virus estranho ou sabotagem interna? help?

pepperoni

Power Member
Viva

tenho um amigo que me ligou descrevendo problemas estranhos nos pc's da sua rede, na empresa...

REDE :

1 router DSL
1 Servidor Win2003

  • DHCP
    Domain Controller
    ISA Server ( ainda em fase de instalação na data dos problemas )
    DNS
    Symantec Corporate

Máquinas WinXP SP1 com AV Symantec
Users administradores LOCAIS das proprias máquinas

SINTOMAS ( shiiii ) :


  • Placas de rede "desinstalam-se" do Windows
    OS não permite copy / paste
    Barra de tarefas / menu iniciar desaparece
    EventViewer não permite a visualização dos eventos (nao abre janela)
    DHCP deixou de funcionar

Tentativas de detecção até à data :

Kapersky full scan
Symantec Corporate full scan
SpyBot SD scan + protecção "activa"
Adaware SE full scan
Ferramentas de detecção de worms :

  • Stinger (NAI)
    System Cleaner (TrendMicro)
    Ferramentas especificas para alguns worms conhecidos
    Alguns scans "online"

holy ****
>(
 
É pa isso de dar poder de admin a users so da asneiras e' o mesmo q dares uma arma carregada a um puto de 2 anos... se ele tem um server de dominio 2k3 pq raio e' q os users nao trabalham SO no dominio e têm poderes de administração local?? Para ele nao ter o trabalho de ter de instalar/configurar programas novos??

Os sintomas q apresentaste parem-me um bocado os q eu senti numa rede infectada com uma versao do bugbear de qqer das maneiras aconselha o teu colega a fazer o seguinte:

-> Actualize as definições de anti virus das maquinas todas
-> Desligue todas as maquinas da rede e corra uma a uma o anti virus e o ultimo stinger mas no modo de segurança
-> Verifique no registry de cada uma das maquinas se nao esta la algum comando q ele nao reconheça no HKEY_LOCAL_Machine->Software-A>Microsoft-> Windows-> Current Version ->Run
(Nota: Sim isto implica o server espero q o teu colega tenha la uma versao de anti virus q corra em 2k3 server... e' pa ele q tenha cuidado qdo estiver a trabalhar no server)

Depois disso ele q ALTERE A PASS LOCAL a todos os users e q os faça utilizar o dominio para se logarem de maneira a q percam TODOS os poderes de admin q possam ter. Isso pode implicar ter de importar as definições dos users para a conta de dominio a patir da conta local (isto se eles nao estiverem a usar uma conta de dominio para aceder as maquinas mas e' naquela e' asneira dar acesso local a uma maquina num dominio tipo se e' para trabalhar como workgroup nao faz mto sentido o ppl tar a logar-se localmente.

Depois posta aqui se isso resultou

Tb tens outra hipotese da-me ai onome da empresa q eu mando para la o meu CV... ;)
 
heya, obrigado pela resposta e pela sugestão, mas eu tb trabalho em informática ;)

Tudo o que disseste pode/deve/vai ser feito, o meu post foi no sentido de pedir ajuda para identificar o problema, uma vez que nenhuma das ferramentas especificadas detectou nada...

thanks anyway
 
Ya a cena e' mesmo q ha prai mta bicharada q inutiliza os programas mais conhecidos de anti virus (o bugbear e' um deles) dai a necessidade de correr as ferramentas em modo de segurança ;)

Ah ja agora... ve se por acaso o ficheiro q contem as definições de dns a nivel local nao foi alterado ;) Se bem me lembro deve ser o C:\winnt\system32\drivers\etc\hosts
 
Triston disse:
Ya a cena e' mesmo q ha prai mta bicharada q inutiliza os programas mais conhecidos de anti virus (o bugbear e' um deles) dai a necessidade de correr as ferramentas em modo de segurança ;)

Ah ja agora... ve se por acaso o ficheiro q contem as definições de dns a nivel local nao foi alterado ;) Se bem me lembro deve ser o C:\winnt\system32\drivers\etc\hosts

Já nem me dou ao trabalho de verificar o ficheiro de hosts hoje em dia, pois quando estou a fazer as verificações no spybot ele verifica o ficheiro (abre-o para eu ver se esta lá só o localhost) e depois adiciona uma série de sites perigosos para os apontar para o 127.0.0.1 ( there's no place like 127.0.0.1 :) )

Tens razão em dizer que existem virus/worms que inutilizam os softwares de AV e FW, mas a questão é que sempre que vi uma cena dessas acontecia que o malware não deixava EXECUTAR o antivirus... ora neste caso os antivirus executam (só não detectam é nada) ....

mas que eles andem aí... andem
 
problem solved...

ok...



o problema nao tinha nada a ver com software... havia um ou outro pc com uns viruszitos, mas nada de especial..

o que se passava é que a rede estruturada tem 1 switch a 100 e um switch a giga... o problema é que um deles está avariado e está a enviar voltagem a mais pelos cabos de rede... FDX

ainda dizem que os informáticos tem vida fácil....

FDX..
 
....

pepperoni disse:
Viva

tenho um amigo que me ligou descrevendo problemas estranhos nos pc's da sua rede, na empresa...

REDE :

1 router DSL
1 Servidor Win2003



  • DHCP

    Domain Controller

    ISA Server ( ainda em fase de instalação na data dos problemas )

    DNS

    Symantec Corporate
Máquinas WinXP SP1 com AV Symantec
Users administradores LOCAIS das proprias máquinas

SINTOMAS ( shiiii ) :



  • Placas de rede "desinstalam-se" do Windows

    OS não permite copy / paste

    Barra de tarefas / menu iniciar desaparece

    EventViewer não permite a visualização dos eventos (nao abre janela)

    DHCP deixou de funcionar
Tentativas de detecção até à data :

Kapersky full scan
Symantec Corporate full scan
SpyBot SD scan + protecção "activa"
Adaware SE full scan
Ferramentas de detecção de worms :


  • Stinger (NAI)

    System Cleaner (TrendMicro)

    Ferramentas especificas para alguns worms conhecidos

    Alguns scans "online"
holy ****
>(
90% dos problemas que referes são ainda coisas com vertentes para os lados dos Sassers e Blasters, vejam se por acaso os serviços de RPC e afins estão bem ....
 
Back
Topo