporate

    Máquinas WinXP SP1 com AV Symantec
    Users administradores LOCAIS das proprias máquinas

    SINTOMAS ( shiiii ) :


    • Placas de rede "desinstalam-se" do Windows
      OS não permite copy / paste
      Barra de tarefas / menu iniciar desaparece
      EventViewer não permite a visualização dos eventos (nao abre janela)
      DHCP deixou de funcionar

    Tentativas de detecção até à data :

    Kapersky full scan
    Symantec Corporate full scan
    SpyBot SD scan + protecção "activa"
    Adaware SE full scan
    Ferramentas de detecção de worms :

    • Stinger (NAI)
      System Cleaner (TrendMicro)
      Ferramentas especificas para alguns worms conhecidos
      Alguns scans "online"

    holy ****
    >(
     
  2. Triston

    Triston Aku Soku Zan SM

    É pa isso de dar poder de admin a users so da asneiras e' o mesmo q dares uma arma carregada a um puto de 2 anos... se ele tem um server de dominio 2k3 pq raio e' q os users nao trabalham SO no dominio e têm poderes de administração local?? Para ele nao ter o trabalho de ter de instalar/configurar programas novos??

    Os sintomas q apresentaste parem-me um bocado os q eu senti numa rede infectada com uma versao do bugbear de qqer das maneiras aconselha o teu colega a fazer o seguinte:

    -> Actualize as definições de anti virus das maquinas todas
    -> Desligue todas as maquinas da rede e corra uma a uma o anti virus e o ultimo stinger mas no modo de segurança
    -> Verifique no registry de cada uma das maquinas se nao esta la algum comando q ele nao reconheça no HKEY_LOCAL_Machine->Software-A>Microsoft-> Windows-> Current Version ->Run
    (Nota: Sim isto implica o server espero q o teu colega tenha la uma versao de anti virus q corra em 2k3 server... e' pa ele q tenha cuidado qdo estiver a trabalhar no server)

    Depois disso ele q ALTERE A PASS LOCAL a todos os users e q os faça utilizar o dominio para se logarem de maneira a q percam TODOS os poderes de admin q possam ter. Isso pode implicar ter de importar as definições dos users para a conta de dominio a patir da conta local (isto se eles nao estiverem a usar uma conta de dominio para aceder as maquinas mas e' naquela e' asneira dar acesso local a uma maquina num dominio tipo se e' para trabalhar como workgroup nao faz mto sentido o ppl tar a logar-se localmente.

    Depois posta aqui se isso resultou

    Tb tens outra hipotese da-me ai onome da empresa q eu mando para la o meu CV... ;)
     
  3. pepperoni

    pepperoni Power Member

    heya, obrigado pela resposta e pela sugestão, mas eu tb trabalho em informática ;)

    Tudo o que disseste pode/deve/vai ser feito, o meu post foi no sentido de pedir ajuda para identificar o problema, uma vez que nenhuma das ferramentas especificadas detectou nada...

    thanks anyway
     
  4. Triston

    Triston Aku Soku Zan SM

    Ya a cena e' mesmo q ha prai mta bicharada q inutiliza os programas mais conhecidos de anti virus (o bugbear e' um deles) dai a necessidade de correr as ferramentas em modo de segurança ;)

    Ah ja agora... ve se por acaso o ficheiro q contem as definições de dns a nivel local nao foi alterado ;) Se bem me lembro deve ser o C:\winnt\system32\drivers\etc\hosts
     
  5. g00f3r

    g00f3r Power Member

    "OS não permite copy / paste"

    sintoma do DCOM inactivo .. pelo menos acontecia qd me crashava o serviço
     
  6. pepperoni

    pepperoni Power Member

    Já nem me dou ao trabalho de verificar o ficheiro de hosts hoje em dia, pois quando estou a fazer as verificações no spybot ele verifica o ficheiro (abre-o para eu ver se esta lá só o localhost) e depois adiciona uma série de sites perigosos para os apontar para o 127.0.0.1 ( there's no place like 127.0.0.1 :) )

    Tens razão em dizer que existem virus/worms que inutilizam os softwares de AV e FW, mas a questão é que sempre que vi uma cena dessas acontecia que o malware não deixava EXECUTAR o antivirus... ora neste caso os antivirus executam (só não detectam é nada) ....

    mas que eles andem aí... andem
     
  7. pepperoni

    pepperoni Power Member


    por acaso essa foi bem lembrada... amanhã quando for lá vou ver os serviços
     
  8. pepperoni

    pepperoni Power Member

    problem solved...

    ok...



    o problema nao tinha nada a ver com software... havia um ou outro pc com uns viruszitos, mas nada de especial..

    o que se passava é que a rede estruturada tem 1 switch a 100 e um switch a giga... o problema é que um deles está avariado e está a enviar voltagem a mais pelos cabos de rede... FDX

    ainda dizem que os informáticos tem vida fácil....

    FDX..
     
  9. Trystam

    Trystam Power Member

    ....

    90% dos problemas que referes são ainda coisas com vertentes para os lados dos Sassers e Blasters, vejam se por acaso os serviços de RPC e afins estão bem ....
     

Partilhar esta Página