[решено] Помогите избавиться от Win32.Alman

Dump · Отправлено: **14:03, 15-04-2008** | #2

логи ..............

Pili · Отправлено: **14:03, 15-04-2008** | #3

Dump, у вас файловый вирус, воспользуйтесь этими рекомендациями (лечить до тех пор, пока drweb не перестанет находить вирус). Насколько я помню в win2k3 нет службы восстановления системы, так что, имхо, отключать нечего.

Dump · Отправлено: **14:15, 15-04-2008** | #4

Он снова появляется, в спешке проверял AVZ со старыми базами, это имеет значение (в плане логов) ? Сейчас пойду проверять заново, может ли быть так, что распространяется вирус по сети ? Потому, что ещё на двух серверах обнаружился он ?

Dump · Отправлено: **14:33, 15-04-2008** | #5

Цитата Pili:

воспользуйтесь этими рекомендациями »

Что касается проверки с загрузочного диска, у меня сервер с RAID 5 и WINPE просто не видит массив

Pili · Отправлено: **14:52, 15-04-2008** | #6

Dump, c помощью AVZ бесполезно бороться с файловыми вирусами, он хорош в отлове других зловредов, лечите систему до тех пор, пока вирус перестанет обнаруживаться вот ещё рекомендации Как лечить файловый вирус
Для контроля можно ещё потом касперским проверить AVPTool или Kaspersky WebScanner, после этого имеет смысл сделать sfc /sсannow
Если есть общедоступные ресурсы (с правом пользователей на запись), можно отключить их на время и проверить компьютеры тех, кто имеет доступ к общим ресурсам сервера. У вас есть ещё FileZilla Server FTP server, его тоже временно лучше отключить, чтобы предотвратить распространение вируса.
У вас видеокарта ATI или Nvidia? В автозагрузке - Ati2evxx.dll, в в ядре - nvmini.sys, найдите и проверьте на всякий случай на virustotal.com файлы

Цитата:

Ati2evxx.dll
C:\WINDOWS\system32\DRIVERS\nvmini.sys
C:\WINDOWS\system32\DRIVERS\ipinip.sys
C:\WINDOWS\system32\LINKINFO.dll

Dump · Отправлено: **15:04, 15-04-2008** | #7

Цитата Pili:

Если есть общедоступные ресурсы (с правом пользователей на запись), можно отключить их на время и проверить компьютеры тех, кто имеет доступ к общим ресурсам сервера. »

А если это файловый сервер и доступ имеют порядка 250 человек (это второй сервер на котором я обнаружил вирь) то мне походу проще повесицо

В связи с этим вопрос: Если у меня сейчас на файловом сервере "сидит" DrWeb 4.44 , сможет ли он отслеживать все файлы которые будут на него поступать, при условии если я его отключу от сети почищу, и снова воткну в сеть. К сожалению ваши рекомендации:

Цитата Pili:

вот ещё рекомендации Как лечить файловый вирус »

прочитать не могу, потому что мой интернет ограничивается *oszone.net*

Pili · Отправлено: **15:20, 15-04-2008** | #8

Цитата Dump:

сможет ли он отслеживать все файлы которые будут на него поступать, при условии если я его отключу от сети почищу »

это можно экспериментально проверить, включаете доступ только для себя, берете заведомо зараженный файл (проверить заражен ли он можно на virustotal.com, себе экземпляр оставляете) и закидываете на файловый сервер с включеным на нем антивирусом, смотрите поведение. У нас DrWeb не исп-ся, касперский (серверный) так троянов отлавливает, с файловыми вирусами инцендентов пока не было.

Цитата Dump:

мой интернет ограничивается *oszone.net* »

вот что там:

Цитата:

В настоящее время эффективны две стратегии лечения файловых вирусов:

1) Скачайте на здоровом компьютере утилиту от DrWeb - CureIT! Разархивируйте и запишите её на CD или DVD (ни в коем случае не записывайте на флэшку! активный вирус повредит утилиту ещё до запуска!). Сделайте полную проверку "больного" в режиме Safe Mode, затем в нормальном.

Этот способ может не помочь, если антивирус DrWeb не знает модификацию вируса, заразившего Ваш компьютер. Если это так, отправьте несколько зараженных файлов в вирусную лабораторию Dr. Web. В течении суток CureIT! "научится" лечить вирус, правда утилиту придется скачать заново на "чистом" компьютере.

2) Второй способ предполагает наличие здорового компьютера с установленным антивирусом Касперского или Dr. Web. Именно эти антивирусы делают упор на сигнатурный детект, который необходим в лечении классических вирусов. Антивирусные базы должны быть самыми свежими. Достаньте жесткий диск "зараженного" компьютера и подключите к "здоровому". Запустите полную проверку антивирусом. По окончании проверки\лечения верните диск на место.

Данный способ также не гарантирует успеха, если антивирус не знает вирус. Кроме того его нельзя применять если один из компьютеров находится на гарантии или у Вас нет соответствующих навыков перестановки жесткого диска.

Ни один из вышеперечисленных способов не гарантирует 100% восстановления поврежденных файлов и их работоспособности. Если поврежденные данные для Вас очень ценны, рекомендуем обратится в сервисный центр.

источник

Dump · Отправлено: **21:06, 15-04-2008** | #9

Цитата Pili:

Если есть общедоступные ресурсы (с правом пользователей на запись), можно отключить их на время и проверить компьютеры тех, кто имеет доступ к общим ресурсам сервера. У вас есть ещё FileZilla Server FTP server, его тоже временно лучше отключить, чтобы предотвратить распространение вируса.
У вас видеокарта ATI или Nvidia? В автозагрузке - Ati2evxx.dll, в в ядре - nvmini.sys, найдите и проверьте на всякий случай на virustotal.com файлы »

Да уж видеокарту обязательно посмотрю завтра, как на работе буду .... потому как файл nvmini.sys , как я читал про win32.alman, является частью этого вируса .

Pili · Отправлено: **21:27, 15-04-2008** | #10

nvmini.sys по логу syscure не имеет цифорвой подписи,

Цитата:

C:\WINDOWS\linkinfo.dll >>>>> Trojan-Downloader.Win32.Agent.bsi успешно удален
Файл успешно помещен в карантин (C:\WINDOWS\system32\drivers\nvmini.sys)
C:\WINDOWS\system32\drivers\nvmini.sys >>>>> Rootkit.Win32.Agent.ga успешно удален

по логам syscheck nvmini.sys имеет цифр. подпись NVIDIA, linkinfo.dll уже располагается в правильном месте C:\WINDOWS\system32\ и имеет цифр. подп. Microsoft, но проверить на VT не помешает.