KOPI

[kos]

Po przerwie majowej dzieciaki uruchomiły kompy i IE. Wczytała się jakaś strona, na której było widać dyski i ich skanowanie po czym pokazała się informacja o ilości wirusów trojanów, kilka innych rzeczy, w końcu okno pobierania pliku, żeby pobrać aplikację install.exe od scan4mix.com (40kB).
Nie można tego zamknąć. pewne czynności zapętlają się (zamykanie jednych okien otwiera inne i tak w kółko). IE nie można zamknąć.
Można z tego wyjść poprzez menadżera zadań wyłączając IE. Ponowne jego uruchomienie nie powoduje już takich szopek.
Przeinstalowanie systemu z obrazu nic nie daje. Jest to samo przy pierwszym uruchomieniu IE (także po zalogowaniu na inne konta).

Adres strony która się pojawiła to:
http://scan4mix.com/26/?uid=12800 (KLIKACIE W TEN LINK NA WLASNĄ ODPOWIEDZIALNOŚĆ!)
UWAGA!!!
JAK OTWORZYCIE TEN LINK TO OTWORZY SIĘ STRONA O KTÓREJ MÓWIŁEM I ZOBACZYCIE TE WSZYSTKIE RZECZY KTÓRE OPISAŁEM, ALE NIE WIEM JAKIE BĘDĄ SKUTKI OTWARCIA TEJ STRONY.

PROSZĘ O OSTROŻNOŚĆ- ROBICIE TO NA WŁASNĄ ODPOWIEDZIALNOŚĆ!!!

Czy ktoś się z tym spotkał? Co to jest?
Jak się tego pozbyć?
_________________
kos

[kos]

ten post jest niepotrzebny- proszę usunąć
_________________
kos

[Maciek]

Fajna stronka..
Niech żyje Windows
Warto dodać tę stronę do blokowanych, bo zawsze może się zdarzyć, ze jakiś dzieciak na nią wejdzie, zachęcony na gg czy naszej-bandzie.

[kos]

Ale Panie Maćku... Cóż to takiego i jak się tego pozbyć? Czy możliwe że ktoś sie włamał na serwewr i coś tam zamieścił, że ta strona sie pojawia znikąd po uruchomieniu IE? (zauważyłem w podglądzie zdarzeń logowanie jako administrator, kiedy ja wcale się w tym czasie nie logowałem na serwer).
Gdzie szukać przyczyny?
Gdzie dodać do blokowanych? Nie jestem za dobry w administrowaniu
_________________
kos

[Maciek]

Co robi ta stronka można zobaczyć, gdy sie ją otworzy w przeglądarce tekstowej:

Tekst wyświetlony zapewne wędruje też do potencjalnego włamywacza.
Dlaczego i jak strona się otworzyła pierwszy raz, tego nie wiem. Być może jakiś dzieciak ją otworzył zachęcony np. linkiem na gadu. Jeśli się otworzyła później samoczynnie na wszystkich komputerach - to by mogło oznaczać, że zainfekowany jest też serwer. Poniżej dwa adresy z opisami po angielsku (mam nadzieję, że to nie problem).
http://www.2-spyware.com/remove-trojan-im-win32-faker-a.html
http://www.411-spyware.com/remove-virus-win32-faker-a
Wg opisów to paskudztwo wykrada hasła MSN, ale wirusy są przerabiane i być może to, co masz robi już inne rzeczy...
Jeśli masz SBS podłączony bezpośrednio do internetu, to zacząłbym się bać.
Najprawdopodobniej czeka cię reinstalacja stacji, a może i serwera.

[kos]

No cóz, takie życie.
Może jeszcze jakieś rady na przyszłość, proszę?

Jedną stację przeinstalowałem na próbę i za jakiś czas bylo to samo. Może przelazło z innej stacji a może z serwera. Nie wiem.
Myślę jeszcze, żeby się zalogować lokalnie na konto operatora i zobaczyć czy będzie to samo (żeby sie nie logować do serwera, do domeny), bo może to lezie z serwera po zalogowaniu się do domeny.

Serwer mam podłączony bezpośrednio do modemu DSL- ma stałe IP.
Może zablokować gg i NK na przyszłość?
Może coś jeszcze?
ProszÄ™ o rady...
_________________
kos

[Maciek]

[kos]

A jak jest lepiej podłączyć serwer do netu? przez jakiś router?
A te pozostałe kłopoty?
Przyznaję sie bez bicia do swojej ogroooomnej niewiedzy i z góry dziękuję za zainteresowanie i rady.

7.05.2009

Sprawa wykryta. To nie serwer ani stacje (choć przeinstalowałem wszystko).
To strona internetowa szkoły, ktora była ustawiona na stacjach jako startowa.
Na serwerze, na którym znajduje się strona szkoły zagnieździły się trojany, które przekierowują na inne strony, gdzie juz dzieje sie cała reszta opisana przeze mnie. A więc reszta należy do adminów sewera. Czekam na efekty ich pracy, bo przecież nie mam możliwości, żeby cokolwiek zrobić. Chyba, że jedynie przenieść stronę na inny serwer. Póki co "wyłączyłem" stronę i jest pokój, nic sie nie dzieje.
_________________
kos