|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Помогите избавиться от Win32.Alman |
|
[решено] Помогите избавиться от Win32.Alman
|
Пользователь Сообщения: 105 |
Профиль | Отправить PM | Цитировать
Всё началось с исчезновения всех ехе с компьютера, затем было обнаружено, что после обновления Trend Micro Office Scan (наш корпоративный антивирус), он обнаружил вирус в файлах и закрыл их всех в карантин. Вернул все файлы назад, отключил тренд, запустил Куреит, тот нашел и вылечил файлы, через пол часа проверил, опять всё заражено.
Начал делать всё по правилам. 1. Запустил Куреит в безопасном режиме (Лог приложил) 2. перегрузил, запустил AVZ скрипт 3 - вылетел BSOD, матерился на nvmini.sys 3. перегрузил, запустил AVZ скрипт 2 (лог приложил) 4. запустил AVZ скрипт 3 всё прошло нормально (лог приложил) 5. перегрузил, запустил hijackthis (лог приложил) 6. перегрузил, запустил в безоп. режиме Куреит, тот снова начал находить зараженные файлы |
|
Отправлено: 11:38, 15-04-2008 |
Пользователь Сообщения: 105
|
Профиль | Отправить PM | Цитировать После ДВУХ подряд проверок CureIT в безопасном режиме, на третьей проверке вирус перестал обнаруживаться. После перезагрузки в нормальный режим проверил ещё раз всё ОК, включил в сеть....посмотрим после обеда. Похоже, что проблема решена, но пока не буду ставить её таковой. Подождём до завтра
|
Отправлено: 10:04, 16-04-2008 | #11 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать Dump, на virustotal.com файлы
Ati2evxx.dll C:\WINDOWS\system32\DRIVERS\nvmini.sys C:\WINDOWS\system32\DRIVERS\ipinip.sys C:\WINDOWS\system32\LINKINFO.dll проверили? Эксперимент проверли с DrWeb, отлавливаются вирусы, если в общую папку попадают извне? Скачайте ещё раз AVZ, по предыдущим логам AVZ версии 4.29 База поcледний раз обновлялась 12/12/2007 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". вложите в сообщение virusinfo_syscure.zip из папки AVZ\LOG |
------- Отправлено: 10:25, 16-04-2008 | #12 |
Пользователь Сообщения: 105
|
Профиль | Отправить PM | Цитировать Pili, Ок немного попозже выложу, просто у меня в одной папке две разные версии AVZ сидели, перепутал, не ту запустил. На virustotal.com файлы не проверял, забыл домой с работы забрать. Как кстати их безопасно можно отправить, чтобы свой домашний комп не заразить, дома стоит KAV 7.0 обновляется как только сам захочет и-нет постоянно включен. Если я его на флешке принесу "каспер" же убьёт его, если там вирус. Или нам больше ничего и не нужно, кроме того, что они заражены?
Эксперимент с DrWeb ещё не проводил, не могу закрыть шары просто так, в рабочий день. Но агент периодически отлавливает файлы и лечит их, видимо сработает! |
Отправлено: 14:06, 16-04-2008 | #13 |
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать Dump, Да, нужно проверить заражены ли файлы, если каспер прибьет, то скрипт напишу по удалению, если не обнаружит, просто закидываете файлы на вирустотал и смотрите рез-т сканирования, домашний комп вряд ли заразите, это же не исполняемые файлы, а вообще, лучше заархивируйте эти файлы с паролем virus и пришлие мне на user15802[at]mail.ru, в теле письма укажите ссылку на тему, или выложите файл на ifolder.ru или другой файлообменник и дайте ссылку на него в ПМ (личку).
по поводу флешки, защита от autorun Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените. Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom] "AutoRun"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveTypeAutoRun"=dword:000000ff [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files] "*.*"="" Цитата Dump:
|
|
------- Последний раз редактировалось Pili, 16-04-2008 в 14:44. Отправлено: 14:33, 16-04-2008 | #14 |
Пользователь Сообщения: 105
|
Профиль | Отправить PM | Цитировать Pili, Вот посмотрите Лог от агента, если я правильно понимаю, то Колонка "пользователь" - это тот, кто последний обращался к файлу и получается его заразил. Как видно все обращаются к одному файлу Colvir.exe это программа используемая у нас юзает этот файл. Всего около 200 человек, но как видно в логах заражение происходит именно после того, как 2-3 определённых человека обращаются к нему.
Включить аудит. Вы имеете ввиду аудит Винды? |
Отправлено: 18:08, 16-04-2008 | #15 |
Пользователь Сообщения: 105
|
Профиль | Отправить PM | Цитировать Цитата Pili:
|
|
Отправлено: 18:16, 16-04-2008 | #16 |
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать Dump, да, имелся ввиду аудит винды на папку, но видно, что опредить можно по логам агента DrWeb, статистика на высоте
Цитата Dump:
begin QuarantineFile('C:\WINDOWS\system32\DRIVERS\ipinip.sys',''); QuarantineFile('Ati2evxx.dll',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\nvmini.sys',''); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. LINKINFO.dll по новым логам нет Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставите степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера". |
|
------- Отправлено: 19:08, 16-04-2008 | #17 |
Пользователь Сообщения: 105
|
Профиль | Отправить PM | Цитировать Цитата Pili:
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\ipinip.sys) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\ipinip.sys) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтения (Ati2evxx.dll) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтения (Ati2evxx.dll) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\nvmini.sys) Карантин с использованием прямого чтения - ошибка Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\nvmini.sys) Карантин с использованием прямого чтения - ошибка Вот что сказал AVZ |
|
Последний раз редактировалось Dump, 17-04-2008 в 15:14. Отправлено: 14:56, 17-04-2008 | #18 |
Dr. Piligrim Сообщения: 2443
|
Профиль | Отправить PM | Цитировать Dump, вероятно остался только мусор в реестре, пришлите quarantine.zip на user15802[at]mail.ru и сделайте ещё логи с помощью утилиты Deckard's System Scanner. Скачайте, закройте все программы, запустите dss.exe, нажмите ОК, когда закончится процесс сканирования, в блокноте откроются два лог файла main.txt и extra.txt, выделите (Ctrl+A) и скопируйте текст (Ctrl+C) из main.txt и extra.txt и вставьте (Ctrl+V) скопированный текст из main.txt и extra.txt в окно вашего сообщения. Если лог не получится, попробуйте ещё раз отключив антивирусные программы и firewall
и сделайте ещё лог virusinfo_syscheck.zip |
------- Отправлено: 15:40, 17-04-2008 | #19 |
Пользователь Сообщения: 105
|
Профиль | Отправить PM | Цитировать Pili,
Я не на том сервере логи снимал Сейчас снял, всё нормально вечером вышлю вам файл quarantine.zip С декарт сканером только завтра смогу логи снять. |
Отправлено: 15:46, 17-04-2008 | #20 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
[решено] Помогите избавиться от порноинформера на рабочем столе. | Jamba | Лечение систем от вредоносных программ | 4 | 26-12-2009 09:43 | |
Не могу избавиться от Win32.HLLM.Beagle | sapfeer | Лечение систем от вредоносных программ | 19 | 29-11-2009 20:00 | |
Помогите избавиться от баннера! | Zhuravleva | Лечение систем от вредоносных программ | 1 | 11-08-2009 14:09 | |
[решено] Net-Worm.Win32.Kido помогите очистить систему | kamapaka | Лечение систем от вредоносных программ | 32 | 14-01-2009 10:56 | |
Разное - [решено] Помогите избавиться от последствия вируса | bl1nk | Лечение систем от вредоносных программ | 8 | 04-01-2008 16:43 |
|