iT邦幫忙

0

被防毒軟體送進隔離區的檔案, 有辦法可以看到該檔案的擁有者是誰嗎???

大家好, 描述情況如下:

我們這邊file server是2003, 防毒軟體是裝小紅傘Avira Server Security, 由於防毒軟體偵測到威脅的檔案就送進隔離區了, 雖然從主控台可以看到該檔案的一些資訊, 但始終看不到該檔案的擁有者是誰, 也就是說這樣好像沒辦法知到是誰的電腦中毒, 把有毒的XXX.exe放進server裡。

我找很久找不到解答, 請大家多多指教謝謝

看更多先前的討論...收起先前的討論...
CalvinKuo iT邦大師 7 級 ‧ 2013-01-08 09:27:11 檢舉
若使用者電腦與伺服器用同一套防毒軟體且都正常運作,沒道理只有伺服器抓到病毒。
一般要抓打開稽核原則即可,若貴公司伺服器允許Everyone存取,只怕打開稽核原則也沒用。下面是抓亂刪的,改成建立檔案/寫入資料應該就可以了。
找出亂砍檔案的兇手:『稽核原則』
CalvinKuo iT邦大師 7 級 ‧ 2013-01-08 09:29:43 檢舉
若此分享資料夾被設定為網路磁碟機...
來源是USB病毒居多,應該有的抓了,可能不只一台使用者電腦防毒軟體失效。
rj1027 iT邦新手 5 級 ‧ 2013-01-08 13:07:35 檢舉
calvinkuo大 您好:
情況就跟您說的都一樣 囧
中毒的pc都會把網路磁碟機裡的資料夾都設隱藏, 然後再產生名字一模一樣的.exe檔而且圖示還是資料夾的圖示, 原本可能沒中毒的user, 不小心就又再點下去了 ><

原本server的防毒, 對於這些.exe檔都無法偵測到威脅, 所以換了另一套防毒, 現在這套 如果情況在發生, 它會立即把那些.exe檔移到隔離區, 只是問題變成說...這樣我們就無法知道這些.exe檔是誰產生的, 因為我從隔離區裡好像就看不到這些檔案的擁有者了 ><

不知道有沒有什麼建議沒有謝謝
rj1027 iT邦新手 5 級 ‧ 2013-01-08 13:09:52 檢舉
對了, 我有照您說的使用 稽核原則, 不過.............
這樣好像正常存取檔案的也全被紀錄進去了, 超多的 暈
vino1 iT邦大師 1 級 ‧ 2013-01-08 13:52:13 檢舉
從你所描述的症狀來看
貴司流行的應該是 autorun.inf 病毒
治本的方式應該是先把 user 的 autorun 自動執行功能給關閉
然後所有的 Client 電腦 跟 Server 都來個大掃毒一次~
CalvinKuo iT邦大師 7 級 ‧ 2013-01-08 14:02:34 檢舉
本來伺服器的安全性事件就超多的....
可以將事件匯出到CSV或TXT做搜尋吧。

共用資料夾 NTFS權限該不會是開 完全控制 吧,修改就很大了。不然怎可以改屬性,請參考:
http://support.microsoft.com/kb/308419/zh-tw

若沒開很大權限,要檢查伺服器系統有無漏洞未修補(通常跟SMB有關)。
CalvinKuo iT邦大師 7 級 ‧ 2013-01-08 14:18:20 檢舉
有中毒的可用下面程式應急...
他只是將常見有病毒位置的檔案與登錄做修改,有可能造成其他問題。跑完還是要再掃毒。
iclean

vino大所說 關閉自動播放 作法。
PC作法:
一點通 - 如何關閉隨身碟、光碟機的自動播放功能

網域作法:
網域 Group policy 設定停用自動播放功能,防止USB 病毒
rj1027 iT邦新手 5 級 ‧ 2013-01-08 15:20:34 檢舉
calvinkuo大的 "完全控制" 一語驚醒夢中人, 我馬上來去確認一下 @@
感謝calvinkuo大謝謝謝謝謝謝
10
ted99tw
iT邦高手 1 級 ‧ 2013-01-07 17:48:18

太簡單了,請拿起電話,撥小紅傘客服馬上解決,外埔頭記得加空哩。

6
la6972
iT邦好手 1 級 ‧ 2013-01-07 19:45:29

用Line比較省錢

2
a5208585
iT邦新手 5 級 ‧ 2014-04-28 14:01:33

COMODO ESM是一套協助企業資訊管理者輕鬆管理所有系統及安全的管理工具,透過COMODO ESM可以輕鬆掌握企業所有系統的軟硬體資訊、系統效能監控及系統安全防護,COMODO ESM新世代企業資訊管理系統可以一次解決您的電腦管理問題,使用COMODO的企業客戶若發生電腦系統中毒時,可立即啟動7x24線上支援,若COMODO技術支援無法協助將病毒清除,COMODO提供NT$150,000無病毒保證金給 貴公司。台北 (02)2693-2726 新竹(03)657-8189 高雄 (07)235-0161

我要發表回答

立即登入回答