38 ответов в этой теме

[RomaNNN]

Читаю. Куча разговоров и никто не посоветовал человеку почистить систему сканером.

 

А причем тут сканер? Тема про превентивную защиту, как утверждает ТС, у него она не работает в режиме "Спрашивать" - все пишется без алертов.

[PUMP+]

 

Читаю. Куча разговоров и никто не посоветовал человеку почистить систему сканером.

 

А причем тут сканер? Тема про превентивную защиту, как утверждает ТС, у него она не работает в режиме "Спрашивать" - все пишется без алертов.

 

Вообще тема немного не про конкретно работу "Превентивной защиты", а про логировнание её результатов.

 

Конкретно с проблемой "спрашивать" разобрался - это настройка стояла у агента применительно к группе "everyone" -она почему-то распространилась не на все станции, а только на часть. 

И реагирует она на все области автозапуска, хотя в хелпе сказано только про реестр - желательно добавить в помощь более подробную информацию

 

 

Речь изначально шла о том, что:

1.При заражении неизвестным вирусом сработала эвристика, но заражение все же произошло

2.Самое главное, что события эвристики не протоколируются и не отражаются в консоли сервера.

3.При обновлении баз не происходит перескан работающих процессов - зараженная станция работает уже больше суток.

4.  События "проактивной защиты" не протоколируются и не отражаются в консоли сервера - а это первый сигнал, что на станции, что-то происходит

[VVS]

3.При обновлении баз не происходит перескан работающих процессов -

И не должно, в этой версии это реализовано несколько по другому.

зараженная станция работает уже больше суток.

А суслик точно есть в базе?

[PUMP+]

 

3.При обновлении баз не происходит перескан работающих процессов -

И не должно, в этой версии это реализовано несколько по другому.

зараженная станция работает уже больше суток.

А суслик точно есть в базе?

 

Точно - я писал выше

[VVS]

Модуль dwarkdaemon.exe загружен и работает?

[Konstantin Yudin]

>1.При заражении неизвестным вирусом сработала эвристика, но заражение все же произошло

 

потому что эта эвристика поведения. часть действий уже могла произойти

 

>2.Самое главное, что события эвристики не протоколируются и не отражаются в консоли сервера.

 

в этой версии поддержки таких событий нет. есть в эвентлоге и логах сервиса

 

>3.При обновлении баз не происходит перескан работающих процессов - зараженная станция работает уже больше суток.

 

и не должны. это пустая трата ресурсов. вот про сутки это глюк какой то, должно найтись гораздо быстрее. нужно по курить.

 

>4.  События "проактивной защиты" не протоколируются и не отражаются в консоли сервера - а это первый сигнал, что на станции, что-то происходит

 

в след. версиях

[PUMP+]

>1.При заражении неизвестным вирусом сработала эвристика, но заражение все же произошло

 

потому что эта эвристика поведения. часть действий уже могла произойти

 

>2.Самое главное, что события эвристики не протоколируются и не отражаются в консоли сервера.

 

в этой версии поддержки таких событий нет. есть в эвентлоге и логах сервиса

 

>3.При обновлении баз не происходит перескан работающих процессов - зараженная станция работает уже больше суток.

 

и не должны. это пустая трата ресурсов. вот про сутки это глюк какой то, должно найтись гораздо быстрее. нужно по курить.

 

>4.  События "проактивной защиты" не протоколируются и не отражаются в консоли сервера - а это первый сигнал, что на станции, что-то происходит

 

в след. версиях

 

Сделают в след версиях хорошо - в этом году ждать ?

 

по зараженной станции - говорите, что нужно - можете по темвьюверу подключиться

 

 

 

Прикрепленные файлы:

•  01.JPG   146,57К   0 Скачано раз
•  02.JPG   144,74К   0 Скачано раз

[Konstantin Yudin]

пока анализирую отчеты. на xp свой алгоритм фоновой проверки.

[PUMP+]

пока анализирую отчеты. на xp свой алгоритм фоновой проверки.

 "Заморозил" станцию, сделал с неё копию и перезапустил - эффекта 0 ! При старте ничего обнаружено не было - троянец так и сидит в системе. Запустил сканер на проверку памяти - ничего не обнаружено. Запустил проверку на руткиты в процессе вываливается ошибка:

 

Тип события: Ошибка

Источник события: Application Error

Категория события: (100)

Код события: 1000

Дата: 15.08.2014

Время: 11:11:23

Пользователь: Н/Д

Компьютер: WS2

Описание:

Ошибка приложения dwarkdaemon.exe, версия 9.1.1.7210, модуль dwarkapi.dll, версия 9.1.2.7290, адрес 0x0006cc20. 

 

Запустил полное сканирование - троянец был обнаружен и удален, после перезапуска исчез из системы

Прикрепленные файлы:

•  drw_scan.JPG   112,33К   0 Скачано раз

[Konstantin Yudin]

это уже объясняет кое что. дамп есть от dwarkdaemon?

[PUMP+]

это уже объясняет кое что. дамп есть от dwarkdaemon?

 

Как его снять ? Это ошибка легко воспроизводится.

 

Решил поэксперементировать - на станциях (не зараженных) по состоянию на 12.08.2014 сканер "рушится" на эвристике, после актуализации агента и т.д. ошибки прекращаются.

На зараженной станции после обновления  один раз даже  вылечилось после перезагрузки, но после этого на "как-бы вылеченной станции" сканер рушится в любом случае (на изначально не зараженной нет) и падает спайдер.

Прикрепленные файлы:

•  Virus_detect_now1.JPG   105,16К   0 Скачано раз
•  Virus_detect_now2.JPG   109,02К   0 Скачано раз
•  Virus_detect_now3.JPG   90,61К   0 Скачано раз

[Dmitry Volkov]

Зашлите мне в личку ссылку на архив с угрозой и пароль к архиву.

[PUMP+]

Зашлите мне в личку ссылку на архив с угрозой и пароль к архиву.

отослал AKT_SVERKI_12082014_59580504208048..zip

[RomaNNN]

это уже объясняет кое что. дамп есть от dwarkdaemon?

Как его снять ? Это ошибка легко воспроизводится.

 

1) Скачайте утилиту procdump:

 

 

Распакуйте и поместите ее на диск C: чтобы получилось так C:\procdump.exe

 

2) Воспроизведите падение. Не закрывайте окно об ошибке "Инструкция по адресу...".

 

3) Откройте cmd (запустите с правами администратра), введите следующую строчку:

 

C:\procdump.exe -ma dwarkdaemon.exe c:\dwarkdaemon.dmp

 

На диске C: будет файл dwarkdaemon.dmp. Его необходимо запаковать в архив с максимальным сжатием и выложить на файлообменник, например на rghost.ru. Ссылку сюда.

[PUMP+]

 

это уже объясняет кое что. дамп есть от dwarkdaemon?

Как его снять ? Это ошибка легко воспроизводится.

 

1) Скачайте утилиту procdump:

 

procdump.rar

 

Распакуйте и поместите ее на диск C: чтобы получилось так C:\procdump.exe

 

2) Воспроизведите падение. Не закрывайте окно об ошибке "Инструкция по адресу...".

 

3) Откройте cmd (запустите с правами администратра), введите следующую строчку:

 

C:\procdump.exe -ma dwarkdaemon.exe c:\dwarkdaemon.dmp

 

На диске C: будет файл dwarkdaemon.dmp. Его необходимо запаковать в архив с максимальным сжатием и выложить на файлообменник, например на rghost.ru. Ссылку сюда.

 

http://rghost.ru/57482918

[Konstantin Yudin]

похоже вы первый с фат32 диском. бажинка в парсере фат32. премного благодарен за дамп.

[Konstantin Yudin]

а чекдиск пробывали делать с лечением на этом диске. что то какие то данные космические. похоже на битый фат.

[PUMP+]

а чекдиск пробывали делать с лечением на этом диске. что то какие то данные космические. похоже на битый фат.

Сделал chksk c: /f - после перезагрузки диск проверился, сканер теперь не валится - перепроверил несколько раз, все ОК.

"Разморозил" зараженную станцию - сделал chksk c: /f, обновил до текущего состояния агента, базу, спайдера - постоянно "алерты" о попытке записаться в автозагрузку и предложение запустить эксплоер с правами админа. Запустил сканер - выбрал проверить память - ничего не нашлось.

Подождал несколько минут - перезагрузил станцию. Запустил сканер на поиск руткитов - нашел - вылечил.

Перезагрузил. Запустил сканер на поиск руткитов - ошибка, падение спайдера.

Сделал chksk c: /f, 

Перезагрузил. Запустил сканер на поиск руткитов - ошибка, падение спайдера.

 

"Разморозил" другую станцию, заразил (эвристика почему-то не сработала - раньше срабатывала), скачал последний CureIT - запустил проверку памяти - ничего (троянец в памяти - "инжектировался" предположительно в эксплорер).

Запустил проверку папки с трояном - детектит.

Конвертнул диск в NTFS, запустил CureIT в памяти не находит на диске находит.

Запустил DrWeb 5, в памяти не находит, на диске находит.

Освободил больше памяти на диске (могло тоже повлиять), обновил агента перезапустился - при старте троян обнаружился и прибился, сканер не падает.

 

 

Единственно, что мне приходит в голову, что в базе прописана сигнатура троянца, который производит "инъекцию" в работающий процесс.

Сигнатуры внедренного кода в базе нет. Вредоносный код в работающем процессе  живет до следующей перезагрузки и заново заражается основным троянцем из автозагрузки,

если основной прибить и перезагрузить, то комп можно считать вылеченным.

[Konstantin Yudin]

сигнатуры для памяти делаются индивидуально для конкретной малвари и по крайне необходимости. так что не удивительно в памяти ничего не находит.