1

Сценарий моего друга работает в компании, где используется более 1200 компьютеров. У них есть 2 домена. Сотрудникам предоставляются те же учетные записи пользователей, что и по их назначению.

  • т.е. оператор, маркер, бухгалтер, менеджер. All Manager использует учетную запись "Manager", а все операторы используют учетную запись Operaor.

Проблема в том, что их сеть заразилась вирусом под названием «W32.Sality "вирус. Этот вирус делает доступ к общим папкам в сети и удаляет зараженные файлы, и как только пользователь открывает зараженные файлы, эта система тоже заражается.

У моего друга есть антивирус, но проблема в том, что у него нет записей о том, на каких компьютерах установлен антивирус.

Я просто хочу знать, возможно ли выяснить, с какого компьютера был удален этот файл, и мы установим в него антивирус.

|источник

2 ответа2

0

Я настоятельно рекомендую вам пойти другим путем - выяснить, какие компьютеры не имеют AV.

Самым простым способом, который я могу придумать, является подключение к каждому компьютеру C $ share (предпочтительно с использованием скрипта) и проверка, существует ли папка AV.

|источник
0

На каком компьютере был удален файл, на данном этапе это совершенно не имеет значения, и вы не сможете это выяснить, поскольку Windows не регистрирует его. То же самое касается выяснения, какая учетная запись создала файл: поскольку несколько человек используют одну и ту же учетную запись, вы не можете найти пользователя.

Sality - это старый вирус, и на самом деле это уже целая семья, поэтому неясно, с каким вариантом вы имеете дело. Цитата из этой статьи в Википедии:

«С 2010 года некоторые варианты Sality также включают использование функций руткита как часть непрерывной эволюции семейства вредоносных программ. Благодаря постоянному развитию и возможностям, Sality считается одной из самых сложных и грозных форм вредоносного ПО на сегодняшний день ».

Также:

«Sality использует скрытые меры для поддержания постоянства в системе; таким образом, вам может потребоваться загрузка в доверенную среду для ее удаления. Sality также может вносить изменения в ваш компьютер, такие как изменения в реестре Windows, что затрудняет загрузку, установку и / или обновление антивирусной защиты. Кроме того, поскольку многие варианты Sality пытаются распространяться на доступные съемные / удаленные диски и сетевые ресурсы, важно обеспечить, чтобы процесс восстановления тщательно обнаруживал и удалял вредоносное ПО из любого и всех известных / возможных местоположений ».

Пока предположим, что все компьютеры в вашей сети заражены.

Шаг 1: Отключите и выключите все компьютеры.
Шаг 2: Запланируйте, как убрать это.
Шаг 3: сделать уборку

Второй шаг является наиболее важным, если ваш план не работает должным образом, вы получите зараженную сеть по всему миру. Это также шаг, который нельзя описать здесь несколькими предложениями. Я предлагаю вам собрать людей и начать исследования:

https://www.google.com/search?q=clean+up+infected+computer

https://www.google.com/search?q=clean+up+infected+network

Основной совет для любого зараженного компьютера - полная очистка жесткого диска и полная переустановка ОС и / или восстановление ваших резервных копий.

Подчеркнем: из вашего вопроса кажется, что вы думаете, что можете очистить один компьютер. Ты не можешь

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .