问题描述:
公司电脑是用TPLINK R402 的路由器通边ADSL连接外部网络
前久中了维金,全部重装,删了所有exe 文件后
我服务器装了Symantec AntiVirus 10与天网
可是重装后,常常会有这样的情况发生
注:一定不会是人为更改相关设置,因为全厂50多台电脑只有几个个有权限更改
一、不定期(有可能是几天一次) 提示IP冲突,每次电脑不相同
二、我的IP是192.168.1.XXX 的,经常会有 192.168.1.1.xxx 192.168.1.xxx 等的地址ping 服务器及其它电脑
三、内网的很多电脑会去ping 其它电脑,但是没有发现有问题的进程
更怪的是 :昨天一intel D865GV原装版一直用得很好的开不了机,提示BIOS出错,按intel 技术支持指定下BIOS更新后,还是不能启动,用XPPE启动后发现电脑中有图标变成了雄猫(最明显的维金标志)
今天Symantec AntiVirus 10 提示EXCEL文件,存放到服务器上的中了Downloader 但是后面的用户名是连权限都没有打开这个文件的,药铺在是想不通,还有同一用户在服务器上(有权限更改的地方) 写入了SSS.exe 文件,同样为 Downloader ,但是在查他电脑时,也没有发现异常进程
请问现在我的问题出在哪里,公司电脑太慢了,如果要我全部装卡吧等软件是不可能的,如果要更换杀毒软件,最好用内存不比Symantec AntiVirus 10 多的网络版(单机版的要连网才能升级,我电脑80%是不上外网的)
我在想是不是我服务器用的用户给提权为管理员了,如果是,哪我如何查看到有没有这样的可能?
经常会有 192.168.1.1.xxx 192.168.1.xxx 等的地址ping 服务器及其它电脑
写错 应为:
经常会有 192.168.1.xxx 192.168.0.xxx,192.168.168.xxx 等的地址ping 服务器及其它电脑
:93路终点站:这些软件用过了,系统当然也是重装了,习惯删了所有.inf,ini,vbs,exe,com.bat,cmd等文件名,只是为什么IP地址会冲突,我都是固定的IP地址,是不是会是TPLINK R402 的路由给人破了,理上论哪些电脑是存在木马,但是试过好多软件也找不出来
nieyang:能确认这些IP非内部人员更改,而应是外网的IP地址吧.
问题解答:
1.内网有ARP病毒,在网上搜一搜就知道了,典型的IP冲突好使工具,曾经搞死过几十个网吧.
当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和交换机,让所有上网的流量必须经过病毒主机。其他用户原来直接通过交换机上网现在转由通过病毒主机上网,切换的时候用户会断一次线。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从交换机上网(此时交换机MAC地址表正常),切换过程中用户会再断一次线。该病毒发作时,仅影响同网段内机器的正常上网.
换个路由器吧,ARP病毒是利用网关做跳板的,从而对内网的IP进行干扰。况且ARP病毒使用的IP一般都是假IP,不会给你这么容易找到的。要防止服务器给ARP病毒干扰,装个ANTI ARP SNIFFER,GOOGLE一下就有了。
如果内网的用户比较少用互联网,那么应该在路由器上面封端口或者封IP,禁止那些没有必要办公的时候上网的用户,这也是为了降低内网爆发病毒的风险所采取的手段之一.
2.还是病毒
对于VIKING这个病毒,以及他带来的一大堆变种,其实要对付也不是难处。这东西利用扫描administrator和guest帐号口令为空的计算机,并通过共享迅速到处传播,但现在内网的用户多用windows,那个人机器上没有默认共享的?
买个交换机,带ACL功能的,把135.139.445这几个端口都在交换机上面封掉。由于带ACL功能的核心交换机上面一般带有背板缓冲,对于病毒所进行的大线程扫描来讲,可以在网络资源上保证内网的一定畅通。
你用的Symantec AntiVirus 10是网络版么?如果是的话,把每个客户端的策略都分发一遍,网络版杀毒软件的统一内网客户端策略可以保证内网的一定程度无毒性。
3.ping这个问题
这实在没什么好说的,病毒造成的扫描(包括VIKING一些变种)在寻找可传染主机的时候,为了加速扫描线程,都会寻求受传染主机的ICMP ECHO(也就是PING的回传值),给服务器启用个人版防火墙吧。什么?你没装防火墙?那就由得人家PING死服务器算了。
xxx是不是每次都变呢?不管谁都不应该给设置有权更改,应该IP——责任人来管理。
把这个电脑抓出来,查他的问题就行了。
我想提权一般不会,应该是无权用户制作的文件,有权用户放上去的。
杀毒软件的话,Symantec AntiVirus 企业版是还可以。
但是出了问题就不能继续用Symantec AntiVirus 查杀,应该换一个软件去杀。我这边测试的Symantec AntiVirus 有很多木马是查不出的。AVG Anti-Spyware不错,查的全面。
还有,要分析你们公司里有没有入门级的黑客
我现在也晕啊!
前天下载软件,搞的现在全部exe文件中毒,系统文件也不例外.怎么杀都杀不了.现在还没有造成直接后果,不知道以后会不会突然给我来个盗密码……
你到卡巴下个Downloader 专杀吧,速度快,也不占什么内存
解决sss.exe这个病毒
VIKING.CI变种可以用卡巴6.0正常查杀..CI变种会在各个EXE的当前目录下生成同文件名的.exe.exe。。。。这样的EXE文件。如卡巴无法清除的,而后缀为.exe/.exe.exe/这样的文件可以直接删除,因为是病毒复制的...
----------------------------------------------
VIKING.BC变种可以用金山的专杀清除,清除后的EXE文件要比含病毒的字节小....当时卡巴无法清除只能杀掉...你可以组合查杀这两个变种
-----------------------------------------------
熊猫等变种,请注意,就是在你重新做系统后也要注意,
不要双击打开其他的盘符,一定要打开,要使用鼠标右键+打开目录的方式,否则就是你重新做了系统,在新系统上没更新杀毒软件升级病毒库,查杀其他盘的病毒之前,双击其他的盘符,一样还是会立刻感染新系统。
-----------------------------------------------
有其他的电脑PING 服务器,是由于那些电脑还是含病毒,或许含了其他的蠕虫或者木马程序。
-----------------------------------------------
IP冲突为IP地址重复。
上海旅游网