-
Junior Member
- Вес репутации
- 55
Помогите, пожалуйста, избавиться от руткитов!
У меня маленькая сетка на 2 машины на роутере (инет раздается через него же). На обеих машинах стоит NOD32, обновляется регулярно. Как проскочил мерзкий alman.1 — непонятно, но точно был принесен на флэшке (у нас много заказчиков в бюджетной сфере, а там сами знаете какой бардак!). Почему НОД не среагировал — не знаю, но это вопрос отдельной темы. Сейчас заражены обе машины, вирус находится столько раз, сколько запускается проверка, nvmini удаляется регулярно, но тут же появляется снова. Из реестра записи с nvmini удаляться не желают ни в обычном режиме, ни в безопасном. Только что закончилась проверка компа утилитой AVPtools, были удалены nvmini.sys, linkinfo.dll и еще какой-то .sys, 900 раз вылечен alman.b... После перезагрузки попытался удалить разделы с nvmini из реестра — безуспешно. Кстати, AVZ эти разделы в реестре НЕ ВИДИТ!!! Еще AVZ обнаруживает кучу перехватчиков, но определить не может... Лог изготовил посредством AVP Tools.
Подскажите, пожалуйста, что мне нужно предпринять.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт
Код:
begin
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Сделайте повторные логи с AVZ, не забудьте обновить базы
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
-
-
Junior Member
- Вес репутации
- 55
Вот логи. Жду дальнейших указаний.
-
-
-
Junior Member
- Вес репутации
- 55
Сообщение от
V_Bond
А как определить какой именно? Ведь ни AVP Tools, ни AVZ его не обнаружили. Да и Cureit, который я тоже пробовал, а также НОД32, который работает у меня постоянно. Я записал также и Dr.Web LiveCD, но это произведение в процессе выполнения проверки повесилось 2 раза (один раз прекратилась подача сигнала на монитор, второй раз просто всё остановилось и в течение 2-х часов не подавало никаких признаков жизни. Мне не хотелось бы сейчас делать предположения и ставить оценки, но думаю, что этим продуктом я пока пользоваться не буду - очень времени жалко! Дело в том, что объем моих рабочих дисков около двух терабайт.
А по поводу файлового вируса - заранее благодарен за любую подсказку или помощь!
Добавлено через 3 минуты
Может быть нужно отправить какие-то файлы на проверку в лабораторию?
Добавлено через 4 минуты
И ещё вопрос — как поступить, если здорового компьютера нет? Единственные машины, в которых я был уверен, это мои собственные. Теперь они заражены. Как я могу с уверенностью утверждать, что тот или иной компьютер действительно здоров???
Добавлено через 4 минуты
Где "базируется" этот самый гадкий вирус? Для меня не проблема переставить систему - она у меня на отдельном куске диска живет. Спасет ли это ситуацию? Может ли такой вирус жить не в системных папках? И если да, то где?
Последний раз редактировалось Экселенц; 15.04.2009 в 12:08.
Причина: Добавлено
-
Сообщение от
Экселенц
А как определить какой именно?
Предположительно Sality.
ни AVP Tools, ни AVZ его не обнаружили.
М.б. новая модификация, может прячется умело.
Может быть нужно отправить какие-то файлы на проверку в лабораторию?
Отправьте А Вы уверены, что это поможет?
Как я могу с уверенностью утверждать, что тот или иной компьютер
действительно здоров???
Дейстительно здоров только ПК , на котором только что установили лицензионную ОС и до первого подключения к сети. Относительно чистой можно считать систему, загружаемую с Live CD.
Где "базируется" этот самый гадкий вирус? Может ли такой вирус жить не в системных папках? И если да, то где?
А бог его знает.
Для меня не проблема переставить систему - она у меня на отдельном куске диска живет. Спасет ли это ситуацию?
См. выше.
-
-
Junior Member
- Вес репутации
- 55
Сообщение от
Rene-gad
Предположительно Sality.
А точнее определить невозможно?
Сообщение от
Rene-gad
М.б. новая модификация, может прячется умело.
Т.е. если прячется умело, то определить не сможет никто, даже многоумные Касперские, Даниловы, Зайцевы и иже с ними???
Сообщение от
Rene-gad
Отправьте
А Вы уверены, что это поможет?
Во-первых, что именно нужно отправить? На основании чего был сделан вывод, что это файловый вирус? А, во-вторых, Вы думаете, что вот эти призывы "вирусоубийц" отправлять им зараженные файлы — просто трёп???
Сообщение от
Rene-gad
А бог его знает.
Т.е. никто, кроме Бога, на этот вопрос ответить не сумеет?
Я думал дела в области борьбы с вирусами обстоят лучше...
-
Junior Member
- Вес репутации
- 55
Хм... Ещё раз благодарю за исчерпывающие объяснения, из коих я сделал вывод, что "темна вода во облацех" и "спасение утопающих — дело рук самих утопающих". За сим позвольте откланяться...