Printable View
AVZ блокировал прехват Rootkit (к сожалению не могу логи приложить, уже несколько машин инфицировано) в файлах advapi32.dll и wininit.exe
Далее, я так понимаю, процесс перестал быть скрытым. Смотрю через ProcessExplorer там нет не привычных прроцессов (все с цифровыми подписями)
Сканрую еще раз AVZ - ничего, сканирую CureIt - ничего. Перезагружаюсь - опять AVZ находит перехваты в advapi32.dll и wininit.exe
Может где на форуме описан порядок действий в такой ситуации? :(
выполните [url]http://virusinfo.info/pravila.html[/url] и мы поможем
Как мне передать логи, если иНет заблокирован трояном, флэшку он тут же отравит autorun.inf - из средств есть только dr.web, но на инфицированной машине он есть и благополучно блокирован трояном, а значит есть риск заразить последнюю не инфицированную машину. Как безопасно передать с зараженной машины логи если нет сети (повторюсь - заблочена трояном)
Возможно я не прав, тогда подскажите правильность действий для создания логов. Спасибо.
Через флэшку. С применением на транзитной машине необходимых мер безопасности. Как то - сканирования флэшки антивирусом.
[QUOTE='AlexBBM;496790']Как безопасно передать с зараженной машины логи если нет сети (повторюсь - заблочена трояном)[/QUOTE]Записать на CD.
Все машины одинаковые, и если тварь прокралась на одну, то я не могу рисковать на последней машине. Явно же есть какие-то общие шаги, если антируткит AVZ отработал и нейтрализовал действие руткита... Я по форуму посмотрел, и админы предлагают скрипт каждому под его конкретный случай, может где-то есть мануал, которым они руководствуются.
[QUOTE=AlexBBM;496790]Как мне передать логи, если иНет заблокирован трояном[/QUOTE]
Воспользуйтесь ЛЮБЫМ LiveCD для копирования логов с зараженной системы на флешку, лучше всего Knoppix.
Спасибо. Попробую, но все же хочется самому научиться. Не дергать же админов каждый раз...
Админов как раз и надо дёргать. Может, озаботятся наведением порядка на подведомственной технике.