Добрый день. Машина заражена вирусом Win32/Alman.Nab.
Выполнил все согласно правилам.
проблема появилась полсе открытия ipx протокола. и выключения браундмауэра виндовс, так как у меня стоит Нод 32 4,0. 437 и Agnitum outpost 6.5. И началось Нод начал сигналить об обнаружении и лечении вирусов Win32/Alman.Nab
Раньше машина была заражена этим же гадом. Но после переустановки пару месяцев ни чего не было. А тут только открыл протоколы для игры по сети. И началось. Жду помощи все спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Теперь попробую написать все очень подробо.
У меня дома есть 2 машины ПК (Нод 3.065 + Agnitum outpost 6.5) и ноут.(Norton Antivirus 2009 +Agnitum outpost 6.5). Инет идет в ПК по витой паре и через ПК по витой паре идет на ноут (В ПК 2 сетевых карты)
Первый раз столкнулся с вирусом Win32/NAB 4-5 месяцев назад. (Как мне кажеться зацепил я его скачивая Daemon tools ) Компьютеры были объеденены в сети по витой паре. С полными разрешениям на измения файлов на обоих машинах. По работе ноут был отдан. А через 2 -3 недели вирус проявился на ПК. Т.е именно не появился, а проявился. Когда он там появился я не знаю знаю что проявил свою деятельность тогда, когда сети между двумя компами не было. На ноуте стоял Нортон антивирус 2009 и он мог просто вирус не определить. (несмотря на активное пользование ноутом. Или может руки кривые были у юзера, кто с ним работал, уже не выяснить. НА ноуте вирус не проявился) А на пк нод 32 3.065 засек его. После 1,5 месяца житься с вирусом система на ПК грохнулась. Переустановил систему. Все заработало. До этого ни какие востановления системы с помощью акроникс труе имедж не помогли. ВОобщем все снес. Заработало. А тут забрал я ноут с работы. Сделал витую пару и только порадовался 3-4 дня работе двух машин в сети. Как уже Нод 4.0.437 засек его на ПК снова. т.е монитор нода начал отслеживать очищать кучу зараженных файлов.
А на ноуте уже после объединения в сеть устновил вместро Нортона установил тотже нод 4.0.437. Но на ноуте нод заражений, до сих пор не показывает.. Хотя по сети вирус должне был пробраться туда очень быстро. ЧТо он Скорее всего сделал. (Но на ноуте слава Богу у меня хватило ума посмотреть с помощью фаервола Agnitum outpost 6.5. что за приложение меняет реестр. оказалось что файл с:/autoexe.bat просится изменить данные в реестре во всех запущенных приложения. Естественно я заблакировал фаерволом эти изменения. Поэтому как мне кажеться вирус на ноуте в запуске сидит но пока заразить ни чего не может. Вопрос что дальше. )
Как проверить заражен ноут или нет. вирусом Win32/Nab. Можно считать ноут чистой машиной и на него загружать утилитки CureIT! и Live CD или нельзе его считать таковым. На ноуте выполняю полный ряд правил. И завтра выложу протокол 3 файлов. Подскажие как определить что машина очистилась от вируса Win32/Alman NAB????
? по сканеру нод это можно обнаружить раз в 1-2 недели или месяц, тогда когда вирус начнет все заражать.
А пока лечю ПК
Live CD Vba32 Rescue
Жду советов. Огромное спасибо всем за помощь. Если вы прочитали все уже спасибо.
Последний раз редактировалось jakutchenko; 30.07.2009 в 12:46.
Причина: Добавлено
Проверил ПК VBA rescue. нашел вирь в папке c:\program files\daemon tools очистил или удалил. Но в отчете нет записи об этом объекте.
Что дальше делать? Заражен ли ПК вирусом? Как проверить?
Спасибо за ответ. Ие 8 не могу. для работы некоторых програм нужен не выше 7.0. Стоит ли 7 ставить?
как поставить sp3 у меня обновления с нета идет постоянно. Каждые 2-3 дня что-то качает.
Как узнать что у меня сп3?
Установил СП3. Эксплорер не успел.
Снова к оснвам.
ВОт что обнаружил НОД.
30.07.2009 14:58 Защита в режиме реального времени файл C:\Downloads\Программы\avz4\avz4\avz.exe Win32/Alman.NAB вирус очищен - изолирован NT AUTHORITY\SYSTEM Событие произошло в модифицированном файле.
Все заново. Вирус присутствует и множиться.
Что делать?
30.07.2009 16:23:11 Защита в режиме реального времени файл D:\Install\PowerQuest Partition Magic 8.0.2\PartitionMagic_v8.02\setup.exe Win32/Alman.NAB вирус очищен - изолирован NT AUTHORITY\SYSTEM Событие произошло в модифицированном файле.
30.07.2009 15:18:07 Защита в режиме реального времени файл D:\Install\Карта киева\bmcity.exe Win32/Alman.NAB вирус очищен - изолирован NT AUTHORITY\SYSTEM Событие произошло в модифицированном файле.
Тут дело не в AVZ. Где-то вирус остался и снова плодиться.
Если на ноуте есть подозрения на тот же вирус. ЧТо делать. Проверять сразу его все выше описанными средствами или сделать сбор инфы и выложить в отдельной теме?
Выкладываю итог проверки.Лечение с помощью сканера VBA32
Сообщение от jakutchenko
Выкладываю итог проверки.Лечение с помощью сканера VBA32
ЧТо дальше?
Еще вопрос. Какие настройки ставить в AVZ при сканировании и сборе инфЫ. Так как можно не менять настройки выполняя скрипт, тогда комп тестируется 1 час. А можно полное самое глубокое сканирование тогда и суки может. На каком надо. ???
Последний раз редактировалось Rene-gad; 31.07.2009 в 11:37.
Какие настройки ставить в AVZ при сканировании и сборе инфЫ.?
По умолчанию.
В логах ВБА - пара Ваших файлов на подозрении. Посмотрите сами и решите, что с ними делать. А более ничего плохого. Значит: зараза приходит к Вам по сети, используя какие-то непатченные дыры.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: