-
Junior Member
- Вес репутации
- 0
Началось с nvmini, а закончилось Алманом
не давно подхватил вирус который, возможно, не давал отконективать внешние носители (nvmini) После лечения
кошмарским 6,0 для рабочих сианций вроде бы убил. Но тут обнаружилась другая эпидемия Win32.Alman.b Она была
обноружена в домашних условиях но так же наблюдалась и на рабочей лошадке. при этом странная вешь AVZ не
опазнает её ни каком файле в то время как кошмарский ловит файловым антивирем.
Залез в оборудование и увидел нечейный драйвер nvmini почистил через реестр. пока ребут не делал.
При этом там находился еще один такойже бесхозный драйвер (читать потерянный)
Кроме указанного драйвера увидел ещё и SuperMounter.
После выбора пункта в оснастке оборудование (там где список оборудования не плуги энд плэй) а затем чистки реестра
эти два бесхозных вещи исчезли. При этом после удаления черех оснастку на вопрос о перезагрузки отвечал
отрицательно
Прошу Вашего совета как мне быть в такой ситуации и как безопасно (без больших потреь при лечении кашмарским и
доктором (который работает без карантина)) вылечить порядка 400 гектар информации
Заранее спасибо за ответ и возможную оказанную помощь
ПС SuperMounter привлек внимание когда из за него точнее он был прописан в синем экране при попытке дважды
запустиь файрвол
PS с логами оболом форум выдал ошибку на права. (ПРи активации аккуанта так же была какая-то ошибка)
Последний раз редактировалось sunic; 07.06.2008 в 08:44.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Залейте логи на http://virusinfo.ifolder.ru/ и ссылки сюда
-
-
Скиньте логи на файлообменники и дайте ссылку тут.
-
-
Сообщение от
sunic
Началось с nvmini, а закончилось Алманом
nvmini.sys - это и есть Альман, его драйвер.
Вам прежде всего сюда http://virusinfo.info/showthread.php?t=15927 , выполните пункт 1.
Потом уже логи по правилам.
-
-
Junior Member
- Вес репутации
- 0
virusinfo_syscure.zip
http://virusinfo.ifolder.ru/6885936
virusinfo_cure.zip
весит очень много порядка 18 метров
ПС Логи с домашней машины (все действия в личениях одинаковы что на домашнем что на рабочеем за одним исключением дрова из оснастки оборудования и реестра пока не убраны на домашнем коне так карта видеи от NVIDIA)
Добавлено через 1 минуту
может можно отправить протокол xml/html заместо увеститого файла
Последний раз редактировалось sunic; 07.06.2008 в 15:50.
Причина: Добавлено
-
Вы совет из поста номер 4 выполнили? Альман - это файловый вирус + руткит.
-
-
Junior Member
- Вес репутации
- 0
Сообщение от
kps
Вы совет из поста номер 4 выполнили? Альман - это файловый вирус + руткит.
Да но некоторые файлы не вылечены. Поэтому и решил написать на данном формуме. Так надеялся что есть специализированная утилита как то было например с Jeefa При лечении которой Кошмарский затирал место замены вируса нулями а доктор вообще сносил все полностью. Но при этом если не ошибаюсь Sophos или какой то другой антивирусный забугорный компания выпустила уьтилиту которая на 95-99 % лечила файлы зараженные Jeffa/(Hydra либо по классификации Кошмарского или доктора)
-
Jeefo и Касперский и Доктор Веб сейчас должны лечить нормально, если версия свежая.
Alman можно лечить CureIt!'ом, Вы им проверяли?
-
-
Junior Member
- Вес репутации
- 0
Сообщение от
kps
Jeefo и Касперский и Доктор Веб сейчас должны лечить нормально, если версия свежая.
Alman можно лечить CureIt!'ом, Вы им проверяли?
именно им скачал последнюю версию от06,06,08
-
И как результаты? Больше не находит?
-
-
Junior Member
- Вес репутации
- 0
пока идет проверка
Но опятьв той же оснастке оборудования обнаружен какой то странный сис (подозрительный) файл именуемый Tsknf700. Мне просто инетресно он хороший или плохой
ПС Да вот еще немного в продолжении темы. После лечения троянов а именно Trojan-Downloader.Win32.Mutant перестало нормально появляться компьтеры (сетевое соединение) в трее только если заходишь в панель инструментов сетевые подключения и там давишь Ф5 только после этого они видны и мигаают. Можно от этого как то вылечиться (галочка показывать компы в трее взведена)
Добавлено через 3 часа 49 минут
Сообщение от
kps
Jeefo и Касперский и Доктор Веб сейчас должны лечить нормально, если версия свежая.
Alman можно лечить CureIt!'ом, Вы им проверяли?
Это просто к сведению не для дискуссии то что отвечает Кашмарский на Jeffa при его нахождении и категорически отказывает лечить
Добавлено через 31 секунду
Сообщение от
kps
Jeefo и Касперский и Доктор Веб сейчас должны лечить нормально, если версия свежая.
Alman можно лечить CureIt!'ом, Вы им проверяли?
Это просто к сведению не для дискуссии то что отвечает Кашмарский на Jeffa при его нахождении и категорически отказывает лечить
версия 6,0 для рабочих станция базы от 03,06,08
Последний раз редактировалось sunic; 07.06.2008 в 21:26.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 0
прошел полную проверку порядка 60 пиложений в ауте. Есть ли какие нибудь способы их вылечить вручную
-
Как вручную? А у Вас остался экземпляр этого Альмана? Если да - то не могли бы его нам прислать в архиве с паролем virus сюда: http://virusinfo.info/upload_virus.php?tid=24169 ?
-
-
Junior Member
- Вес репутации
- 0
позвольте пояснить понятие вручную
Вручную - Значить не набивать тупо с помоью отчета АВЗ скрипты для антивиря и говоря что для каждой машины индивидульно а взять в руки 16 ричный редактот и другие утилиты для отладки программ и руками покапаться в кишках.
ПС почему этим заинтреисовался так некотрые программы на делфях были вылечины а некторые в ауте
Добавлено через 5 минут
Файл сохранён как 080609_115637_alman_484d60c51470d.zip
Размер файла 316784
MD5 a6f572060ebde07427da1ce7679f6dbc
Файл закачан, спасибо!
Последний раз редактировалось sunic; 09.06.2008 в 20:57.
Причина: Добавлено
-
Скрипт AVZ здесь не поможет. Альман заражает файлы, дописывает свой вредоносный код. Инструментами может и можно повыкусывать этот код из зараженных файлов, но это требует спец. знаний, это большой труд, в таких ситуациях лечат сигнатурным антивирусом.
P.S. присланный карантин:
МХ Таблица Менделеева .exe, Убери мусор из реестра.exe - Virus.Win32.Alman.b
-
-
Junior Member
- Вес репутации
- 0
Разъясните пожайлуста как антивирусы лечат они же тоже удаляют кусок года
Добавлено через 46 минут
Сообщение от
kps
Скрипт AVZ здесь не поможет. Альман заражает файлы, дописывает свой вредоносный код. Инструментами может и можно повыкусывать этот код из зараженных файлов, но это требует спец. знаний, это большой труд, в таких ситуациях лечат сигнатурным антивирусом.
P.S. присланный карантин:
МХ Таблица Менделеева .exe, Убери мусор из реестра.exe - Virus.Win32.Alman.b
я присылал архив потомучто вы этого требовали я знал что они заражены альманом и мне не требовалось их определение а необходимо их лечение.
Последний раз редактировалось sunic; 10.06.2008 в 06:48.
Причина: Добавлено
-
CureIt! пробовали?
В антивирусах удаление вредоносного кода из файла - исторически основная функция.
Раз зверь известный, то должен лечиться. Если, конечно, файлы не попорчены безвозвратно, как видимо, было в случае с Jeefo - тот обожал гулять в паре с Parite, оба заражают файлы некорректно, поэтому бутерброд лечению не поддаётся.
-
-
Описание: http://info.drweb.com/virus_description/154207
Рекомендация по лечению:
1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведома неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированные компьютеры Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
-
-
Сообщение от
sunic
Разъясните пожайлуста как антивирусы лечат они же тоже удаляют кусок года
Они удаляют вредоносный код из зараженного файла сами, если выбрано соответствующее действие. А если Вы руками хотите удалять код вируса из зараженного файла, то это требует спец. знаний и большой работы (смотря сколько файлов заражено), руками обычно не лечат.
-
-
Junior Member
- Вес репутации
- 0
Сообщение от
pig
CureIt! пробовали?
В антивирусах удаление вредоносного кода из файла - исторически основная функция.
Раз зверь известный, то должен лечиться. Если, конечно, файлы не попорчены безвозвратно, как видимо, было в случае с Jeefo - тот обожал гулять в паре с Parite, оба заражают файлы некорректно, поэтому бутерброд лечению не поддаётся.
Знаете если бы я не связывался сэпидемией jeffo так близко то промолчал. а так приходилось лечить порядка 40 машин и кашмарский и доктор говрили только убить помиловать нельзя. и никто другой в системе неопределялся..
Если вы говорите что в базе есть то и личить должен а вы попробуте то что в карантине прислано вылечить. и тогда посмотрим.
Извените не хотелось поднимать модераторов и разного рода высокопоставленных лиц. Но я надеялся что здесь мне помогут вылечить небольшую часть жизнено важных файлов ту которую ни один антивирус не помиловал. Просто подскажите где можно найти более полую информацию о проникновении альмана в кишки приложения и хоть немного ручной (лоботомии) методики лечения