10.05.2017, 03:13 | #11 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
и далее все остальное. |
10.05.2017, 03:13 | |
Helpmaster
Member
Регистрация: 08.03.2016
Сообщений: 0
|
На форуме имеются аналогичные топики, в которых возможно кроется решение вашего вопроса Вирус заархивировал все документы и папки на сервере Вирус кодирует и меняет раширение файлов офиса на сервере. Вирус на сервере. Помогите. Проблема - вирус или его последствия на Сервере(отваливается шара) Проблема на сервере |
10.05.2017, 09:52 | #12 (permalink) | |
Member
Регистрация: 21.03.2009
Сообщений: 743
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 1025
|
Цитата:
После выполнения скрипта: 1) NormaCS серверная часть запустилась, вот уже пол часа с двух клиентских компов запустил ее для проверки, серверная часть не отваливается, работает хорошо; 2) Сообщения об угрозе от Eset пропали, думаю все хорошо теперь Большое спасибо!) Сделал два лога, один через ESETLogCollector и второй в uvs. |
|
10.05.2017, 10:07 | #13 (permalink) | |
Member
Регистрация: 21.03.2009
Сообщений: 743
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 1025
|
Цитата:
там было - восстановление работы после bsod. Отчет не читал. |
|
10.05.2017, 11:36 | #15 (permalink) |
Member
Регистрация: 21.03.2009
Сообщений: 743
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 1025
|
Почитал в интернете, сделал настройку, чтобы новые логи сохранялись в TXT, но старые я так понял в моей версии нельзя.
Для упрощения сбора логов написано и придуман ESETLogCollector. Запустил детальное сканирование Eset-ом, после него думаю появятся логи, если будут скину. P.S. в корне диска С снова появился файл странный: windowstmp02.exe размером 1,3 Мб Файл создан в 9.45 сегодня, скрипт делал в 8.40. Последний раз редактировалось Wolfil14; 10.05.2017 в 11:42 |
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
10.05.2017, 11:42 | #16 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
да, я видел по файлам dat что некоторые угрозы датированы от 10.05.2017, пока непонятно, каким образом поставляются в систему файлы: или система атакуется периодически извне с применением эксплойтов, или используется вектор атак через обработчики событий в WMI. (по этому поводу как раз было обновление uVS)
поэтому хорошо бы глянуть в хронологическом порядке как идут обнаруженные угрозы -------- т.е. возможно антивирус реагирует на последствия, но не на причину |
10.05.2017, 11:47 | #17 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
а из самого интерфейса антивируса вы не можете экспортировать записи из журнала угроз? без esetlogcollector. там как раз можно указать экспорт в txt файл
|
10.05.2017, 11:55 | #18 (permalink) |
Member
Регистрация: 21.03.2009
Сообщений: 743
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 1025
|
Не нашел нигде пункта экспорт, все пролазил
Утром, перед запуском скрипта - вот такая угроза еще вылезла. На радостях, что после скрипта все зарабатало Только что случилось следующее: С сервера расшарены папки, к ним пропал доступ, но сервер в сети - пишет что данный ip уже используется, при попытке подключения. На сервер через DHCP настроен локальный ip 192.168.1.250 |
10.05.2017, 11:58 | #19 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
у вас 6 версия ESET Endpoint (6.3.2016.0 ), логи из журналов должны нормально экспортироваться.
надо просто зайти в журналы (смотрите в меню антивируса), выбрать лог журнала угроз, потом ПКМ экспортировать все записи в txt файл. |
10.05.2017, 12:07 | #20 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
вполне возможно, что через уязвимость атакуется система извне
https://threatpost.ru/nsas-doublepul...et-wide/21627/ (если конечно, она видна из внешней сети) |
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
|
|