Вирус Win32/Alman.Nab заражена машина
Добрый день. Машина заражена вирусом Win32/Alman.Nab.
Выполнил все согласно правилам.
проблема появилась полсе открытия ipx протокола. и выключения браундмауэра виндовс, так как у меня стоит Нод 32 4,0. 437 и Agnitum outpost 6.5. И началось Нод начал сигналить об обнаружении и лечении вирусов Win32/Alman.Nab
Раньше машина была заражена этим же гадом. Но после переустановки пару месяцев ни чего не было. А тут только открыл протоколы для игры по сети. И началось. Жду помощи все спасибо.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Лечимся вот так http://virusinfo.info/showthread.php?t=15927
Вирус мог попасть к Вам из локальной сети
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Теперь попробую написать все очень подробо.
У меня дома есть 2 машины ПК (Нод 3.065 + Agnitum outpost 6.5) и ноут.(Norton Antivirus 2009 +Agnitum outpost 6.5). Инет идет в ПК по витой паре и через ПК по витой паре идет на ноут (В ПК 2 сетевых карты)
Первый раз столкнулся с вирусом Win32/NAB 4-5 месяцев назад. (Как мне кажеться зацепил я его скачивая Daemon tools ) Компьютеры были объеденены в сети по витой паре. С полными разрешениям на измения файлов на обоих машинах. По работе ноут был отдан. А через 2 -3 недели вирус проявился на ПК. Т.е именно не появился, а проявился. Когда он там появился я не знаю знаю что проявил свою деятельность тогда, когда сети между двумя компами не было. На ноуте стоял Нортон антивирус 2009 и он мог просто вирус не определить. (несмотря на активное пользование ноутом. Или может руки кривые были у юзера, кто с ним работал, уже не выяснить. НА ноуте вирус не проявился) А на пк нод 32 3.065 засек его. После 1,5 месяца житься с вирусом система на ПК грохнулась. Переустановил систему. Все заработало. До этого ни какие востановления системы с помощью акроникс труе имедж не помогли. ВОобщем все снес. Заработало. А тут забрал я ноут с работы. Сделал витую пару и только порадовался 3-4 дня работе двух машин в сети. Как уже Нод 4.0.437 засек его на ПК снова. т.е монитор нода начал отслеживать очищать кучу зараженных файлов.
А на ноуте уже после объединения в сеть устновил вместро Нортона установил тотже нод 4.0.437. Но на ноуте нод заражений, до сих пор не показывает.. Хотя по сети вирус должне был пробраться туда очень быстро. ЧТо он Скорее всего сделал. (Но на ноуте слава Богу у меня хватило ума посмотреть с помощью фаервола Agnitum outpost 6.5. что за приложение меняет реестр. оказалось что файл с:/autoexe.bat просится изменить данные в реестре во всех запущенных приложения. Естественно я заблакировал фаерволом эти изменения. Поэтому как мне кажеться вирус на ноуте в запуске сидит но пока заразить ни чего не может. Вопрос что дальше. )
Как проверить заражен ноут или нет. вирусом Win32/Nab. Можно считать ноут чистой машиной и на него загружать утилитки CureIT! и Live CD или нельзе его считать таковым. На ноуте выполняю полный ряд правил. И завтра выложу протокол 3 файлов. Подскажие как определить что машина очистилась от вируса Win32/Alman NAB????
? по сканеру нод это можно обнаружить раз в 1-2 недели или месяц, тогда когда вирус начнет все заражать.
А пока лечю ПК
Live CD Vba32 Rescue
Жду советов. Огромное спасибо всем за помощь. Если вы прочитали все уже спасибо.
Последний раз редактировалось jakutchenko; 30.07.2009 в 12:46. Причина: Добавлено
Проверил ПК VBA rescue. нашел вирь в папке c:\program files\daemon tools очистил или удалил. Но в отчете нет записи об этом объекте.
Что дальше делать? Заражен ли ПК вирусом? Как проверить?
- В логах ничего подозрительного
- Установите Сервис Пак 3 - возможно потребуется активация системы - и последующие патчи.
- Установите ИЕ 8
Спасибо за ответ. Ие 8 не могу. для работы некоторых програм нужен не выше 7.0. Стоит ли 7 ставить?
как поставить sp3 у меня обновления с нета идет постоянно. Каждые 2-3 дня что-то качает.
Как узнать что у меня сп3?
А что это у Вас за программы такие военные?Сообщение от jakutchenko
Ну, 7-й в любом случае нужно поставить.
Скачайте сетап или ИЗО-образ, у меня в подписи ссылки есть.как поставить sp3
Мой компьютер/СвойстваКак узнать что у меня сп3?
Установил СП3. Эксплорер не успел.
Снова к оснвам.
ВОт что обнаружил НОД.
30.07.2009 14:58 Защита в режиме реального времени файл C:\Downloads\Программы\avz4\avz4\avz.exe Win32/Alman.NAB вирус очищен - изолирован NT AUTHORITY\SYSTEM Событие произошло в модифицированном файле.
Все заново. Вирус присутствует и множиться.
Что делать?
Ну что же тут такого: Нод нашёл вирус в файле ..\avz4\avz4\avz.exe? Это в порядке вещей, что 2 антивирусных программы друг друга детектят.
30.07.2009 16:23:11 Защита в режиме реального времени файл D:\Install\PowerQuest Partition Magic 8.0.2\PartitionMagic_v8.02\setup.exe Win32/Alman.NAB вирус очищен - изолирован NT AUTHORITY\SYSTEM Событие произошло в модифицированном файле.
30.07.2009 15:18:07 Защита в режиме реального времени файл D:\Install\Карта киева\bmcity.exe Win32/Alman.NAB вирус очищен - изолирован NT AUTHORITY\SYSTEM Событие произошло в модифицированном файле.
Тут дело не в AVZ. Где-то вирус остался и снова плодиться.
Значит, рекомендации прежние: http://virusinfo.info/showthread.php?t=15927
Последний раз редактировалось Rene-gad; 30.07.2009 в 20:01.
Вы его в оффлайне ставили? Если нет - вот и получили неприятность.
Ставил в онлайне. А какая разница? что теперь. лечимся заново тем же или новым. Что конкретно делать. Вешать заново логи.
Попробуйте Drweb Live CD, может, он найдет больше.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Если на ноуте есть подозрения на тот же вирус. ЧТо делать. Проверять сразу его все выше описанными средствами или сделать сбор инфы и выложить в отдельной теме?
Новый компьютер - новая тема.
Выкладываю итог проверки.Лечение с помощью сканера VBA32
ЧТо дальше?
Еще вопрос. Какие настройки ставить в AVZ при сканировании и сборе инфЫ. Так как можно не менять настройки выполняя скрипт, тогда комп тестируется 1 час. А можно полное самое глубокое сканирование тогда и суки может. На каком надо. ???
Последний раз редактировалось Rene-gad; 31.07.2009 в 11:37.
По умолчанию.
В логах ВБА - пара Ваших файлов на подозрении. Посмотрите сами и решите, что с ними делать. А более ничего плохого. Значит: зараза приходит к Вам по сети, используя какие-то непатченные дыры.
Проверил все Dr Web Live Cd. Как глянуть отчет.? Сеть у меня только ПК и Ноут . Как вирус может пролазить через нет?
Уважаемый(ая) jakutchenko, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
