Lukke for w32.sober.j@mm igennem firewall

Har du et fælles login-script ?

Så check for om de har denne fil liggende:
%System%\Macromed\Help\Media.dll

Findes den, er maskinen inficeret med w32.sober.j@mm og du kan så skrive maskinnavnet i en log et sted, vise en meddelelse til brugeren eller lukke maskinen ned.

Hej Tonny

Nej desværre har de ikke noget login.script.

Findes der ikke et program eller lign. som kan snuse sig frem til brugeren?

Det er der faktisk ikke. Problemet er at den bruger smtp, hvilket er en helt lovlig protokol, så jeg kan ikek se hvorledes du skulle kunne dæmme op for den.

Jeg havde nok sendt en mail rundt, hvor jeg bad brugerne om at eksekvere en fil på en server, der testede for om filen fandtes og både skrev det i en log og informerede brugeren om at maskinen havde virus.

@if exist %System%\Macromed\Help\Media.dll goto found
@exit
:found
@echo %username% har virus >> virus.log
@echo Maskinen er inficeret med virus. Sluk omgående maskinen og kontakt support !!
@pause
@exit

Ja der vel ikke så meget andet og gøre....

Hvis der er nogle andre som har et forslag er de meget velkommen...

Jeg kan ikke få scriptet til at virke, kan du ikke sende det til mig?

claus@nagios.dk

Sorry, jeg havde ikke læst siden ordentligt, så derfor virkede scriptet ikke.

Jeg har testet nedenstående og det virker på min xp, og bør også uden problemer virke på 98 og 2000.

-----------------
if exist %windir%\system32\Macromed\Help\Media.dll goto found
if exist %windir%\system\Macromed\Help\Media.dll goto found
exit

:found
echo %username% har virus >> virus.log
echo Maskinen er inficeret med virus. Sluk omgående maskinen og kontakt support !!
pause
exit

TAk skal du have, det virker perfekt. KAn man forresten ligge ind i scriptet at alle bliver registreret i virus.log også selvom der ikke er nogen virus?



\Claus

Endnu bedre, evt mac adressen?

Det er ikke helt nemt at trække macaddressen ud alene, men man kan jo altid trække alle oplysningerne ud og lægge i en fil for sig, med brugernavnet som en del af navnet.

Sådan noget i denne stil ?

-----------------
if exist %windir%\system32\Macromed\Help\Media.dll goto found
if exist %windir%\system\Macromed\Help\Media.dll goto found
echo %username% har IKKE sobig virus >> virus.log
exit

:found
echo %username% har sobig virus >> virus.log
ipconfig /all > %username%.ipconfig.txt
echo Maskinen er inficeret med virus. Sluk omgående maskinen og kontakt support !!
pause
exit

hej Tonny

Hvis jeg lader filen ligge på serveren, hvordan for jeg så loggen til at blive på serveren? I dette tilfælde bliver loggen oprettet hos brugeren.

Takker for point :)

Loggen vil ligge i samme folder som filen eksekveres fra, og da filen ikke skal sendes ud men ligge på serveren, vil loggen og text filen også blive skrevet til serveren.

Skulle det volde problemer, kan du jo blot kunne sætte en sti på. Sådan her:

-----------------
if exist %windir%\system32\Macromed\Help\Media.dll goto found
if exist %windir%\system\Macromed\Help\Media.dll goto found
echo %username% har IKKE sobig virus >> f:\viruscheck\virus.log
exit

:found
echo %username% har sobig virus >> f:\viruscheck\virus.log
ipconfig /all > f:\viruscheck\%username%.ipconfig.txt
echo Maskinen er inficeret med virus. Sluk omgående maskinen og kontakt support !!
pause
exit

Hvis man har mulighet for å kople opp med en packet sniffer eller en trafikkmonitor, på en eller annen måte, så skulle det være en enkel sak å identifisere ip på den som spammer. Det er rent praktisk mulig a sette opp en Linux bridge for trafikkmonitoring uten at dette har betydning for de eksisterende ip. Man kan jo også monitore trafikk til fra den enkelte PC med denne, og det er jo vesentlig enklere: http://www.sysinternals.com/ntw2k/source/tcpview.shtml

Hej Langbein

Jeg har iftop installeret på firewallen, synes bare ikke at kunne finde syntaxen til at sniffe smtp traffik og kun det..

Kender du noget til iftop?