Как уничтожить вирус в сети?

Question

[Дмитрий X]

На предприятии в сети почти одновременно у всех начали плохо работать компьютеры. То долго загружаться, то перезагружаться самостоятельно, то слетает сеть, то выскакивают всякие окна через каждые 5 минут. Короче обнаружил что у всех появились службы со случайными 4-х буквенными именами, типа mSkl, xDfa. У всех запуск автоматический. Команда на запуск либо cmd что там тра-ля-ля, net что там тра-ля-ля, c:\instaled.exe. Также служба Driver, с непонятным описанием. Лечится всё это болото Kaspersky Virus Remve Tools 2015. Но пока вылечиш один комп, на другом вылазит такая же кака. Почти все машины на XP и 7. Современный антивирус туда не поставить, просит устанавливать всякие обновления, которые тоже не устанавливаются, (не найден сертификат). Как быть, кто знает?

Answer 1

[Владимир Куц]

Отключение всех машин от сети.
Лечение зараженных машин с LiveDisk с установленным свежим антивирусом.
Включение вылеченной машины обратно в сеть

Comments

[Drno]

согласен, это единственно правильный и 100% рабочий вариант

[Дмитрий X]

Людям надо работать. Невозможно одновременно отключить все машины от сети. Предприятие будет парализовано на недели. Пока все машины обойдёш ... Там же не 12 штук. Ни кто не даст такое мне сделать.

[Владимир Куц]

Дмитрий X, ну так импровизируйте. Как вариант - разделите физически на два изолированных сегмента сети. В одном зараженные, а в другом уже пролеченные. По мере прогресса переключайте машины из одного сегмента в другой.
Отключили зараженную машину от зараженного сегмента сети. Вылечили с LiveCD. Включили в "чистый" сегмент.

[Дмитрий X]

Нельзя их изолировать. Вот если бы найти какую утилиту, которая бы висела в демоне, и не позволяла записывать на диск C: exe, dll, bat, scr

[Владимир Куц]

Дмитрий X, ну тогда путь нелегкий. Если компьютеры все в домене, то находите тело вируса, находите описание вируса, внимательно его изучаете, и делаете скрипт, который запускается на всех компьютерах сети, и лечит их. Потом по каждому проходите и зачищаете от остальных вирусов отдельно.
Я так делал когда-то... Повадился вирус с похожими симптомами. Я нашел вирусное тело, дизассемблировал его, нашел пути к файлам, которыми вирус помечал уже зараженные машины.
Затем написал скрипт который запускался на всех машинах домена и делал эти пометки, заодно прибивая сервисы и процессы относящиеся к вирусу. А затем запускался антивирус.
Благодаря пометкам повторного заражения не было, а антивирус делал свое дело вычищая машины.
Это все делалось абсолютно прозрачно для пользователей, и большинство даже не заметили что их машины удаленно лечились во время работы.
Но эта работа кропотливая и требует особой компетенции.

[Вадим]

Дмитрий X, а запретить административные шары? Как правило они на пользовательских системах не нужны.
Ну, и Software Restriction Policies, если домен.