[Котяра]

Painted, а какой вирус?

[Painted]

Последний раз это был Win32.HLLW.Autoruner.6013 (в терминологии DrWeb).
До этого заражались исполнимые файлы вирусом Win32.Sector.5 (в терминологии DrWeb) или Win32/Sality (по терминологии Nod32).
Это принципиально? Говорят, в линухе это просто отследить. Но неохота ради одной паршивой овцы линух городить.

[Pili]

Цитата Painted:

Это принципиально? »

Принципиально. У вас файловый вирус и плюс червь. Отключайте общие ресурсы, ставьте везде обновления, ознакомьтесь с инструкцией, если утилита kidokiller не поможет, проверьтесь другими утилитами см. здесь, файловый вирус лечить лучше с CD, см. метод лечения системы от файловых вирусов.
Начните лечить с серверов, к общим ресурсы подключайте только проверенные пропатченные рабочие станции, отключите везде автозапуск см. autorun, вам это сделать удобнее политикой домена.

Цитата Painted:

Как узнать с какого? »

Анализируйте логи антивируса на сервере. В KAV админките можно отчеты сформировать, вероятно в DrWeb тоже есть такое, настройте аудит общих папок (на создание) и см. логи.

[Petya V4sechkin]

Цитата Painted:

Как узнать с какого?

Если это отдельный файл (например, Autorun.inf), в свойствах файла -> вкладка Безопасность -> кнопка Дополнительно -> вкладка Владелец.

А также:
[решено] Аудит сетевых событий

[Painted]

Цитата Pili:

Отключайте общие ресурсы »

Это невозможно.

Цитата Pili:

ставьте везде обновления, »

За всеми не уследишь, к тому же люди приходят со своими ноутами. Например, аудиторы.

Цитата Pili:

удобнее политикой домена »

Около ста компьютеров не в домене. Заражаются именно те ресурсы к которым есть доступ всем, даже гостям.

Цитата Pili:

Анализируйте логи антивируса на сервере. »

У нас Nod, нет там айпишников в логах

Petya V4sechkin,
Спасибо, попробую.

[Pili]

Цитата Painted:

Это невозможно. »

Цитата Painted:

За всеми не уследишь »

Цитата Painted:

есть доступ всем, даже гостям. »

При таком подходе вы не избавитесь от проблемы.

[Painted]

Цитата Pili:

При таком подходе вы не избавитесь от проблемы. »

Это точно. Ситуация у нас не очень простая. В нашей сети и домен есть, и антивирь обновляется, и шары раздаются строго по письменному приказу. И больших проблем нет, но....
В этом же здании еще с десяток организаций, у каждого своя сеть, у некоторых даже свой айтишник (как правило это 1С, только 1С и ничего кроме). Однажды решили поднять один сервак на всех, для обмена файлами меж организациями. Админ разрулил маршруты на циске. И тут все началось...

Цитата Petya V4sechkin:

[решено] Аудит сетевых событий »

Все сделал, IP в событиях не отражается. Пользователь - Гость, но это не о чем не говорит.
Я так и думал, короче.

[Darza]

Painted, Приветень!
когда увидишь вновь записанный вирус на общем ресурсе,
жмешь на этом файле пр.клавишу мыши - и выбираешь "Свойства"
далее идешь в закладку - "Безопасность" - и анализируешь пользователей

Мой опыт:
у нас в организации AD (домен), и около 300 компов - большенство из низ (95%) в домене, а 5% не в домене (это аудиторы и т.п.)
так вот на своем рабочем месте (мой комп в домене, и я сетевой и системный админ) я создал специально такую папку с возможностью записи всем в нее, для чего? - для того чтобы ловить пользователей кто распространяет вирусы по сети на общие шары!

уже несколько раз попогало!
у нас в организации всем ставим Symantec корпоративный с единым центром, себе же я поставил НОД4.

как только НОД4 информирует, что найден вирус в моей шаре на компе(НО не показывает кто его записал), я сразу иду в мою расшаренную папку и жму на этом новом файлике "свойства"-"безопасность" и смотрю кто мне подкинул такое чудо

вот это из личного опыта

[Painted]

Цитата Darza:

я создал специально такую папку с возможностью записи всем в нее »

Гостя включил?
Народ у нас в шары входит как Гость, соответственно во владельцах указан Гость и в логах указан Гость. То есть вопрос можно поставить так - можно ли отключив Гостя, обеспечить доступ всем? Даже не доменым пользователям?