Помогите выловить машины с вирусами
 

Приветствую, на всех 4ёх серверах с настроеным DFS и репликой папок пользователей по офисам организации антивирус (NOD32 v4) захлёбывается от потока вирусов а точнее вот оно событие

13.10.2009 9:59:02 Защита в режиме реального времени
файл E:\System Volume Information\DFSR\Private\{61BF1733-A8E2-4A8D-9297-3AE7D9C3FFA1}-{0549777C-E20C-4AC5-A5CE-E7F5DF06A8C4}\Installing\eaqqaxste-{28041D4D-CBC8-4E8C-898B-3B10F3C18AF9}-v9223.exe
вероятно модифицированный Win32/Injector.YY троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\Windows\System32\dfsrs.exe.

я так понимаю система пытается реплицировать какой то файл который зараженная машина упорно пишет в папку пользователя и удаляет его.

Так вот вопрос как найти эту машину?

Насчёт встроенных утилит не вспомню, но есть куча сниферов (wireshark, MS network monitor,....) с полчаса просканить а потом распарсить лог (здоровый правда будет :))
или на каждой машинке запустить что-то типу currports, process explorer,..... - глянуть сетевую активность

Да на самом деле я думаю просто как то аудит настроить правильно... вот только бы мне какой ни будь прям по пунктам мануал.
Я думаю поставить на всю реплицируемую папку аудит на пол часа и смотреть кто пишет и что... юзверей около 300 так что не шибко большой лог должен получиться.

только вот как он настраивается.

аудит скорее всего не поможет, в силу особенностей распространения вирусов

расширенный снифер на сервере, может решить всё быстрее ( wireshark + CACE Pilot (см. ролик http://www.cacetech.com/media/2.0/00_intro_web/ ))

А что Ваш антивирь не показывает в логе сетевые атаки

Donner,
Прочитайте рекомендации к использованию антивирусных мониторов с dfsr
http://blogs.technet.com/filecab/arc...01/426926.aspx