[QUOTE]santy написал:
напишите в [URL=mailto:[email protected]][email protected][/URL] о проблеме[/QUOTE]
Ок, спс

[QUOTE]santy написал:
как часто такие события наблюдаются в логах?[/QUOTE]
постоянно (

[IMG WIDTH=682 HEIGHT=593]http://skrinshoter.ru/i/101019/WL5HWQx1.png[/IMG]

[QUOTE]santy написал:
какая версия продукта ESET установлена на рабочих компьютерах?[/QUOTE]
7.1.2053.0

Если не там создал тему то сильно не ругайте.
Есть mikrotik который смотрит к провайдеру. Потом стоит машина с Kerio Control которая раздает инет по организации. В роли DHCP выступает машина с Win 2008. Сеть mikrotik 192.168.96.0, локальная сеть 192.168.9.0. Машина Control 192.168.9.249 (linux ставится с установочного образа), машина Eset manager center 192.168.9.248.
Столкнулся вот с такой проблемой, на всех машина установлен eset, и на каждой машине в логах ошибка дублирования IP и подмена arp-кэша. При чем судя по всему выступает источником именно машина Kerio control, так как у машины что на скрине IP 192.168.9.15. Подскажите пожалуйста, как победить
[IMG WIDTH=452 HEIGHT=445]http://skrinshoter.ru/i/101019/tlQJ9sxF.png[/IMG]

[QUOTE]santy написал:
могли получить список учетных записей на сервере, и перебором или по словарю получить пароль доступа для выбранной учетной записи.
т.е. подключиться из внешней сети по RDP используя уже известную пару логин и пароль.[/QUOTE]
Но так они могли ломиться на стандартный порт rdp, у меня бред цыфр, сейчас вообще доступ закрыт.
С логами старой ос не особо ( что то акронис долго думает, проще чистый старый образ накатить

[QUOTE]santy написал:
да, можно и с него.но имейте ввиду, предположительно атака была в воскресение, (судя по темам на других форумах, поэтому и образ может быть уже зараженным).по мерам безопасности, я расписал выше.



[/QUOTE]
Расскатывается образ, как заончит сделаю и сделаю свежие логи.
Вот пока сделал логи той машины на которой пользователь вышеуказанный работает. [URL=https://www.sendspace.com/file/ml96zk]Ссылка[/URL]
Получается с под нее через буфер на сервер вошло. Блок паролей стоял, но пароли слабые(

[URL=https://yadi.sk/d/xIUtpEqJq4wru]SecurityCheck by glax24 & Severny[/URL] отказался запускаться на Win 2008 x64
Логи [URL=https://www.sendspace.com/file/40sh4h]eset[/URL]
Образ [URL=https://www.sendspace.com/file/sz6yhd]автозапуска[/URL]

Файлы по шифровало с расширением *.id-EF.[[URL=mailto:[email protected]][email protected][/URL]].ldpr
Загрузил машину еще зараженную, пока копии копируются, eset сразу начал ругаться, что он молодец и что то нашел)
Говорит win32/filecoder.crysis найден в файле к которому приложение eqxhwn
Образ автозапуска пока делается, выложу логи вместе с  [URL=https://yadi.sk/d/xIUtpEqJq4wru]SecurityCheck by glax24 & Severnyj[/URL] и журналом.
Есть образ системы который делался на выходных, буду к нему откатываться, может и с него потом скинуть логи?

Второй раз за месяц ловлю шифровальщика, email  - .[[email protected]]
Порты с мира все закрыты, нечего не проброшено в сеть. Шифрует только одну машину с Win2008 R2 и все сетевые расшареные папки. Расскатал копию файлов по быстрому, файлы зашифрованые не сохранял, благо копия есть. Помогите пожалуйста вычислить дырку откуда оно залазит. С установленного это сама система с последними обновлениями, 1С, Medoc, Acronis ну и nod32 file security. Поднят сервер терминалов. Вчера уходили все отлично было. Как найти дырку через которую оно лезет(
С чего начать?

[QUOTE]santy написал:
C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE
[/QUOTE]
Что имеете ввиду?