הצילו!!! וירוס נימדה

[Amiram_e]

הצילו!!! וירוס נימדה

יש לי בעייה חמורה. גיליתי וירוס נימדה בשרת החברה וגם בחלק מהתחנות. הורדתי מהאתר של סימנטק את ה Fixtool. הרצתי על המחשבים, התוכנה הודיעה שהוירוס הוסר ולאחר כמה זמן שוב המחשב מגלה את הוירוס. זה מאוד דחוף. שרת שלם של חברה מלא בוירוסים. אנא תנו לי עיצה מה לעשות דחוף!!!!!!!!!!!!!!!!!!1 בתודה מראש עמירם

 

[ttlsysop]

תוריד...תוריד

תוריד : א. עידכון לIIS 4 או 5 , תלוי איזו מערכת יש לך: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/Nimda.asp ב. תתקין AV על השרתים. ג. תריץ SP2 אם אתה עובד עם IIS5 . ד. תריץ את הfixtool שנית.

 

[Amiram_e]

מה זה AV?

לא מותקן IIS כלל בשרת. אמנם זה SBS 4.5 שהתוכנה כלולה בו, אבל לא בשימוש.

 

[ttlsysop]

אם יש לך...

אם יש לך על השרת exchange במקרה, ובתחנות יש PWS, קיימת אפשרות של הדבקה. אם וכאשר אתה מתקין את Outlook Web Access , הוא דורש IIS, כך שיכול להיות שיש לך IIS דיפולטי.

 

[Amiram_e]

בהמשך לתשובתך

קיים שרת Exchanget, אל לא מותקן Outlook web access. IIS קיים, אך לא בשימוש. דרך אגב, נכנסתי ללינק של האתר של מיקרוסופט שאמרת לי. ישנם הרבה צעדים לבצע. בקיצור מה צריך לעשות? לאחר שהרצתי את ה Fix tool של סימנטק, מה עוד יכול להוריד את הוירוס ולמה הוא כל פעם מופיע מחדש? תודה על כל התשובות. עמירם

 

[ttlsysop]

זה לא אומר...

1 .זה לא אומר כלום אם IIS מותקן ולא רץ. אם הסרוויס שלו מופעל, תבדוק על ידי ה-MMC , הוא מסוגל לקבל את הנימדה. 2. תנקה את הזיכרון מטמון של האקספלוררים, לפעמים אתה יכול להדבר מכך שתגלוש באתרים אחרים. 3. תבדוק אולי יש לך בכלל את "קוד אדום 2" והתוכנה של סימנטק לא מגלה אותו. סדר הפעולות לתיקון מע´: 1. הורד את העידכונים : אם יש לך חלונות 2000 : Q301625_W2K_SP3_x86_en.EXE - לאחר SP2 של 2000 Q269862_W2K_SP2_x86_en.EXE - לפני SP2 , אם כבר התקנת SP2 , תתקין את העידכון העליון. 2. ביצוע ריסט לשרת. 3. הרצת fixtool , להורדה מהאתר : http://www.symantec.com/avcenter/tools.list.html , ששם יש כמה עזרים לוירוסים האחרונים שתקפו אותנו. 4. ביצוע ריסט לאחר הניקוי. 5. התקנת IE בגירסת 5.5 עם SP2 או IE6 שמגיע מתוקן. 6. התקנת תוכנת אנטי וירוס מעודכנת , כגון נורטון CORP לרשת או מקאפי בתצורת TVD או אנטי וירוס של חברת Trend - www.antivirus.com . ולאחר מכן הרצה על כל הקבצים. 7. לסגור פורטים שלא צריך ב-FW, יכול לחסום את הוירוס, זה מה שאני עשיתי לאחר ההתקפות האחרונות, וזה עזר. 8. אם כל זה לא מובן או קצת מסובך, תעבוד לפי ההסבר הבא: http://www.sarc.com/avcenter/venc/data/[email protected] ואותו דבר בכל התחנות שיש בהן PWS או IIS .

 

[ttlsysop]

ההסבר ל-AV

קיצור של Anti Virus -(

 

[AfiComp]

מנסיון עם התקפה דומה במפעל...

דבר ראשון - נתק את כל (!) המחשבים מהרשת. כל מחשב נגוע שפעיל ברשת, יכול להמשיך ולהפיץ את הוירוס למחשבים שכבר נוקו.נקה את השרת/ים, ואז עבור מחשב מחשב ונקה אותם ורק לאחר הניקוי וניקוי חוזר (ליתר ביטחון) חבר אותם חזרה לרשת. ב. בחלט מומלץ לבצע את כל העידכונים שתוארו לעיל. ג. גרסאת ה Corporate של נורטון אנטי-וירוס מומלצת בחום רב. (במידה שעדיין לא מותקן במפעל AV כלשהו). כל הכתוב יושם במפעל אצלנו, ולקח אמנם יום שלם, אבל בסופו נוקתה התולעת מכל המחשבים (חטפנו את זה ביום שהתולעת עלתה לכותרות בארץ. במפעל השכן הנורטון המעודכן חסם את ההתקפה עוד לפני שהיא החלה, וכעת הותקנה הגרסה האחרונה גם במפעל שנפגע בהתקפה). בברכה, AfiComp