วิธีค้นหาในโฟลเดอร์ที่แชร์ของคอมพิวเตอร์ระยะไกลว่าไฟล์ใดถูกสร้างหรือคัดลอกโดยคอมพิวเตอร์เครื่องใด

1

สถานการณ์เป็นเพื่อนของฉันทำงานใน บริษัท ที่พวกเขาใช้คอมพิวเตอร์มากกว่า 1200 เครื่อง พวกเขามี 2 โดเมน พนักงานจะได้รับบัญชีผู้ใช้เดียวกันตามที่กำหนด

  • เช่นผู้ประกอบการเครื่องหมายนักบัญชีผู้จัดการ ผู้จัดการทั้งหมดใช้บัญชี "ผู้จัดการ" และผู้ให้บริการทั้งหมดใช้บัญชี Operaor

ปัญหาคือเครือข่ายของพวกเขาติดเชื้อไวรัสชื่อ "W32.Sality" ไวรัส สิ่งที่ไวรัสนี้ทำคือมันเข้าถึงโฟลเดอร์ที่แชร์ในเครือข่ายและปล่อยไฟล์ที่ติดไวรัสและทันทีที่ผู้ใช้เปิดไฟล์ที่ติดไวรัสที่ระบบติดไวรัสด้วย

เพื่อนของฉันมีซอฟต์แวร์ป้องกันไวรัส แต่ปัญหาคือเขาไม่มีบันทึกใด ๆ ที่คอมพิวเตอร์มีโปรแกรมป้องกันไวรัสอยู่

ฉันแค่อยากรู้ว่ามันเป็นไปได้ที่จะพบว่าคอมพิวเตอร์เครื่องใดที่ปล่อยไฟล์นั้นและเราจะติดตั้งโปรแกรมป้องกันไวรัสลงไป

windows  networking  virus  malware 
arjavlad
แหล่งที่มา
Antivirus ทำงานบนหมายเลขพอร์ต 5040 นั่นคือมันสื่อสารกับคอนโซลผ่านพอร์ตนี้ หากมีวิธีใดที่จะค้นหาคอมพิวเตอร์เครื่องใดที่ไม่ได้ใช้พอร์ตนี้โดยใช้ power shell script หรือ command line หรือใช้เครื่องมือใด ๆ ที่จะเป็นประโยชน์อย่างมาก ฉันเห็นปัญหาประเภทนี้ในหลาย บริษัท แล้ว เนื่องจากความเกียจคร้านของฝ่ายไอที บริษัท ทั้งหมดต้องแบกรับความสูญเสีย
arjavlad

คำตอบ:

0

ฉันอยากจะขอร้องให้คุณไปอีกทางหนึ่ง - ค้นหาว่าคอมพิวเตอร์เครื่องไหนไม่มีระบบ AV

วิธีที่ง่ายที่สุดที่ฉันคิดได้คือการเชื่อมต่อกับคอมพิวเตอร์แต่ละเครื่องแบ่งปัน C $ (ควรใช้สคริปต์) และตรวจสอบว่ามีโฟลเดอร์ AV อยู่หรือไม่

EliadTech
แหล่งที่มา
0

คอมพิวเตอร์เครื่องใดที่ปล่อยไฟล์นี้ไม่เกี่ยวข้องทั้งหมดในตอนนี้และคุณจะไม่สามารถค้นหาได้เพราะ Windows ไม่ได้ลงทะเบียน เช่นเดียวกันกับการค้นหาว่าบัญชีใดสร้างไฟล์: เนื่องจากมนุษย์หลายคนใช้บัญชีเดียวกันคุณจึงไม่สามารถหาผู้ใช้ได้

Salityเป็นไวรัสตัวเก่าและจริงๆแล้วตอนนี้ทุกคนในครอบครัวจึงไม่แน่ใจว่าคุณกำลังเผชิญกับตัวแปรอะไร การอ้างอิงจากบทความ Wikipedia นั้น:

"ตั้งแต่ปี 2010 ตัวแปรบางอย่างของ Sality ได้รวมการใช้ฟังก์ชัน rootkit เป็นส่วนหนึ่งของการพัฒนาอย่างต่อเนื่องของตระกูลมัลแวร์เนื่องจากการพัฒนาและความสามารถอย่างต่อเนื่อง Sality จึงถือเป็นหนึ่งในมัลแวร์ที่ซับซ้อนและน่ากลัวที่สุด ถึงวันที่ "

นอกจากนี้:

"Sality ใช้มาตรการการซ่อนตัวเพื่อคงอยู่ในระบบดังนั้นคุณอาจต้องบูตระบบในสภาพแวดล้อมที่เชื่อถือได้เพื่อลบออก Sality อาจทำการเปลี่ยนแปลงกับคอมพิวเตอร์ของคุณเช่นการเปลี่ยนแปลงรีจิสทรีของ Windows ซึ่งทำให้ยากต่อการ ดาวน์โหลดติดตั้งและ / หรืออัปเดตการป้องกันไวรัสของคุณนอกจากนี้ Sality หลายตัวพยายามเผยแพร่ไปยังไดรฟ์แบบถอดได้ / รีโมตและเครือข่ายที่ใช้ร่วมกันได้เป็นสิ่งสำคัญเพื่อให้แน่ใจว่ากระบวนการกู้คืนตรวจพบและกำจัดมัลแวร์ / สถานที่ที่เป็นไปได้ "

ในตอนนี้สมมติว่าคอมพิวเตอร์ทุกเครื่องในเครือข่ายของคุณติดไวรัส

ขั้นตอนที่ 1: ตัดการเชื่อมต่อและปิดคอมพิวเตอร์ทุกเครื่อง
ขั้นตอนที่ 2: วางแผนวิธีทำความสะอาด
ขั้นตอนที่ 3: ทำความสะอาด

ขั้นตอนที่สองเป็นสิ่งที่สำคัญที่สุดหากแผนของคุณทำงานไม่ถูกต้องคุณจะพบกับเครือข่ายที่ติดเชื้อไปหมด เป็นขั้นตอนที่ไม่สามารถอธิบายได้ในประโยคสองสามประโยค ฉันขอแนะนำให้คุณมารวมตัวกันและเริ่มทำการวิจัย:

https://www.google.com/search?q=clean+up+infected+computer

https://www.google.com/search?q=clean+up+infected+network

คำแนะนำหลักสำหรับคอมพิวเตอร์ที่ติดไวรัสคือการลบฮาร์ดดิสก์แบบเต็มและติดตั้งระบบปฏิบัติการและ / หรือกู้คืนข้อมูลสำรองของคุณอย่างสมบูรณ์

เพื่อเน้นย้ำ: จากคำถามของคุณดูเหมือนว่าคุณคิดว่าคุณสามารถทำความสะอาดคอมพิวเตอร์หนึ่งเครื่องได้ คุณทำไม่ได้

ม.ค. Doggen
แหล่งที่มา
เสร็จสิ้นการสแกนและล้างข้อมูลคอมพิวเตอร์มากกว่า 500 เครื่อง ตอนนี้ฉันรู้แล้วว่าระบบใดที่มีโปรแกรมป้องกันไวรัสอยู่ (อย่างน้อย 60% ของพวกเขามี AV) ฉันรู้ว่าการตรวจสอบระบบด้วยตนเองเป็นวิธีที่ดีที่สุด แต่เนื่องจากเครือข่ายไวรัสทั้งหมดทำงานช้าและคราวนี้ฉันจะตรวจสอบด้วยตนเอง แต่จะเกิดอะไรขึ้นถ้าปัญหาเดียวกันเกิดขึ้น !!
arjavlad
การตรวจสอบด้วยตนเองนี้ใช้เวลานานเกินไป เครือข่ายทั้งหมดลดลงจากเกือบหนึ่งสัปดาห์ ฉันรู้ว่ามีผู้เชี่ยวชาญด้านไอทีที่มีประสบการณ์จำนวนมากซึ่งสามารถช่วยฉันในการปรับปรุงกระบวนการนี้
arjavlad
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.