[phpBB Debug] PHP Warning: in file [ROOT]/includes/session.php on line 547: include_once(./includes/auth/auth_ldap.php): failed to open stream: No such file or directory
[phpBB Debug] PHP Warning: in file [ROOT]/includes/session.php on line 547: include_once(): Failed opening './includes/auth/auth_ldap.php' for inclusion (include_path='.:/usr/share/php')
Просмотр темы - sector.17 (sality nat) как убить заразу


Начать новую темуОтветить Страница 1 из 2   [ Сообщений: 12 ]
На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: sector.17 (sality nat) как убить заразу
СообщениеДобавлено: 23 дек 2009, 20:59 
Аватар пользователя

Зарегистрирован: 20 мар 2009, 20:20
Сообщений: 236
Откуда: Rossosh
вчера позвали помочьв очень делиаптном деле:

при обновлении отчетности занесли на сервер sector.17 (sality nat), он покрошил все ехе и полез гулять оп сети, на рабочих станциях его локализовали и убили, по сети он не ходит, но вот сервер:

W2k3 SP2
два рейда в зеркале (4 винта)

как пролечить ? DrWebLiveCD невидит рейды(даже если и увиделбы как показали тесты за последние 2 суток неможе все вылечить), Сureit лечит но локализовать вирус не может.

зы пока прихожу к выводу установки чистой винды на доп раздел и попытки пролечить из под нее, если у кого есть практика борьбы именно на рейдах помогите


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: sector.17 (sality nat) как убить заразу
СообщениеДобавлено: 23 дек 2009, 22:31 
support
Аватар пользователя

Зарегистрирован: 06 фев 2009, 22:49
Сообщений: 537
Для начала отсоедените все винты и сохраните побитовый образ каждого из них в безопасное место. После этого можете издеваться над ними как хотите.

DrWebLiveCD есть ни что иное, как LiveCD Gentoo Linux с предустановленным ПО от Др.Веб. Посему вам можно найти драйвера для своего раида под Linux, пересобрать LiveCD с этими драйверами и уже использовать его.

Можно по другому попробовать вывернуться. Насколько я понял, раид был 0+1?

Попробуйте два винта, составляющих единый страйп подсоеденить к раиду, драйвер которого есть в вашем LiveCD. Например это размазанные на матерях раиды, которые только и понимают, что страйп и зеркало. После этого гоняйте антивирусом.

_________________
С Уважением, Кондрашов Игорь.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: sector.17 (sality nat) как убить заразу
СообщениеДобавлено: 23 дек 2009, 22:55 
Аватар пользователя

Зарегистрирован: 20 мар 2009, 20:20
Сообщений: 236
Откуда: Rossosh
немного не так но решение помоему уже нашел

1. два независимых рейда 1 мать интел 5000 серии серверная точно не помню в машине в общем 16 ядер 8 гигов мозга и два рейда по 300 гигов на винтах по 10К

хотел деградировать(зеркало) их один пролечить второй форматнуть, но это как радикальная мера, к стати если был зеркальный рейд из него выпадает винт в работе или при ребуте , если на его место подсунуть такойже винт он его восстановит

2. Линух неможет допутя работать с НТФС правами и не может получить полный доступ к файлам в итоге поддается лечению около 30%

3. самый удобный на будующее метод, ставить вторую ось и консервировать ее для такого случая

4 на данный момент в виртуалке издеваюсь над образами винды, есть 2 почти положительных результата, боюсь усну работаю с 5 утра, такчто о результате доложу с утра


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: sector.17 (sality nat) как убить заразу
СообщениеДобавлено: 23 дек 2009, 23:04 
Аватар пользователя

Зарегистрирован: 20 мар 2009, 20:20
Сообщений: 236
Откуда: Rossosh
чото меня помоему или переклинило или пора идити спать, но

что если куреит запустить под вайном в линухе?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: sector.17 (sality nat) как убить заразу
СообщениеДобавлено: 23 дек 2009, 23:19 

Зарегистрирован: 17 мар 2009, 13:19
Сообщений: 35
zen писал(а):
чото меня помоему или переклинило или пора идити спать, но

что если куреит запустить под вайном в линухе?

Болт. я уже пробывал.
пробывал запускать его с alkid'а - получил bsod. можно скачать обновления для nod v3,v4 и обновить вшитый в alkid.
можно еще попробывать clamav. но лично я ему не доверяю.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: sector.17 (sality nat) как убить заразу
СообщениеДобавлено: 24 дек 2009, 00:05 

Зарегистрирован: 17 мар 2009, 13:19
Сообщений: 35
zen
кстати.. sality. по-моему он у меня был. один комп. проще было винду убить, потому что он заражал все шевелится. проверь любым liveCD сколько он процессов убил. больше чем уверен, что если ты и излечишь эту винду - то получишь зомби.
проще снести и заново поставить


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: sector.17 (sality nat) как убить заразу
СообщениеДобавлено: 24 дек 2009, 10:26 
Аватар пользователя

Зарегистрирован: 20 мар 2009, 20:20
Сообщений: 236
Откуда: Rossosh
leo писал(а):
zen
кстати.. sality. по-моему он у меня был. один комп. проще было винду убить, потому что он заражал все шевелится. проверь любым liveCD сколько он процессов убил. больше чем уверен, что если ты и излечишь эту винду - то получишь зомби.
проще снести и заново поставить

спасибо конечно но все поборол,

итак

способ самый быстрый и актуальный
0 отрубаем все сетвухи или вытаскиваем патчкорды так надежнее
1 распаковываем и запускаем на зараженной машине из архива SALITY-CLEANER.zip rmsality.exe , чакаем все диски, он говорит что чтото еще сделает после рестарта, закрываем и не прегружаемся
2 распаковываем и запускаем из архива sality_off.rar sality_off.exe, чекаем винты , он просит нажать любую клавишу , не нажимаем!!!
3 запускаем свежий Cureit, с CD полная проверка всех винтов
4 возвращаемся к ДОС окну нажимаем эникей
5 ребут
6 после ребута надо ткнуть физически кнопку на клаве, такчто если у вас сервак подключайте к нему моник и клаву
7 все, ну для контрольного хедшота тестим винты куреитом и ставим интивирь.


Вложения:
SALITY-CLEANER.part2.rar [199.73 KIB]
Скачиваний: 206
SALITY-CLEANER.part1.rar [250 KIB]
Скачиваний: 200
sality_off.rar [77.6 KIB]
Скачиваний: 192
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: sector.17 (sality nat) как убить заразу
СообщениеДобавлено: 24 дек 2009, 12:52 
support
Аватар пользователя

Зарегистрирован: 06 фев 2009, 22:49
Сообщений: 537
zen писал(а):
2. Линух неможет допутя работать с НТФС правами и не может получить полный доступ к файлам в итоге поддается лечению около 30%

Откуда информация? Не первый год под linux, и не раз восстанавливал файлы. Ну может и не восстанавливал он когда-то NTFS ACL, но что-бы не мог получить доступ к файлам... не было такого.

PS: за актуальный how-to по проблеме - спасибо.

_________________
С Уважением, Кондрашов Игорь.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: sector.17 (sality nat) как убить заразу
СообщениеДобавлено: 24 дек 2009, 13:42 
Аватар пользователя

Зарегистрирован: 20 мар 2009, 20:20
Сообщений: 236
Откуда: Rossosh
ikondrashov писал(а):
zen писал(а):
2. Линух неможет допутя работать с НТФС правами и не может получить полный доступ к файлам в итоге поддается лечению около 30%

Откуда информация? Не первый год под linux, и не раз восстанавливал файлы. Ну может и не восстанавливал он когда-то NTFS ACL, но что-бы не мог получить доступ к файлам... не было такого.

в Cureit , из под DrWeb Live CD
does not exist file - в строке напротив инфицированного файла, тутже захожу файловым менеджером , файл есть!


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: sector.17 (sality nat) как убить заразу
СообщениеДобавлено: 25 дек 2009, 00:34 
support
Аватар пользователя

Зарегистрирован: 06 фев 2009, 22:49
Сообщений: 537
zen писал(а):
в Cureit , из под DrWeb Live CD
does not exist file - в строке напротив инфицированного файла, тутже захожу файловым менеджером , файл есть!

Простите, файловый менеджер(в котором все есть) вы запускаете из-под того-же Linux? Тогда проблему надо искать в приложении, а не в системе Linux или драйверах nfts-3g.

Искали по базе знаний или на форуме Dr.Web? Пробовали послать им багрепорт?

_________________
С Уважением, Кондрашов Игорь.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую темуОтветить Страница 1 из 2   [ Сообщений: 12 ]
На страницу 1, 2  След.


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron


Rambler's Top100 Mail.ru
1ww