24 ответов в этой теме

[JohnyDeath]

Начинал здесь: http://forum.drweb.com/index.php?showtopic=280792

Кратко содержание:

На сервер DrWeb приходят сообщения об ошибки чтения файла ztowqa.dll в системной папке виндовс файл-сервера (Win2003 R2 SP2).

Попытался вручную запустить сканер на этом сервере. Поимел вылет.

Сделал логи.

1)HJ ругнулся 2 раза при старте.

2)RKU также показал сообщение. 

3)GMER при начале работы не смог найти какую-то папку (я так понял системную не там искал)

Логи и скрины в прикрепленном архиве.

[userr]

JohnyDeath
http://news.drweb.com/show/?i=204&c=5&p=5 - заплатки все стоят на всех машинах в сети?

[JohnyDeath]

К сожалению, нет, не на всех.

Просто руками устанавливать эти три обновления на все компы локалки оч. трудоемко (тем более надо по три раза перезагружаться). Может есть какой-нить msi-пакет для развертывания через групповые политики? ВСУСом пользоваться не могу, т.к. домен не имеет выхода в интернет.

А нельзя вычищать его поочереди на каждой машине?

[Borka]

(тем более надо по три раза перезагружаться).

Не надо. Одного раза достаточно после накатывания всех трех.

А нельзя вычищать его поочереди на каждой машине?

Можно и нужно. Но после очистки сразу нужно накатывать патчи.

[JohnyDeath]

Плюс ко всему удаление этого вируса происходит как-то очень трудоемко. Даже если я сейчас на зараженную машину установлю DrWeb, то не факт, что с первого скана я его удалю. На одной из машин я вычищаю его уже 2 или 3 раз, т.е. потратил часа 2-3 на обновление+скан (и это быть может не предел). Т.о. для того, чтобы обновить и вычистить все компы в средней локальной сети из 20-30 компов может потребоваться около 3 недель!!

Плохо, конечно, что установленный на зараженную машину DrWeb не решает всех проблем, а как мне кажется должен... Или я ошибаюсь?

[JohnyDeath]

 

А нельзя вычищать его поочереди на каждой машине?

Можно и нужно. Но после очистки сразу нужно накатывать патчи.

А сначала накатить патчи, а потом вычищать можно?

Возможно ли не отключаться от локальной сети при этих процедурах?

[Borka]

Плюс ко всему удаление этого вируса происходит как-то очень трудоемко. Даже если я сейчас на зараженную машину установлю DrWeb, то не факт, что с первого скана я его удалю. На одной из машин я вычищаю его уже 2 или 3 раз, т.е. потратил часа 2-3 на обновление+скан (и это быть может не предел). Т.о. для того, чтобы обновить и вычистить все компы в средней локальной сети из 20-30 компов может потребоваться около 3 недель!!

1. На тех компах, которые "уже 2 или 3 раз", патчи стоЯт? Если нет - лечить будете бесконечно.
2. Удаление Конфикера вручную занимает минут десять-пятнадцать.
3. Если Вы делаете "Полную" проверку системы, то это незачем. Достаточно стартовой и "Быстрой". И еще одной после перезагрузки. И 20-30 компов - это, извините, мелочь.

Плохо, конечно, что установленный на зараженную машину DrWeb не решает всех проблем, а как мне кажется должен... Или я ошибаюсь?

Какие проблемы не решает Доктор?

[John]

 

А нельзя вычищать его поочереди на каждой машине?

Можно и нужно. Но после очистки сразу нужно накатывать патчи.

А сначала накатить патчи, а потом вычищать можно?

Возможно ли не отключаться от локальной сети при этих процедурах?

Сначала патчи, потом все остальное. Иначе так и будете по 3 часа тратить.

[Borka]

 

А нельзя вычищать его поочереди на каждой машине?

Можно и нужно. Но после очистки сразу нужно накатывать патчи.

А сначала накатить патчи, а потом вычищать можно?
Возможно ли не отключаться от локальной сети при этих процедурах?

Вообще говоря, я совмещал процедуру лечения с накатыванием патчей. Одно другому не мешает. От локалки можно и не отключаться, но тогда, возможно, придется дважды сканить. Если загрузиться в безопасном режиме без сети, то сканируется только раз.

[JohnyDeath]

 

2. Удаление Конфикера вручную занимает минут десять-пятнадцать.

Это как? Можно поподробнее?

Плохо, конечно, что установленный на зараженную машину DrWeb не решает всех проблем, а как мне кажется должен... Или я ошибаюсь?

Какие проблемы не решает Доктор?

Мне думалось, что Доктор сам должен вычистить и излечить всё после его установки на машину и разового прохода сканером в обычном (не безопасном) режиме.

[JohnyDeath]

И ещё вопрос.

В данный момент у нас куплен пакет ES 10+1. Потом появились ещё 10 компов, которые были включены в локалку. Сегодня дозаказали ещё Доктора на оставшиеся станции. СтОит ли мне рвать ж..пу, пока идёт вся бюрократия и ко мне не пришли ключики на все компы локалки?

Т.е. я хочу сегодня/завтра/послезавтра вычестить все компы установкой патчей и сканом CureIt. Заморачиваться, как вы думаете? Или лучше подождать?

[SergM]

 Мне думалось, что Доктор сам должен вычистить и излечить всё после его установки на машину и разового прохода сканером в обычном (не безопасном) режиме.

Нормальный подход! И патчи еще от MS установить. Доктор и так его очень даже нормально лечит самостоятельно, другое дело, что он снова по сети лезет, и это уже не задача Доктора закрывать дыры в ОС. У меня в локалке Доктор с ним на раз справляется, т.е. не пускает в систему при неустановленных патчах и лечит зараженную машину при уже установленных патчах вполне корректно. Никто не жаловался.

[Borka]

 

2. Удаление Конфикера вручную занимает минут десять-пятнадцать.

Это как? Можно поподробнее?

1. Загрузиться в сейфе.
2. Дать команду DIR /AH %WINDIR%\system32\, файл *.dll с произвольным именем - это и есть наш суслик.
3. В Проводнике правый пальцем по этому файлу - "Безопасность", дать себе разрешения на полный доступ и убить файл.
4. Зачистить реестр:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - СПРАВА в ключе netsvcs убить службы с дивными именами (например, sjyfndjs).
Найти HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sjyfndjs, опять же дать себе права и грохнуть весь ключ. Возможно, это будет не одна такая запись.

Плохо, конечно, что установленный на зараженную машину DrWeb не решает всех проблем, а как мне кажется должен... Или я ошибаюсь?

Какие проблемы не решает Доктор?

Мне думалось, что Доктор сам должен вычистить и излечить всё после его установки на машину и разового прохода сканером в обычном (не безопасном) режиме.

Конфикер дроппается назад после удаления файла сканером. Поэтому после скана в нормальном режиме нужен второй скан после ребута. Вирус не активный, просто чтобы убить файл окончательно.

ЗЫЖ У меня была модификация Конфикера (ака Шедоу) - Авторанер.5555

[Borka]

Никто не жаловался.

Это пока спайдера не запаузили...

[JohnyDeath]

Borka, спасибо. Будем пробовать. 

[SergM]

Никто не жаловался.

Это пока спайдера не запаузили...

Это верно, но мы не про буратинов...

[Borka]

Будем пробовать. 

Отпишитесь про результаты.

[JohnyDeath]

Обязательно отпишусь. Только вы мне подскажите один важный момент.

У меня есть небольшая сеть, где сейчас скорее всего заражены все компы.

Я подхожу к первому компу, захожу в безопасном режиме, ставлю патчи, вычищаю его полностью и снова загружаюсь в обычном режиме, входя в локальную "зараженную" сеть и в домен. Далее проделываю теже манипуляции с остальными компами по очереди. 

Такой вариант подойдёт, как думаете? Т.е. не заразиться ли вылеченный комп снова при введении его обратно в сеть, где гуляет Win32.hllw.shadow.based?

Да, и ещё. Как бы сервер почистить даже и не знаю пока он падает от сканера: http://forum.drweb.com/index.php?showtopic=280792 (( По вашему личному опыту, как думаете, сколько времени может занять у разработчиков эта доделка?

[Borka]

Такой вариант подойдёт, как думаете? Т.е. не заразиться ли вылеченный комп снова при введении его обратно в сеть, где гуляет Win32.hllw.shadow.based?

Только такой вариант и пройдет. Пропатченный комп заразиться заново не должен. ИМХО, пропаченный может заразиться только в том случае, если стоИт какая-то самосборка оси - там уже заранее все пропатчено и перепатчено.

[Shu_B]

Пропатченный комп заразиться заново не должен.

Забываем про пароль администратора...