Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   Что-то не поянтное в сети(думаю зловред завелся) (http://forum.oszone.net/showthread.php?t=137967)

uptk 17-04-2009 14:11 1096687
Что-то не поянтное в сети(думаю зловред завелся)
 
Сетевые клиенты ХР, сервер 2003, всё это добро конектиться к 3-ем свитчам(2 Длинка + 1 НР) свтчи к Циске, Циска по тунелю на центральный офис.

У сотрудника возникла проблема с сетью. Невидит не конектится, почту не получает(одним словом нет сети).
Сеть вроде как есть, физичисктй линк установлен лампочка на сетевой весело моргает, пакеты шлёт, НО в ответ ни одного пакета не приходит.
Начал проверять машину на зловредов, Nod32, AVZ and CureIT результатов не дали.

Решил проверить на физическом уровне.
Переключил клиента на другой свитч, и ооо Шайтан сеть появилась!
Делаю вывод свич глюкнул, переключаю клиентов в рабочий свич и тут опа? сюрприз, некоторые клиенты не работают на Dlink #1 а работают на Dlink №2 и на оборот.(Всё началось с Dlink №2).
Также выяснилось, если машине с такими симптомами дать динамический адрес не меняя порт на сиче, всё нормализуется.

Значит в сети сидит зловред который пакостит, может кто сталкивался, подскажите как поймать и изнать сию нечисть?

Drugser 22-04-2009 10:20 1100742
Во-первых, надо посмотреть в процессах на клиентских машинах, нет ли ничего лишнего, если есть, то убить их и проверить на работоспособность сеть.
Во- вторых обновить сигнатуры в антивирусе.
В -третьих проверить наличие вирусов на другом конце тунеля, возможно они блокируют траффик, а также проверить файрвол, вдруг настройки сбились,, тоже бывает, хотя скорее всего там все в порядке.
В-четвертых посмотреть в реестре, ветки, куда записываются популярные вирусы, которые гадят сеть
1)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\далее в каждом разделе проперить папки Shell, т.е. посмотреть все значения, если в конце значеия приписаны не понятные файлы, то просто удалить данный раздел Shell, а также проверить наличие скрытых файлов и папок на системном диске, удалив при этом не известные
2)Удалить строку "%System%\<rnd>.dll" из значения следующего параметра ключа реестра: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost "netsvcs"
3)Удалить ключ системного реестра: HKLM\SYSTEM\CurrentControlSet\Services\netsvcs
Если это не поможет, то попровать установить другой антивирус kasp или dr_web, в режиме триала, обновить базы и сделать полную проверку на компах, а также проверить съемные носители, отключив функцию autorun для них
4) Проверить каждый порт на свиче, бывает что выгорает
5) Проверить провода на наличие повреждений.
uptk, если это не поможет, то пишите еще


Время: 23:23.

Время: 23:23.
© OSzone.net 2001-