Возможный дубликат:
Компьютер заражен вирусом или вредоносным ПО. Что мне теперь делать?
У нас есть пользователь, который получил несколько вирусов. Он был удален и очищен, но теперь мне нужно выяснить, как она получила эти вирусы на свой компьютер.
Мне бы хотелось узнать, что вы используете для удаленной проверки причины этой проблемы.
- Интернет-журналы (история просмотров)
- Печенье
- Инструменты для анализа
- Инструменты, которые могут удаленно проверить все возможности вторжения.
Я также ищу программное обеспечение, которое может извлекать информацию на удаленном компьютере и которое может дать мне подсказки или информацию по этому вопросу.
Надеюсь, этот вопрос не будет закрыт. Было бы неплохо написать здесь все, что нужно делать, когда на ПК в домене обнаружен вирус, но нужно его очистить и проверить логи удаленно.
С уважением,
Дэйвид.
решение1
Периодически мы получаем вирусы, которые устанавливают себя в профили пользователей. Хотя эти вирусы не работают с правами администратора, они копируются на каждый компьютер, с которого входит пользователь, и могут отправлять и получать данные в сети, что почти так же плохо.
Для обнаружения вирусов мы сканируем файловый сервер, на котором хранятся профили наших пользователей, с помощью антивирусного программного обеспечения и активно отслеживаем сеть на предмет вирусной активности, используя ряд инструментов, таких как snort и черные списки IP-адресов брандмауэра.
При обнаружении вируса мы следим за тем, чтобы он был удален из перемещаемого профиля пользователя, и восстанавливаем образ всех компьютеров, на которых был установлен вирус, в локальном профиле пользователя (который хранится на этом компьютере, а не на файловом сервере).
решение2
Я бы сначала посмотрел, не работает ли она как-то под администратором. Работа под непривилегированным пользователем — самый важный способ избежать заражения вирусами.
Затем я бы проверил ваш сервер SUS или System Center, если они у вас есть, потому что второй способ подхватить вирус — это использовать машину, на которой не установлены все исправления.
Далее нужно убедиться, что ее антивирусное ПО обновлено. Обратите внимание, что это не так важно, как первые два пункта — запуск полностью исправленного и непривилегированного ПО сделает гораздо больше для предотвращения заражения вредоносным ПО, чем антивирусное ПО. Однако нет смысла даже думать о просмотре таких вещей, как интернет-логи или файлы cookie, пока вы не проверите все три.