-
Junior Member
- Вес репутации
- 53
AVZ блокировал Rootkit? что дальше?
AVZ блокировал прехват Rootkit (к сожалению не могу логи приложить, уже несколько машин инфицировано) в файлах advapi32.dll и wininit.exe
Далее, я так понимаю, процесс перестал быть скрытым. Смотрю через ProcessExplorer там нет не привычных прроцессов (все с цифровыми подписями)
Сканрую еще раз AVZ - ничего, сканирую CureIt - ничего. Перезагружаюсь - опять AVZ находит перехваты в advapi32.dll и wininit.exe
Может где на форуме описан порядок действий в такой ситуации?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Последний раз редактировалось snifer67; 28.10.2009 в 13:33.
-
-
Junior Member
- Вес репутации
- 53
Как мне передать логи, если иНет заблокирован трояном, флэшку он тут же отравит autorun.inf - из средств есть только dr.web, но на инфицированной машине он есть и благополучно блокирован трояном, а значит есть риск заразить последнюю не инфицированную машину. Как безопасно передать с зараженной машины логи если нет сети (повторюсь - заблочена трояном)
Возможно я не прав, тогда подскажите правильность действий для создания логов. Спасибо.
-
Через флэшку. С применением на транзитной машине необходимых мер безопасности. Как то - сканирования флэшки антивирусом.
-
-
Сообщение от
AlexBBM
Как безопасно передать с зараженной машины логи если нет сети (повторюсь - заблочена трояном)
Записать на CD.
-
-
Junior Member
- Вес репутации
- 53
Все машины одинаковые, и если тварь прокралась на одну, то я не могу рисковать на последней машине. Явно же есть какие-то общие шаги, если антируткит AVZ отработал и нейтрализовал действие руткита... Я по форуму посмотрел, и админы предлагают скрипт каждому под его конкретный случай, может где-то есть мануал, которым они руководствуются.
-
Сообщение от
AlexBBM
Как мне передать логи, если иНет заблокирован трояном
Воспользуйтесь ЛЮБЫМ LiveCD для копирования логов с зараженной системы на флешку, лучше всего Knoppix.
-
-
Junior Member
- Вес репутации
- 53
Спасибо. Попробую, но все же хочется самому научиться. Не дергать же админов каждый раз...
-
Админов как раз и надо дёргать. Может, озаботятся наведением порядка на подведомственной технике.
-