Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 1 subscriber
  • Views 7577 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Infected Machine with Windows 7 AV 2012

Dakrisht
One of our machines on our LAN (.160) was infected with a Windows 7 AV 2012 rogue malware app today. Took about an hour to remove this thing.

I've seen it before, I guess it somehow manages to pass through the HTTP/S filters and proxies.

My questions are:

1) Is there a way to isolate the machine (.160) and see logs for all HTTP traffic that went to this.

2) How can I identify the origin of the malware (site most likely that the user visited to download this spyware)

Thanks in advance


This thread was automatically locked due to age.
  • 0
    Ran a Windows System Sweeper and it found three items:

    Exploit:JS/Blacole.A
    Explout:Win32/Pdfjsc.TP
    PWS:Win32/Zbot.gen!Y

    Any idea how these would have slipped through the Astaro?

    Also, noticed on today's Executive Report:

    27 Virus Mails blocked
    10 HTTP Viruses blocked

    Must be the ways of the Internet (or some users going to site they shouldn't be...)
  • 0
    Another system was also compromised today.

    Windows  System Sweeper detected and removed:

    Exploit:Java/CVE-2010-0840.NH
    Trojan:Win64/Sirefef.B
  • 0
    Lock down the content filter and get them off ie.  Astaro can't stop everything especially if folks are surfing dsngerous areas of the net or they brought in an infested usb stick.
  • 0
    Another system was also compromised today.

    Windows  System Sweeper detected and removed:

    Exploit:Java/CVE-2010-0840.NH
    Trojan:Win64/Sirefef.B


    Exactly...get ALL JAVA OFF THE NETWORK
  • 0
    Yeap, all Java (Flash, ActiveX, etc.) is disabled since your post from yesterday.

    I'll keep scanning systems in the meantime.

    One employee: I visited a bunch of Russian photography websites. IT team = heads rolling.

    Any MIME types you recommend blocking?
  • 0
    Another system was also compromised today.

    Windows  System Sweeper detected and removed:

    Exploit:Java/CVE-2010-0840.NH
    Trojan:Win64/Sirefef.B


    Activate the active content removal of the http proxy until you remove all java installs(there will be multiple installs on each box) nuke shockwave and shockwave flash.
  • 0 in reply to Dakrisht
    One employee: I visited a bunch of Russian photography websites. IT team = heads rolling.


    I think there might be a slight misinterpretation of that English idiom. [;)] "Heads Rolling" (or Heads Roll) usually refers to people getting fired from their jobs, usually because someone messed up, badly. Comes from Europe's fondness for decapitation in times past.

    facepalm might be the better idiom. Usually that one refers to the person(s) disbelief at how stupid the other person was. [:D]
  • 0
    Anyway I can disable ActiveX and Java applets WITHOUT disabling Flash?

    Not sure why Astaro has grouped these together?
  • 0
    the reason they are all grouped together is all of them comprise of more than 95% of the web based attacks on the web.  If a site needs it's activex setup an exception for that site in the http proxy.
  • 0 in reply to William Warren
    also on a known clean computer go get the microsoft standalone system sweeper and burn it to a cd.  Make a copy for every box.  Boot to this cd and do a full system scan.  Other than reformatting everything the standalone system sweeper on each box is the only way you are going to clean the boxes as if you don't have a worm already you soon will.


    Holy Fudge Batman!

    Seems to be my week for Fake A/V and in both cases, that app made short work of the problem.

    And before you ask, no I can not disable Java or IE in our environment. Certain line of business apps specific to our industries need Java and IE to function correctly.