Главная Вход в систему Регистрация
Задать вопрос Консультации Пользователи Форум
О системе Помощь
Задать вопрос экспертам
Консультация № 169360
13.06.2009, 14:02
0.00 руб.
0 7 1
Компьютеры Программное обеспечение Защита информации
Здравствуйте эксперты.
Я скоро начну работать в интернет клубе системным администратором.
В этом клубе предыдущий системный обиделся на работодателя и пригрозил, что после его ухода ничего работать не будет. Я посмотрел на главном компьютере - нашел программу radmin server, hidden administrator и еще один вирус, файл csrcs.exe, удалил антивирусом.
Еще подозрительную программу нашел: program files\analog devices\core\smax4pnp.exe

Я не уверен, что все удалил, т.к. директор говорит, что он регулярно заходит в ее ящик (ip адрес высвечивается не ее), и залезает в любой ящик (не знаю про какой она), залез в учетную запись vkontakte ее дочери, после того, как он побывала за тем компьютером.
Я так думаю, что кейлоггер стоит на компьютере.
Еще я не смог скачать far, чтобы посмотреть скрытые папки, т.к. он скрыл их программой Hide folders XP, думаю что это его проделки.
Еще нашел папку, не помню название, но вроде redMail, ну понятно, что читать чужие письма.
Что посоветуете по устранению угрозы? Мне советовали полностью все переустановить.

Обсуждение

давно
Sergey
Практикант
137657
274
13.06.2009, 14:11
общий
csrcs.exe - Win32.HLLW.Siggen.73
Неизвестный
13.06.2009, 14:26
общий
Правильный совет, только сначала потренируйтесь в виртуалке - а собственно сможете ли Вы потом восстановить и настроить все как было. И есть ли необходимые дистрибутивы..
Неизвестный
13.06.2009, 14:37
общий
регулярно заходит в ее ящик (ip адрес высвечивается не ее)
Где высвечивается?
залезает в любой ящик (не знаю про какой она)
Без комментариев
не смог скачать far
Ну это скорее Ваша проблема.
кейлоггер стоит на компьютере
Может и стоит, но с него-то надо еще и забрать логи каким то образом....

Вообщем пароли к почтовым ящикам, вконтактам и т.д. однозначно сменить. Проверить сетевые настройки каждой машины в клубе. Как вообще там организована сеть? Ведь доступ к этой сети можно получить и не через главный компьютер. Установить сниффер для отслеживания любого траффика (таким образом найдете источник и канал слива информации если таковой имеется). Поставьте файервол для блокировки этого самого нежелательного траффика.... А вообще на Вашем месте я воспользовался бы советом и переустановил все с нуля. Во-первых гарантия работоспособности и безопасности 100%, во-вторых установив все самостоятельно Вы намного лучше будете понимать как у Вас все работает. Тем более что в среднестатистическом компьютерном клубе это сделать совсем не сложно.
давно
Sergey
Практикант
137657
274
13.06.2009, 15:21
общий
ALEX_SE, дистрибутивы есть, клуб то на 13 компьютеров всего. Для функционирования надо программу user gate и locker и все.

Pasha, ящик на мэил.ру, в настройках поставлено показывать последний ip адрес, во всплывающем окне показывется последний ip с которого заходили в ящик.

Ну она говорит, что ему достаточно знать адрес ящика и он легко туда зайдет

А что far не смог скачать не сомневаюсь, что моя проблема, все программы скачиваются, а far нет.

Может и стоит, но с него-то надо еще и забрать логи каким то образом....

Так все просто - он садился за компьютер и забирал логи, он ведь все-таки там администратором работал......

Какой снифер можно поставить?

Переустанавливать систему на всех компьютерах?
Неизвестный
13.06.2009, 16:10
общий
На почтовых ящиках и везде где можно нужно поменять не только пароли, но и данные для востановления паролей. Таким образом эту дырку можете смело считать закрытой. Сниффер любой, какой Вам больше нравится. Я, например использую CommView. Но если будете переустанавливать, то он врядли понадобится, хотя для общего представления вещь полезная. Переустановить все или только одну, раздающую инет, это Вам решать но с учетом того, что сетка то всего на 13 компьютеров я бы переустановил все. В автоматическом режиме это займет час времени. А если все машины, как это чаще всего и бывает, покупались одновременно и имеют одинаковое железо, то и того меньше. Все что останеться сделать - это поменять SID да присвоить IP... ну и по мелочам. По сути все определяющие настройки в настоящее время живут в User gate. Вот тут посмотрите внимательно кто, куда, откуда и с какими правами. Чтоб потом проблем не возникало. Я так понимаю хозяин (хозяйка) клуба умеет только деньги считать
давно
Sergey
Практикант
137657
274
13.06.2009, 16:22
общий
Ну она в компьютерах точно не разбирается :)
Спасибо за советы, завтра буду смотреть что там да как.
Неизвестный
14.06.2009, 13:17
общий
это ответ
Здравствуйте, Исаак Моисеевич!
Сталкивался с данной проблемой. Посоветовать можно следующее.
1) Нужно смотреть настройки фаервола, и перекрыть все порты, которые относятся к доступу с наружи. Список достаточно большой, приведу только наиболее популярные.
Radmin - 4899, RDP - 3389, VNC - с 5900 до 5906, hidden administrator - 3473
Причем учитывайте, что внешний порт ,может быть любым. Нужно смотреть по порту назначения.
2) Обязательно проверьте записаных пользователей на компьютере, на предмет участия в группе "администраторы", прочих подозрительных. Т.к. для функционирования VNC достаточно иметь учетную запись с паролем, что бы иметь полный доступ к компьютеру.
3) Смените вообще ВСЕ ДО ЕДИНОГО пароли, на компьютеры, почтовые ящики, вплоть до аккаунта Vkontakte, ее дочери. А самое главное, все пароли администраторов. Это упростит вам жизнь в дальнейшем.
4) По поводу кейлогеров. Этот класс программ считается шпионским, у любого приличного антивируса. Смотрите настройки, на предмет внесения некоторых папок и программ в список исключения и доверенных.
5) Во время удаления Hide folders XP она спрашивает, оставить ли защиту на защищенных папках, так что во время удаления она снимет защиту.
6) Программа smax4pnp.exe - это панель управления звуковой карты, так что он безопасен.
В любом случае, если нет опыта защиты компьютера, вам будет тяжело, но нет ничего не преодолимого. Желаю удачи!
Форма ответа