вчера позвали помочьв очень делиаптном деле:

при обновлении отчетности занесли на сервер sector.17 (sality nat), он покрошил все ехе и полез гулять оп сети, на рабочих станциях его локализовали и убили, по сети он не ходит, но вот сервер:

W2k3 SP2
два рейда в зеркале (4 винта)

как пролечить ? DrWebLiveCD невидит рейды(даже если и увиделбы как показали тесты за последние 2 суток неможе все вылечить), Сureit лечит но локализовать вирус не может.

зы пока прихожу к выводу установки чистой винды на доп раздел и попытки пролечить из под нее, если у кого есть практика борьбы именно на рейдах помогите

Для начала отсоедените все винты и сохраните побитовый образ каждого из них в безопасное место. После этого можете издеваться над ними как хотите.

DrWebLiveCD есть ни что иное, как LiveCD Gentoo Linux с предустановленным ПО от Др.Веб. Посему вам можно найти драйвера для своего раида под Linux, пересобрать LiveCD с этими драйверами и уже использовать его.

Можно по другому попробовать вывернуться. Насколько я понял, раид был 0+1?

Попробуйте два винта, составляющих единый страйп подсоеденить к раиду, драйвер которого есть в вашем LiveCD. Например это размазанные на матерях раиды, которые только и понимают, что страйп и зеркало. После этого гоняйте антивирусом.

немного не так но решение помоему уже нашел

1. два независимых рейда 1 мать интел 5000 серии серверная точно не помню в машине в общем 16 ядер 8 гигов мозга и два рейда по 300 гигов на винтах по 10К

хотел деградировать(зеркало) их один пролечить второй форматнуть, но это как радикальная мера, к стати если был зеркальный рейд из него выпадает винт в работе или при ребуте , если на его место подсунуть такойже винт он его восстановит

2. Линух неможет допутя работать с НТФС правами и не может получить полный доступ к файлам в итоге поддается лечению около 30%

3. самый удобный на будующее метод, ставить вторую ось и консервировать ее для такого случая

4 на данный момент в виртуалке издеваюсь над образами винды, есть 2 почти положительных результата, боюсь усну работаю с 5 утра, такчто о результате доложу с утра

чото меня помоему или переклинило или пора идити спать, но

что если куреит запустить под вайном в линухе?

Болт. я уже пробывал.
пробывал запускать его с alkid'а - получил bsod. можно скачать обновления для nod v3,v4 и обновить вшитый в alkid.
можно еще попробывать clamav. но лично я ему не доверяю.

zen
кстати.. sality. по-моему он у меня был. один комп. проще было винду убить, потому что он заражал все шевелится. проверь любым liveCD сколько он процессов убил. больше чем уверен, что если ты и излечишь эту винду - то получишь зомби.
проще снести и заново поставить

спасибо конечно но все поборол,

итак

способ самый быстрый и актуальный
0 отрубаем все сетвухи или вытаскиваем патчкорды так надежнее
1 распаковываем и запускаем на зараженной машине из архива SALITY-CLEANER.zip rmsality.exe , чакаем все диски, он говорит что чтото еще сделает после рестарта, закрываем и не прегружаемся
2 распаковываем и запускаем из архива sality_off.rar sality_off.exe, чекаем винты , он просит нажать любую клавишу , не нажимаем!!!
3 запускаем свежий Cureit, с CD полная проверка всех винтов
4 возвращаемся к ДОС окну нажимаем эникей
5 ребут
6 после ребута надо ткнуть физически кнопку на клаве, такчто если у вас сервак подключайте к нему моник и клаву
7 все, ну для контрольного хедшота тестим винты куреитом и ставим интивирь.

Откуда информация? Не первый год под linux, и не раз восстанавливал файлы. Ну может и не восстанавливал он когда-то NTFS ACL, но что-бы не мог получить доступ к файлам... не было такого.

PS: за актуальный how-to по проблеме - спасибо.

в Cureit , из под DrWeb Live CD
does not exist file - в строке напротив инфицированного файла, тутже захожу файловым менеджером , файл есть!

Простите, файловый менеджер(в котором все есть) вы запускаете из-под того-же Linux? Тогда проблему надо искать в приложении, а не в системе Linux или драйверах nfts-3g.

Искали по базе знаний или на форуме Dr.Web? Пробовали послать им багрепорт?