21 ответов в этой теме

[techdir]

"Дошли руки" до плановой ручной проверки... Компьютер исправен и работает. Жалоб со стороны пользователя нет. Пока только один компьютер... Быстрая проверка - обнаружено 8 вирусов, все в профиле пользователя, все ехе-шники... трояны, рекламное ПО и "toolbar`ы, лечение.., а там, где невозможность лечения - удаление, обязательная перезагрузка (по требованию Dr.Web). Дело знакомое, перезагружаемся, и всё... Система не работает. Даже не доходит до приветствия OS... В безопасном режиме тоже самое, чёрный экран. Вот это да!

1. как могли появиться вири (в виде явных исполняемых файлов) во временной папке пользователя при постоянно работающем мониторинге (и гуард, и гейт, и майл)

2. даже если и появились, то почему такой эффект от лечения?

3. в техподдержку обращаться? тикетов создал уже достаточно, либо бесконечная переписка, с просьбой предоставить очередной отчёт, либо молчание.

4. за деньги купленный продукт, а покупатель - бесплатный тестер ПО Dr.Web.

[maxic]

VVS, это был отчет, если что

[VVS]

1. как могли появиться вири (в виде явных исполняемых файлов) во временной папке пользователя при постоянно работающем мониторинге (и гуард, и гейт, и майл)

IMHO так:

Если на момент скачки виря сам его файл был залочен системой так, что спайдер не смог его удалить, то он (спайдер) заблокирует его запуск.

После такого неактивная тушка останется лежать на диске, пока до неё не доберётся сканер.

2. даже если и появились, то почему такой эффект от лечения?

Не уверен, что это связано именно с лечением.

VVS, это был отчет, если что

Мдя, а я-то думал, что отчёт - это такой файл.

[VVS]

techdir, а как по шагам сейчас выглядит процесс загрузки?

[techdir]

Юмористы вы я посмотрю, посмеяться я и сам уважаю.

 

а как по шагам сейчас выглядит процесс загрузки?

 

Позже отпишусь, пока данные выгружаю   Вот перенесу всё, а там поиграемся

[usverg]

techdir, после подобного рода развлечений (правда с нодом) при подозрениях на рабочую заразу сразу использую сканер с загрузочного диска (ибо руткиты такие руткиты ).

[techdir]

после подобного рода развлечений (правда с нодом) при подозрениях на рабочую заразу сразу использую сканер с загрузочного диска (ибо руткиты такие руткиты  ).

Нодом перестал пользоваться лет 10 назад, пропускает, не умеет лечить, иногда тестирую его... пропускает, современных шифровальщиков совсем не видит. А вот сканер с загрузочного диска - это хорошо, это правильно, но при этом нужен физический доступ к компьютеру не на один час... А если компов, ну скажем 20 или 200, или ещё больше? Да ещё в разных концах города или в разных городах?

[usverg]

А что делать... дрвеб у меня однажды все инсталляции адоб ридера 9го снёс из-за ложного срабатывания... Ну при таких объёмах - канал толщиной в руку, тонкие клиенты и полная виртуализация... упроверяться можно, пока на клиенте прошивку не грохнут.

[techdir]

Не совсем понял, о чём речь, если о виртуальных машинах, то Dr.Web в этом случае совсем "ОТДЫХАЕТ". До сих пор агента kerio vpn client блокирует, пока не добавишь в исключения, причём добавлять надо в spider mail. А если при установленном и запущенном брандмауре Вы обнаружите, что Ваши машины в VirtualBox не работают, то ответ техподдержки - брандмауер персональный!

[techdir]

Перепробовал всё, сколько позволяют знания и опыт, систему так и не удалось поднять. Словесно утверждую, что виноват Dr.Web, доказательств нет.

[usverg]

techdir, нет я про нормальные виртуалки Xen/VMWare - там можно использовать схему с приостановкой машины и сканированием её образа - живой диск не нужен.

[techdir]

usverg, ага, понял, хорошо, что используете VM, а вообще, все производители антивирусов рекомендуют запускать сканер, монитор он только ОУ сканит, чтение-запись, а проверка по требованию, это скажем так-запоздалое решение, это моё мнение

[usverg]

Ну панацеи нет. Особенно, если вспомнить что-нибудь CodeRed.

[maxic]

techdir, не забудьте, у нас еще есть фоновое сканирование на руткиты с минимальным приоритетом, в каком-то смысле это заменяет быстрое сканирование - имхо.

[usverg]

maxic, жаль только определение использования приложением "подозрительного" набора функций не очень работает. К примеру, если приложение слинковано одновременно с функциями для перехвата буфера обмена и снятия снимков экрана, то монитор срабатывает на кейлогер; а если те же функции подключаются динамически через указатели - то срабатывания нет.

[VVS]

Перепробовал всё, сколько позволяют знания и опыт, систему так и не удалось поднять.

А System Restore?

Словесно утверждую, что виноват Dr.Web, доказательств нет.

Опишите всё-таки, что происходит при загрузке по шагам.
Про вину DrWeb сомневаюсь хотя бы по той причине, что за много лет описанного Вами симптома не встречал.

[usverg]

Кстати, а возвращаясь к "чёрным экранам" после сканирования, может стоит прикрутить к бэкапу в Security Space ещё и создание аварийного загрузочного образа системы и проверки проверки статуса загрузки базовой ОС - по типу "не получилось загрузиться - ребут - попытка восстановления из образа"?

[usverg]

описанного Вами симптома не встречал

видел я такое - правда с одним условием - нтфс была повреждена руткитом, спасло ntfsfix+chkdsk со стороннего носителя и повторное сканирование.

[VVS]

При повреждении NTFS тоже такое встречал, только там никаких руткитов не было.

[usverg]

При повреждении NTFS тоже такое встречал, только там никаких руткитов не было.

Деталей не упомню, но зараза своё тело писала в альтернативные потоки данных и, видимо, что-то при лечении пошло "не так".