Sign In
Create Account
Back to top
 |
Second Opinion
Folosind serviciul second opinion ne puteți trimite RMN-uri, CT -uri, angiografii, fișiere .pdf, documente medicale. Astfel vă vom putea da o opinie neurochirurgicală, fără ca aceasta să poată înlocui un consult de specialitate. Răspunsurile vor fi date prin e-mail în cel mai scurt timp posibil (de obicei în mai putin de 24 de ore, dar nu mai mult de 48 de ore). Second opinion – Neurohope este un serviciu gratuit. www.neurohope.ro |
Probleme securitate retea
Last Updated: Nov 03 2014 23:08, Started by
kossma
, Oct 06 2014 17:02
·
0
0
#1
Posted 06 October 2014 - 17:02
|
Salutare !
Am o retea de calculatoare in 2 locatii....cu antivirusii nod 32 intr-o locatie si kaspersky antivirus in cealalta locatie.....Am servere win 2012 r2 si 2008, 2 firewaluri Problema este legata de faptul ca am un soi de troian/virus pe care nu reusesc sa il detectez......cred ca este modificat si integrat in procesele locale....fara sa i se vada continutul Aproape la fiecare conectare a unui PC dupa un anumit timp, foarte scurt ......ecranul licare.....semn ca se intampla un proces,,,,ceea ce nu este ok.... Aveti idee cum as putea sa il depistez centralizat ? Edited by kossma, 06 October 2014 - 17:08. |
#2
Posted 06 October 2014 - 17:08
|
Cum ti-ai dat seama ca ai un trojan/virus? Sau ce efecte are?
|
#4
Posted 06 October 2014 - 18:08
#5
Posted 06 October 2014 - 20:48
|
1. Eu nu m-as baza prea mult pe Nod. Acum 10 ani a fost in top, acum e cam jos. Kaspersky insa e de baza.
2. Exista anumite tipuri de malware care antivirusii nu le detecteaza, intrucat nu sunt considerate periculoase. Adwcleaner si Malwarebytes AntiMalware depisteaza si elimina genul asta de malware - sunt complementare - intre ele si cu antivirusii. 3. Ce intelegi prin 2 firewall-uri ? Sper ca nu ai 2 pe un singur calculator. 4. De obicei imediat dupa pornirea unui calculator, acesta se conecteaza la retea ptr a verifica starea ei si ptr a "anunta" serverul ca s-a conectat. In plus sistemul si programele instalate care au setari de update automat vor incerca sa se conecteze pe serverele de update. |
#6
Posted 07 October 2014 - 23:42
|
Salutare !
1.Da, ai dreptate, stiu ca nu este cel mai grozav antivirus NOD 32...dar trebuie sa ma descurc cu el....si il am instalat pe toate statiile...Si eu cred ca Kaspersky este tare..... 2.Am inceput sa instalez pe statiile de lucru Malwarebytes AntiMalware....dar e munca de ocnas.....si e nevoie de timp 3. Am 2 firewalluri Fortigate....care leaga 2 locatii... 4. Asa cum am vazut pe internet...se pot face usor virusuri care sa nu fie detectabili.....de antivirusi..... Intrearea se pune cum pot sa detectez ...intr-o retea...centralizat.....acest cal troian....? Este posibil sa fie integrat intr-un serviciu de sistem...eu stiu..,,,.incerc sa imi dau seama Cu ajutorul lui se poate intra pe PC-uri fara stirea userilor....si are acces....poate integra si un keylogger......totul e posibil.... Ce as putea sa fac ? |
#7
Posted 08 October 2014 - 08:17
|
kossma, on 07 octombrie 2014 - 23:42, said:
Ce as putea sa fac ? Pui ProcessManager, activezi verificarea semnaturilor. Apoi pentru fiecare proces nesemnat, cauti informatii pe net: ce face, marime, chksum, il analizezi cu virustotal. Elimini ce e legitim. Cele care raman: daca esti suficient de avansat, te atasezi la fiecare cu ollydbg, te uiti ce stringuri are definite.. cauti nume de server, adrese de IP. Te uiti ce functii foloseste.. cauti functii de comunicatii IP; faci un pic de debug, patchuiesti codul, etc Daca nu esti suficient de avansat, le dezactivezi si apoi le activezi pe rand pana identifici problema. |
#8
Posted 12 October 2014 - 23:22
|
Argv, on 08 octombrie 2014 - 08:17, said: Pui ProcessManager, activezi verificarea semnaturilor. Apoi pentru fiecare proces nesemnat, cauti informatii pe net: ce face, marime, chksum, il analizezi cu virustotal. Elimini ce e legitim. Cele care raman: daca esti suficient de avansat, te atasezi la fiecare cu ollydbg, te uiti ce stringuri are definite.. cauti nume de server, adrese de IP. Te uiti ce functii foloseste.. cauti functii de comunicatii IP; faci un pic de debug, patchuiesti codul, etc Daca nu esti suficient de avansat, le dezactivezi si apoi le activezi pe rand pana identifici problema. Mersi pentru sugestii.....sunt beginner....dar dispuns sa invat si sa studiez... Am instalat Process Manager.....si dupa instalare imi apare la fiecare proces...aproape la toate.....description, company name si virus total..... Intrebare...presupune altceva activarea verificarii semnaturilor....? Legat de ollydbg.....am facut un test.....la un utilitar de hdd....pare destul de complex.....imi c-am prind urechile prin el....dar incerc sa invat, sa studiez.... O alta intrebare......exista vreo modalitate sa monitorizez din retea activitatea pc-ului pe care il banuiesc ....ma refer la un soi de keylogger cu posibiltate de record imagini...?....bineinteles fara sa il miroasa antivirusul ? |
#9
Posted 13 October 2014 - 08:11
|
Pt ProcessManager: Faci click dreapta pe headerul de coloane si din meniul contextual alegi Select Columns. Din sectiunea Process Image selectezi Verified Signer (eu selectez si Command line). Pe urma in meniul Options selectezi optiunea Verify Image Signatures
Daca ai un keylogger trebuie sa faca ceva cu datele care le logeaza, in general se trimit prin retea catre un server. In router ai putea sa activezi logarea traficului legat de statia respectiva. Pentru a fi mai simplu ar trebui sa ii asociezi o adresa IP fixa (asociata cu MAC-ul placii de retea). Modul in care se activeaza logarea traficului depind de router. Daca ai banuieli intemeiate, nu mai pierzi vremea si reinstalezi OS-ul. |
#10
Posted 13 October 2014 - 11:00
|
"ecranul licare.....semn ca se intampla un proces" e ridicol.
|
|
#11
Posted 16 October 2014 - 23:58
|
f300, on 13 octombrie 2014 - 11:00, said:
"ecranul licare.....semn ca se intampla un proces" e ridicol. Argv, on 13 octombrie 2014 - 08:11, said:
Pt ProcessManager: Faci click dreapta pe headerul de coloane si din meniul contextual alegi Select Columns. Din sectiunea Process Image selectezi Verified Signer (eu selectez si Command line). Pe urma in meniul Options selectezi optiunea Verify Image Signatures Daca ai un keylogger trebuie sa faca ceva cu datele care le logeaza, in general se trimit prin retea catre un server. In router ai putea sa activezi logarea traficului legat de statia respectiva. Pentru a fi mai simplu ar trebui sa ii asociezi o adresa IP fixa (asociata cu MAC-ul placii de retea). Modul in care se activeaza logarea traficului depind de router. Daca ai banuieli intemeiate, nu mai pierzi vremea si reinstalezi OS-ul. Multumesc pentru sfaturi.....am reusit sa ma uit la procese....le-am verificat..din pacate nu am gasit nimic suspect.....la serverul de domeniu Am incercat sa scanez de troieni, am incercat cu mai multe pachete software, am luat si kaspersky trial version....dar nu am gasit nimic...am adresa fixa a calculatorului de la care cred ca a fost lansat virsulu.... Cred ca este asa facut ....sa nu fie detectat de antivirusi....si se propaga la orice calculator...indiferent daca este in domeniu sau nu....am facu teste..si imi apare faza cu licaritul....ca si cum s-ar conecta cineva la statie....remote Buba este din server.....dar....ce as mai putea face ? De reinstalare ar fi mai greu...este un server de domeniu...dar o sa incerc daca nu ii dau de cap...desi...daca reinstalez.....la copierea domeniului ...este posibil....sa mut cu tot....cu buba |
#12
Posted 19 October 2014 - 22:12
|
Am revenit cu niste informatii noi...
Am folosit din nou Process Manager si mi-a aparut un proces infectat....asa cum apare in imaginile a1 si a2.... Am dat click pe procesul infectat si s-a deschis o pagina in care imi zice la virus total ca am un trojan.....asa cum se vede la imaginea b Folosind odbg110 am incercat sa localizez procesul in directorul specificat dar nu am gasit executabilul.....asa cum se vede in imaginea dfsr.....pentru a-i vedea continutul sau vreun IP, etc Cum as putea da de el ? Ce as putea sa fac ? Multumesc anticipat pentru raspuns.... Attached Files |
#13
Posted 20 October 2014 - 10:04
|
As zice ca e false positive (adica nu e malware). Poate il are cineva si ne poate spune checksumul daca e acelasi.
|
#14
Posted 21 October 2014 - 22:36
#15
Posted 23 October 2014 - 20:30
|
Am folosit programul si nu a gasit nimic din pacate...ce solutii as mai avea ?
|
|
#16
Posted 24 October 2014 - 19:50
|
kossma, on 23 octombrie 2014 - 20:30, said:
Am folosit programul si nu a gasit nimic din pacate...ce solutii as mai avea ? faza cu licaritul vezi sa nu fie ceva hardware la monitor / sursa alimentare / fluctuatie electricitate etc acum it mai apar procese suspecte in task manager ? mai poti incerca o scanare cu Dr.Web CureIT http://www.freedrweb.../cureit/?lng=en Edited by monolite, 24 October 2014 - 19:59. |
#17
Posted 03 November 2014 - 23:08
|
Salutare !
Am gasit buba....in mare....este vorba despre un calculator din retea care avea pach-uit un fisier din system 32...numit rpcss.dll..care e destul de interesant...si te poti conecta remote ...din ceea ce am vazut pe net......l-am gasit cu trojan remover...dar nu l-a putut indeparta. Problema nu era din server....deoarece virusul ocolea orice antivirusul existent (nod32) si probabil altele. Am reinstalat windows-ul..dar folosind din nou process manager imi apare pe calculatoare din retea....alti virusi in procese...in retea..win64.expiro si win.worm mabezat 3442....Aveti idee cum pot sa scap de ei....mai ales de primul...la nivel de retea ? Intrebarea 2...As vrea sa studiez continutul lui rpcss.dll....ce program as putea folosi...pentru a vedea corect codul ? Multumesc anticipat.... Edited by kossma, 03 November 2014 - 23:09. |
Anunturi
▶ 0 user(s) are reading this topic
0 members, 0 guests, 0 anonymous users
-
- Change Theme
- English
- Mark Community Read
- Termene & conditii
- Confidentialitate
- Consimtamant
- Cookies
- Help
© 2001-2024 Softpedia. All rights reserved. Softpedia® and the Softpedia logo are registered trademarks of SoftNews Net SRL.
Ora implicita a Forumului Softpedia este ora standard a Romaniei (GMT+2). Mai multe informatii →
⚠ Postarile afisate pe Forumul Softpedia reprezinta o opinie subiectiva a membrilor care le-au publicat si nu a SoftNews Net SRL.