» Флейм для сисадминов (часть III)

Доброго всем времени суток!
Уважаемые - я к вам за советом:
Столкнулся вот с какой бедой - заражена флешка вирусом который вместо папок оставляет ехе - с названием папок.

Раньше я сталкивался с таким вирусом - но он просто скрывал папки - и делал ехе с названием этих самих папок.

Но тут ситуация подобная - тока нет скрытых каталогов, и потерпевший показал странное явление - щелкает по ехе - открывается каталог - а спустя время появляется опять ехе.

Пробовал поиском искать данные каталоги - безрезультатно. Прогнать антивирусником можно, но скорее всего он убьет эти ехе - а где найти каталоги, пробовал утилитами по восстановлению - ни находится ни чего, такое ощущение что каталог куда то перемещается - а потом снова появляется при запуске соответствуещего ехе

Подскажите как каталоги вернуть

d0r0fey,спасибо,я уж 11 заказал...
DocBeen, глянь http://forum.ru-board.com/topic.cgi?forum=62&bm=1&topic=18156#1

S4astliff4ik
Я все понимаю по поводу лечения ...
но вопрос в другом - не пропадут ли данные которые скрывают эти подмененные исполняемые файлы ...

DocBeen
Сталкивался с похожим. Он делал папки скрытыми/системными, добавлял к имени папки .exe и создавал файл. Данные в моем! случае не удалялись.
Ну, а так, всегда есть шанс восстановить, если файл не перезаписывался.

DocBeen
оооо, поздравляю вы стали обладателем Sality
Качай последний Dr Web CureIt записывай его на сд, грузиьс в безопасном режиме и скань винты. Еще качай Salitykiller и тоже скань на всех компах

Добавлено:
Тыц

День добрый, форумчане.

Подскажите пожалуйста, существует ли какой-нибудь аналог Teamviewer'a, DesktopSahring программы то бишь, но только с серверной частью. То есть что бы соединение происходило через наш сервак, а не через сторонний?

iceMaLL
Найдёте решение, не сочтите за труд — отпишитесь в этой ветке.

iceMaLL

Смотри NetOP ....

grumm
Тогда уж добавьте Радмина, VNC, pcAnywhere и им подобных. Всё перечисленное и рядом с Тимвьюевером не лежало (по проходимости сквозь маршрутизаторы и файрволлы).

reff
у друга домашний пров через прокси всех пускает - я к нему подрубиться не смог((( а он ко мне норм - при этом с опцией показать экран...
правда скажу честно я не особо пытался протащить его через проксик прова... лень однако думать

Alukardd

А в чем проблема ? Teamviewer пробивает хоть 10 прокси сервера.

Alukardd
Современные провайдеры (в городах-миллионниках уж точно) не используют прокси-серверы. В чести NAT. К слову, "подрубиться" чем?

reff
Цитата:

Современные провайдеры (в городах-миллионниках уж точно) не используют прокси-серверы.

ыыы... действительно ваши слова разумны, но увы факты на лицо я в Питере живу...(население тут конечно не миллион ) - правда такое чудо мне только одно известно)))

contrafack
а как он прокси пробивает скажите мне... он по какому порту работает??? в настройках ни чего нету про прокси... - в общем как я сказал я в этом копался не сильно, поэтому сильно не ворчите, если я что в этой проге не доглядел...

Добавлено:
уважаемые, если кто сталкивался с настройкой утилиты sane-utils в linux, поможите кто шем можите - а то совсема мысли иссякли... вопрос тут

конект проходит через сервер тимвьювера, т.е. требуется только возможность сделать исходящее соединение
прокси для этого хватает
ну и всякие нат тоже легко пробивает
фактически это чтото типа удобной связки радмина и хамачи плюс еще и нахаляву

goletsa
вы опять не ответили на мой вопрос)
как он пробивает прокси... по какому порту??? он ходит по 80 порту???
что он работает через сервер это не новость... да по другому в общем-то при "серых" адресах и ни как...

Alukardd
какие найдет, через те и ходит

хорошо, а с какой стороны ставить его?
Допустим, я с работы (всё защищено-закрыто-перекрыто корп-стенками-антивирями на прокси) хочу через дом что-то делать - ставить серв.часть дома, а клиент на работе? Или как?
Или буду в отпуске, чтоб на работу не ползти по мелким вопросам - там серверную часть ставить, а клиента дома?

зы, в преддверии тяпницы -
http://www.youtube.com/watch?v=o0JCH7ktgeE
с русскими субтитрами для слабых на англ яз )

ёманарот!
нашёл где в нём настройки прокси! ыыы открыл настройки и тут же нашёл, а когда первый раз открыл то не заметил((( так что вот! сам он через прокси не пойдет - надо его подтолкнуть!

bredonosec
Цитата:

хорошо, а с какой стороны ставить его?
Допустим, я с работы (всё защищено-закрыто-перекрыто корп-стенками-антивирями на прокси) хочу через дом что-то делать - ставить серв.часть дома, а клиент на работе? Или как?
Или буду в отпуске, чтоб на работу не ползти по мелким вопросам - там серверную часть ставить, а клиента дома?

у TeamViewer комбинированные клиент и сервер, всё что вам надо сделать это установить программу на работе настроить её если надо на работу с прокси и не выключать компьютер, и конечно же записать ID и пароль
тут стоит помнить только об одном... - программа бесплатна только для некоммерческого использования!!! так что

Alukardd
Ваш провайдер, использующий прокси-сервер, несовременен. =)

Alukardd

Цитата:

а как он прокси пробивает скажите мне... он по какому порту работает???

Он в начале ищет себе от фанаря порты, если закрыты, то ищет те, которые открыть. провел эксперимент:
На ISA 2006 запретил все, кроме 80 порта и у клиента запустил тимвювер! сцуко через 5 секунд был в боевом готовности !
Говорят, что он тоннелирует через любой протокол и порт.. чтоб запретить - надо удаленные сервера (около 8 штук) блокировать.

contrafack
Цитата:

Коллеги, поделитесь пожалуйста или документами(стандарт, "устав" системных администраторов) или подскажите как это делать?
Надо документировать работу сисадмина, и все остальная информация. В компании часто меняется сисадмины и каждому приходиться "с нуля" разобраться и на это уходит время. в конце так и не разобравшись (то пароли никто не знает, то IP адреса, то еще что то) или уходит или что то "свое" делает.
Вот надо все это как небудь стабилизировать и документировать.

Это очень индивидуально. Я бы описал следующее:
1) Домен, описание политик, пароль доменного администратора, IP адреса и имена контоллеров домена, описания групп (глобальных и локальных)
2) интернет, почта и все с ними связанное (провайдер, IP адреса, тариф, телефон техподдержки, квоты, прокси ....)
3) сетевые принтеры, их IP адреса, тонкости настроек
4) разводка розеток по комнатам, описание VLAN (если есть)
5) парк техники (полная инвентаризация, + расходники к принтерам, факсам .....)
6) пользователи (логины, пароли и адреса электронной почты)
7) телефоны разных техподдержек (банк-клиент и прочее)
8) копии лицензий на ПО + фиксирование дат продления ежегодных договоров на ПО (антивирус, доменное имя, ....).

reff
это не мой) у меня всё в порядке)
я бы лично не стал сидеть на прове, который использует прокси сервер... ( конечно любой провайдер всегда может поставить прозрачное проксирование без кэша - чисто для логов )

Добавлено:
Что это админы с форумом мутят??? ошибки на экран при каждом посте лезут, к тому же перестали темы сортироваться((( надеюсь не на долго...

d0r0fey

Цитата:

DocBeen
Сталкивался с похожим. Он делал папки скрытыми/системными, добавлял к имени папки .exe  и создавал файл. Данные в моем! случае не удалялись.
Ну, а так, всегда есть шанс восстановить, если файл не перезаписывался.

vovanj7

Цитата:

DocBeen
оооо, поздравляю вы стали обладателем Sality
Качай последний Dr Web CureIt записывай его на сд, грузиьс в безопасном режиме и скань винты. Еще качай Salitykiller и тоже скань на всех компах

Спасибо - за ваши рекомендации, но это не Sality - а что то другое ...
самое банальное что смог предпринять - последним CureIt - по всей системе пробежатся - нашел не так и много - но самое интересное - нашел вот что: в LiveCD - попробовал открыть файлик в HEX редакторе, который вирус делал за место каталога, пытаясь определить как и куда деваются папки - и увидел вот что - что в систему устанавливается утилита RAdmin - в этих было прописано как и что импортируется в реест - сами файлики располагаются в каталоге - system32/config - svchost.exe, батник на внесение записей - относительно радмина, добавление его в исключение брандмауэра. и порт - 8959

Файлики по многим рекомендациям вернул с помощью GetDataBack - fat32

Спасибо вам за помощь.

Alukardd, ты случайно оперу до 10.60 не обновлял? А то у меня такое началось сегодня после обновления...

Mushroomer

Цитата:

6) пользователи (логины, пароли и адреса электронной почты)

?

rkhodjaev
А чему ты удивляешься? Я им пароли выдаю и все эти пароли у меня записаны.

Alukardd
Цитата:

ошибки на экран при каждом посте лезут

народ уже волнуется.. ждём-с одминов..

добрый...
наверняка вопрос уже поднимался, киньте линем плз...
хотелось бы узнать кто как реализует инвентаризацию ПО на удаленных машинах...
собственно хотелось бы что-то чем можно снять какие проги установленны за заданных компах, пакетно их деинсталлировать и так же пакетно поставить как на группе компов, так и на единичном компе удаленно...
сразу приходить на ум Micro$oft SMS...
а бесплатное есть что-нить?не знаю, через powershell например или еще какие варианты...
в идеале хотелось бы чем-то удаленно пробежаться по всем компам и снять список всех прог...после из етого списка отобрать компы по критерию необходимой для деинсталла проги и так же удаленно ее вынести, заменив к примеру чем-то другим...
спс...

Dasky
Снять список софта - не проблема
http://forum.ru-board.com/topic.cgi?forum=8&topic=4774
http://forum.ru-board.com/topic.cgi?forum=35&topic=9834
http://forum.ru-board.com/topic.cgi?forum=35&topic=8637
http://forum.ru-board.com/topic.cgi?forum=35&topic=34297


Цитата:

после из етого списка отобрать компы по критерию необходимой для деинсталла проги и так же удаленно ее вынести, заменив к примеру чем-то другим...

А вот это непонятно как делать. Может через GPO?

Mushroomer

спасибо. интересный список. А есть программа или бланк(шаблон) по этим делам? хочется красиво и "как положено" документировать все это.