Вирусы не работает локальная сеть

Обновлено: 28.03.2024

Вирус в локальной сети

Модератор: mike 1

Вирус в локальной сети

Здравствуйте! Такая есть проблема. Сеть из 40 компов. Стоит Windows xp везде стоит антивирус Eset endpoint security v. 5 На одном компе несколько расшаренных папок. Время от времени по очередно проникает вирус. Антивирус его удаляет но он откуда-то приходит опять. Делал так. Поотключал все компъютеры от сети и проверил Dr.Web CureIT на нескольких машинах понаходил ,поудалял. Проблема нерешилась. Вирус как заходил так и заходит. Каждый раз он выглядит так : itcewd.exe; tkvrzr.exe; freeqlr.exe; fpqtbw.exe; igihax.exe; stpvks.exe; havqqx.exe; tzezcs.exe Сейчас пробую его вычислить утилитой Process Monitor но пока результата нет. Как найти зараженную машину на которой он находится?

Вирус в локальной сети

Рекомендовал-бы подумать об обновлении ОС если железо конечно потянет. Если не потянет то можно попробовать отобрать у пользователей админские права и настроить учетку на минимум того, что необходимо для пользователей. При этом админскую учетку лучше всего запаролить или отключить и включать только по необходимости при администрировании компьютера.

Вирус в локальной сети

Здравствуйте,Дмитрий! Пока обновить железо и Windows нет возможности. На всех машинах открыта учетная запись гостя. Отключить не могу . Пользователи не смогут работать с базами данных. Большинство работают под админом. Пока перевести на ограниченные права не получиться. Основные программы ,базы данных работают только под админ правами. Так было настроено изначально. Основная часть машин работают без доступа к интернету локально. Что можете посоветовать для защиты и обнаружения вируса. Может есть программы следящие за расшаренными папками. Начал знакомство с Process Monitor пока ничего.

Вирус в локальной сети

user259 , запустите на компьютерах которые подключены к интернету утилиту которая мониторит какие процессы работают с сетью. Я лично использую Process Hacker (в этой теме подробнее), так вот в этой программе можно отследить процесс которые и к каким ресурсам он подключается.

Например вирус должен распространять себя в локалку, соответственно он будет обращаться к локальным ресурсам. Попробуйте его увидеть. А заодно посмотрите к каким внешним ресурсам он обращается и добавьте их в брандмауэр или в hosts чтобы заблокировать, возможно это помешает дальнейшей переустановке вируса в системе.

Но конечно есть шанс что вирус у кого-то на флешке и он его каждый раз запускает не с компа которые подключен к интернету, тогда попробуйте проверить флешки всех сотрудников каким-нибудь kaspersky virus remuval tool или подобными утилитами. Если выявите такую флешку то попросите человека проверить ПК дома чтобы удалить источник вируса.

PS: Я не Дмитрий, я Михаил

Вирус в локальной сети

В процессах пока ничего подозрительного нет. Возможно кто-то из сотрудников запускает флешку с вирусом . Пока проверить все флешки всех сотрудников нет такой возможности но я обращу на это внимание.

Вирус в локальной сети

user259 писал(а): Здравствуйте! Такая есть проблема. Сеть из 40 компов. Стоит Windows xp везде стоит антивирус Eset endpoint security v. 5 На одном компе несколько расшаренных папок. Время от времени по очередно проникает вирус. Антивирус его удаляет но он откуда-то приходит опять. Делал так. Поотключал все компъютеры от сети и проверил Dr.Web CureIT на нескольких машинах понаходил ,поудалял. Проблема нерешилась. Вирус как заходил так и заходит. Каждый раз он выглядит так : itcewd.exe; tkvrzr.exe; freeqlr.exe; fpqtbw.exe; igihax.exe; stpvks.exe; havqqx.exe; tzezcs.exe Сейчас пробую его вычислить утилитой Process Monitor но пока результата нет. Как найти зараженную машину на которой он находится?

Ну с локальной сеть отлично работает антивирус 360 Total Security. Меня он не раз выручал, вот обзор на сайте гикнос. Рекомендовано ставить его одного, без дополнительных утилит или сканеров, он сам все сделает.

Всем добрый вечер!Буду краток, недавно словил вирус, винда перегрузилась( у меня семерка домашняя базовая 32-х разрядная), затем перестал работать инет и сеть (Значок сети попросту пропал).DhCP служба, служба политики диагностики (как-то так)не запускается.Сканировал куром, касперычем-обыск ничего не дал. До этого стоял касперыч, но я после этого инцедента с вирусом, его снес, думал из-за него комп глючить стал. Надеюсь на вашу помощь, спасибо большое!
P.S Ниже также сделал скрин , при обращение к одной из служб которая не запускается.

После вируса пропал интернет
Доброго всем время суток! Проблема следующая: два компьютера работают в домашней сети по вайфай.

Перестали запускаться некоторые программы
Сначало все было хорошо. Потом нужно было скачать программу "КОМПАС". Для ее взлома нужно было.

Перестали запускаться некоторые программы
Здравствуйте. Проблема в том что перестали запускаться такие рограммы как AutoCad, 3DsMax и.

Перестали запускаться игры и некоторые программы
В общем перестали запусаться игры и некоторые программы, то есть они запускаются и вырубаются.

ссылки на результат запостите здесь

Попробуйте запустить службы к которым доступ запрещен

3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

4. сделайте лог HijackThis с подключенным интернетом

5. если не устраивает каспер, установите другой антивирус

Katharsis, Спасибо, что помогаете.Скрипт внес в AVZ(полезная прога), службы по-прежнему не запускаются(компьютер перезагрузился).Пишут, либо не удалось запустить дочернюю службу, либо отказано в доступе.Пункт 4 выполнить не могу, т.к пропала сеть, а как следствие отвалился инет( пишу с другого компа). Сейчас выполняю пункт 3, скачал программу, сейчас винду сканирую, лог вставлю.
Меня беспокоит, что не могу запустить сетевые службы(чтобы выйти в инет), когда захожу в диспетчер устройств, выбираю сетевые адаптеры, там много адаптеров с восклицательными знаками.Пробовал отключать, удалять адаптеры в диспетчере. Вынимал сетевой кабель, исход один внизу иконка с крестиком "Нет доступных подключений".Может быть после удаления вируса, он успел что-то поменять в файлах отвечающих за сетевые службы? Прикладываю картинки,посмотрите пожалуйста. Спасибо заранее!

1. из найденного MBAM удалите:

C:\Users\1\AppData\Roaming\Thinstall\iriver Music Manager\400000451700002i\iriverMusicManager.exe (Trojan.IRCBot) -> Действие не было предпринято.

Если Rubar сами не устанавливали, его тоже:

В прошлой статье я рассказывал возможные причины того, что не работает интернет в работающей локальной сети, здесь же будет рассмотрен более сложный случай, когда локальная сеть не работает в принципе и обмена данными между узлами не происходит.

Если в локальной сети присутствует больше одной единицы активного сетевого оборудования, то диагностировать проблему иногда бывает очень сложно. Особенно, если оборудование разных видов, например, несколько коммутаторов и роутер.

Проблемы с подключением к локальной сети: Broadcast storm

Когда-нибудь это происходит в любой сети — локальная сеть наглухо виснет. При этом пропадает связь со всеми узлами сети. Причем происходит это практически мгновенно, в течение нескольких секунд.

не работает локальная сеть на одном компьютере

Для исправления ситуации последовательно отключают порты на центральном коммутаторе. Если же такого нет, разъединяют сегменты сети, отключая коммутаторы по одному. Локализовав проблемный сегмент, ищут причину уже в нём (проблемный коммутатор, неверно подключенный кабель или неисправная сетевая карта).

Эту ситуацию лучше всего решать заранее. Для этого между сегментами сети ставятся управляемые коммутаторы с функцией Broadcast Storm Control. Эта функция отсекает все широковещательные пакеты свыше некоторого лимита. Благодаря ей широковещательный шторм не распространяется на остальные сегменты сети.

Не работает корпоративная сеть: неисправный коммутатор

Неисправность коммутатора неизбежно ведёт к возникновению проблем в сети. Насколько эти проблемы будут глобальными зависит от типа неисправности.

Самое простое – замена коммутатора, не подающего признаков жизни. Легко диагностируется, просто исправляется. Сложнее ситуация с портами. Порт может выгореть. Тогда пропадает линк, компьютер сети не видит.

Другая ситуация, если порт работает, но неправильно. При этом пропадают пакеты, broadcast пакеты могут совсем не проходить. Сеть как бы присутствует, но она как следует не работает. Такой порт заклеивают и не используют.

Бывают случаи, когда коммутатор виснет или режет пакеты. Вот тут надо определиться с причиной.

  1. 1. В какой момент виснет коммутатор? Если в произвольный, то, скорее всего, это питание. Если питание в порядке, может помочь обновление прошивки коммутатора, если он такое поддерживает. Подразумевается, что внешние проблемы уже были исключены.
  2. 2. Коммутатор может виснуть под нагрузкой. К сожалению, это вряд ли лечится. Этим грешит бюджетное, а скорее дешевое, оборудование, в которое ставят дешевые чипы. Процессор не справляется с нагрузкой и виснет. Исключение — перегрев. Если оборудование при этом греется, то установка дополнительного охлаждения очень может помочь.
  3. 3. Может подвисать не сам коммутатор, а именно порт, через который подключено другое оборудование. Это самое узкое место в сети. В нагруженные сети часто ставят в узловые точки управляемые коммутаторы. Для настройки у них есть порт RS-232 или Web-интерфейс, либо и то и другое. Подключившись через интерфейс, надо сначала попытаться сбросить настройки до заводских. Если не поможет, попробовать обновить прошивку.

Не работает локальная сеть через маршрутизатор

Неисправный маршрутизатор диагностировать легко — это оборудование более высокого уровня и служит для объединения сетей, поэтому, если пропал интернет или отвалился огромный сегмент сети, то это однозначно он и есть.

Помимо неисправностей, присущих коммутаторам, сюда надо добавить программное обеспечение. И в проблемных ситуациях, скорее всего, придётся смотреть в его сторону.

Внешняя среда

При прокладке сети (во избежание в будущем непонятных проблем) следует придерживаться правил. Вот некоторые.

  1. 1. Все участки ниже двух метров следует укладывать в кабель-каналы (зацепил/наступил/перебил).
  2. 2. Избегать использования розеток (окисленные контакты/пыль).
  3. 3. Прокладывать кабель подальше от силовых и телефонных линий.
  4. 4. Все участки вне кабель-канала укладывать в гофру (повреждения при монтаже и мыши).
  5. 5. Весь кабель вне помещения (даже для внешней прокладки, даже под крышей) должен иметь герметичную защиту.
  6. 6. Избегать подключения коммуникаций к свободным парам кабеля.
  7. 7. Все кабели возле столов, стоек и других рабочих мест должны быть прикручены (чтобы не провисали).

И не забывайте, что самый главный враг локальной сети – это не вирус, а уборщица!

Рано или поздно в хоть сколько-нибудь большой локальной сети случается большая неприятность – часть сети, либо вся сеть, виснет или начинает работать с перебоями. Или же перестаёт работать один из сервисов, например, пропадает интернет.

Окружение: локальная сеть на четырёх коммутаторах, связанных через пятый. К нему же подключены два сервера (Ubuntu): первый с DNS и DHCP, второй – прокси, работающий на Squid.

локальная сеть подключена, а интернета нет

Рассмотрим нештатные ситуации.

Почему нет подключения к интернету на компьютере по локальной сети?

  1. 1. Локальная сеть есть, но интернета нет, все остальные службы работают нормально. Неполадок в работе сети нет.

Проверяем логи Squid. В логе /var/log/squid/cache.log находим следующую запись.

FATAL: logfileWrite: /var/log/squid/access.log: (28) No space left on device

Судя по логу, Squid не может записать файл access.log так как закончилось место на диске. Проверяем свободное место.

есть подключение, а по локальной сети нет интернета

Как видно, раздел примонтирован в папку /var и на нём почти нет свободного места. Поэтому надо почистить папку /var от старых логов и временных файлов. После чего перезапустить службу.

sudo service squid restart

На всякий случай проверяем работу DNS

не работает локальная сеть, не работает интернет

Ответ получен, всё работает. Проверяем работу прокси-сервера. Просматриваем логи cache.log, access.log, messages. В логе cache.log находим такую запись:

WARNING! Your cache is running out of filedescriptors

Суть ошибки: процессу Squid выделен определённый лимит на количество открытых файлов. Если он достигает этого предела, то не может больше создавать файлы в кэше. Сервису придётся ждать освобождения некоторого количества файлов. Поэтому страницы будут очень долго и медленно открываться. Причин этому может быть несколько. Например, большое количество клиентов и, соответственно, большое количество соединений. При таком варианте останавливаем Squid, увеличиваем количество файловых дескрипторов, пересоздаём кеш.

sudo service squid stop
nano /etc/squid/squid.conf
SQUID_MAXFD=4096
sudo squid –z
sudo service squid start

Сеть подключена, но доступ к интернету отсутствует: что делать?

  1. 3. Интернет не работает – страницы не открываются, локальные сетевые ресурсы не открываются.

Пробуем пинговать локальные сервера: по IP адресу сервера пингуются, а по имени – нет. Пробуем пинговать ресурсы в интернете. Видим ту же картину, есть пинг только по IP адресу. То есть имя не ресолвится в IP адрес. Не работает сервер DNS. Скорее всего, просто подвис сервис. Проверяем статус сервиса и делаем его рестарт.

service bind9 status

Результат: Active: inactive (dead) – сервис остановлен. Запускаем.

service bind9 start

  1. 4. Некоторые компьютеры не видят друг друга, а другие их видят. Некоторые компьютеры вообще не пингуются. При том, что остальные работают нормально. Потери пакетов. Не важно, в каких сегментах сети находятся компьютеры.

Ситуация довольно странная. С одной стороны, похоже на поломку оборудования. С другой стороны, всё работает. Перезагрузка сетевого оборудования ничего не даёт.

Это ARP-spoofing. Метод взлома, при котором компьютер, подключенный к сети, сканирует MAC адреса других компьютеров и выдаёт ложный ответ при запросах к ним. Таким образом, он перехватывает пакеты, адресованные другим компьютерам, и анализирует их. При этом может быть нарушена работа всей сети. В такой ситуации поможет только выключение всего активного сетевого оборудования на несколько минут. При этом данные об адресации будут сброшены и работа сети возобновлена.

Приходим к однозначному выводу что причиной всему некоторый вирус kido, который атакует компы сети по 445 порту, приводя к ошибке buffer-overflow. Решение — запуск kk.exe на всех компьютерах сети. kk.exe — програмка для лечения вируса kido от касперских. Сам антивирус касперского не переношу на дух, хотя проверку провел — сам касперский угроз не обнаружил, а kk.exe — нашел и по всей видимости полечил.

Итак стал думать почему сервисы падают пачками. И что объединяет эти сервисы. ответ оказался прост — один из svchost.exe запускал все эти сервисы. Вот полный список:
• Обозреватель компьютеров (!)
• Службы криптографии
• Диспетчер логических дисков
• Служба событий COM+
• Справка и поддержка
• Сервер (!)
• Рабочая станция (!)
• Сетевые подключения (!)
• Служба сетевого расположения
• Планировщик заданий (!)
• Вторичный вход в систему
• Уведомление о системных событиях
• Определение оборудования оболочки
• Клиент отслеживания изменившихся связей
• Инструментарий управления windows
• Автоматическое обновление
• Беспроводная настройка

В общем мысль пошла далее. Раз вирусов на сервере больше нет, значит вирус все еще есть на каких либо компьютерах сети. И он продолжает атаковать сервер. Но почему сервер от этого падает? Значит есть какаято дыра. А если есть дыра — значит должна быть заплатка. С горем пополам нашел такую заплатку для WinXP — KB958644
А уж имея название заплатки для Win2003 нашел заплатку без проблем.

В принципе проблема решена, можно выписывать. Но (!) Раз атаки продолжаются значит вирус еще где то действует. Вот об этом хотелось бы спросить хабрасообщество — как выявить зараженный в сети компьютер?
Логично предположить что нужно слушать 445 порт — кто лезет, тому и по рогам. Но ведь на сервере пошарено много всего, люди лезутредактируютсоздаютсохранаютсмотрют… Как нормальный траф 445 порта отделить от вредоносного?
В комментариях жду советов, и надеюсь что в будущем моя статья поможет кому либо побыстрее разобраться с этой проблемой.

ЗЫЖ автоматическое обновление стояло, 2003 был обновлен — почему то эта заплатка не качается со всеми вместе.

Читайте также: