Кардинально решаем с вирусами в Новотроицке

План работ в Новотроицке по удалению вирусов, окончательному и бесповоротному

1. Отдергиваем ЛВС от компьютера.

2. С LiveCD полностью сканируем компьютер при помощи cureit DrWEB.

3. Загружаем компьютер, обновляем windows до SP3+SecurityPacks. Где невозможно — переустанавливаем windows.




4. Обновляем NOD32, настраиваем его на автоматическую чистку, настраиваем отчеты по почте, сканируем полностью компьютер нодом, защищаем конфигурацию паролем.

5. Импортируем ветки реестра, отключающие работу USB, CD, Floppy.

6. Удаляем не связанное с рабочим процессом ПО.

7. Устанавливаем и настраиваем VNC.

8. Устанавливаем новый IP, переписываем в журнал всю информацию по компьютеру(IP, место установки, ФИО пользователя).

9. Выкашиваем пользователя из локальных администраторов, меняем пароль на Администратора.

10. Паролим BIOS, отключаем в BIOS USB, CD, Floppy (кроме компов с подключенными USB устройствами типа принтеров, мышей и клавиатур).

11. Отключаем с материнской платы приводы и Floppy.

Вот более точно (взято из написанной после поездки служебной записки):

Были предприняты следующие шаги по устранению проблемы:

1. Все компьютера РЭС были отключены от ЛВС.

2. Все компьютера РЭС были просканированы при помощи LiveCD CureIT от DrWEB.

3. Было установлено 3-е кумулятивное обновление на Windows, набор критичных обновлений, закрывающих уязвимости Windows от вирусов, везде, где возможно были установлены обновления безопасности, выпущенные после выхода 3-го кумулятивного обновления Windows.

4. Обновлены антивирусные базы NOD32.

5. Все компьютера просканированы при помощи NOD32.

6. Конфигурация NOD32 на всех компьютерах была защищена паролем.

7. На всех компьютерах РЭС NOD32 был сконфигурирован на тихую работу(отключен интерактив с пользователем компьютера), была настроена отчетность работы NOD32 при наступлении критических событий на электронный адрес nod32@sss.com.ua.

8. Все пользователи на всех компьютерах были исключены из группы локальных администраторов.

9. В реестре Windows была отключена возможность использования подключаемых USB, CD/DVD, Floppy устройств хранения информации, кроме компьютера зам. начальника РЭС Колосова А.В.

10. На всех компьютерах РЭС была проверена и унифицирована работа удаленного средства администрирования RealVNC.

11. На всех компьютерах был установлен новый пароль на локального администратора.

12. На всех компьютерах был установлен новый пароль на доступ в BIOS.

13. На всех компьютерах через BIOS была отключена работа CD/DVD, USB, Floppy. Исключения: компьютер зам. начальника РЭС Колосова А.В., не отключалась поддержка USB на компьютерах с подключенной USB периферией(принтера, клавиатуры, манипуляторы мышь).

14. С материнских плат всех компьютеров были отключены шлейфы и кабели питания Floppy, CD/DVD.

15. Были просканированы серверные файловые ресурсы при помощи CureIT от DrWEB, при помощи NOD32.

16. Была настроена автоматическая синхронизация сервера обновлений NOD32 с сервером центрального офиса.

17. Система электронной почты РЭС была переведена на Linux.

18. Только после всех действий компьютера РЭС были вновь подключены к ЛВС.