AVZ блокировал Rootkit? что дальше?

[AlexBBM]

AVZ блокировал прехват Rootkit (к сожалению не могу логи приложить, уже несколько машин инфицировано) в файлах advapi32.dll и wininit.exe

Далее, я так понимаю, процесс перестал быть скрытым. Смотрю через ProcessExplorer там нет не привычных прроцессов (все с цифровыми подписями)

Сканрую еще раз AVZ - ничего, сканирую CureIt - ничего. Перезагружаюсь - опять AVZ находит перехваты в advapi32.dll и wininit.exe

Может где на форуме описан порядок действий в такой ситуации?

[snifer67]

выполните http://virusinfo.info/pravila.html и мы поможем

[AlexBBM]

Как мне передать логи, если иНет заблокирован трояном, флэшку он тут же отравит autorun.inf - из средств есть только dr.web, но на инфицированной машине он есть и благополучно блокирован трояном, а значит есть риск заразить последнюю не инфицированную машину. Как безопасно передать с зараженной машины логи если нет сети (повторюсь - заблочена трояном)

Возможно я не прав, тогда подскажите правильность действий для создания логов. Спасибо.

[pig]

Через флэшку. С применением на транзитной машине необходимых мер безопасности. Как то - сканирования флэшки антивирусом.

[AndreyKa]

Как безопасно передать с зараженной машины логи если нет сети (повторюсь - заблочена трояном)

Записать на CD.

[AlexBBM]

Все машины одинаковые, и если тварь прокралась на одну, то я не могу рисковать на последней машине. Явно же есть какие-то общие шаги, если антируткит AVZ отработал и нейтрализовал действие руткита... Я по форуму посмотрел, и админы предлагают скрипт каждому под его конкретный случай, может где-то есть мануал, которым они руководствуются.

[Rene-gad]

Как мне передать логи, если иНет заблокирован трояном

Воспользуйтесь ЛЮБЫМ LiveCD для копирования логов с зараженной системы на флешку, лучше всего Knoppix.

[AlexBBM]

Спасибо. Попробую, но все же хочется самому научиться. Не дергать же админов каждый раз...

[pig]

Админов как раз и надо дёргать. Может, озаботятся наведением порядка на подведомственной технике.