Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 1 subscriber
  • Views 7566 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Infected Machine with Windows 7 AV 2012

Dakrisht
One of our machines on our LAN (.160) was infected with a Windows 7 AV 2012 rogue malware app today. Took about an hour to remove this thing.

I've seen it before, I guess it somehow manages to pass through the HTTP/S filters and proxies.

My questions are:

1) Is there a way to isolate the machine (.160) and see logs for all HTTP traffic that went to this.

2) How can I identify the origin of the malware (site most likely that the user visited to download this spyware)

Thanks in advance


This thread was automatically locked due to age.
Parents
  • 0
    e-mail isn't your threat..web is.  Lock down the content filter and active removal of activex and java for now.  That will kill flash as well which is another primary vector.  then remove shockwave(flash is NOT the same thing), update/remove flash, remove all versions of java on all machines.  Then let the users surf in that configuration.  somebody is either surfing bad sites, installing rogue software, or your getting hit with autorun infections via usb(nuke autorun via gpl.)
Reply
  • 0
    e-mail isn't your threat..web is.  Lock down the content filter and active removal of activex and java for now.  That will kill flash as well which is another primary vector.  then remove shockwave(flash is NOT the same thing), update/remove flash, remove all versions of java on all machines.  Then let the users surf in that configuration.  somebody is either surfing bad sites, installing rogue software, or your getting hit with autorun infections via usb(nuke autorun via gpl.)
Children
No Data