3 Голосов
Newbie
Отправлено 06 Декабрь 2014 - 03:41
Был обнаружены, 5 угроз накануне, думаю ложные. Как мне объяснили это были проблемы с реестром (скриншот прилагаю). После обновления LiveCD и повторной проверке всё нормально. Угроз не обнаружено.
28112014011.jpg 183,33К
6 Скачано раз
Терпение - это прекрасно!
Ковальски
Отправлено 06 Декабрь 2014 - 04:03
Да, значит фолсы ушли.
Смотрящий
Отправлено 08 Декабрь 2014 - 13:52
спасибо за фидбекБыл обнаружены, 5 угроз накануне, думаю ложные. Как мне объяснили это были проблемы с реестром (скриншот прилагаю). После обновления LiveCD и повторной проверке всё нормально. Угроз не обнаружено.
Massive Poster
Отправлено 24 Декабрь 2014 - 10:03
Massive Poster
Отправлено 24 Декабрь 2014 - 22:47
logs20141224.7z 47,73К
0 Скачано раз
Massive Poster
Отправлено 25 Декабрь 2014 - 10:52
logs20141225.7z 49,44К
1 Скачано раз
Newbie
Отправлено 11 Январь 2015 - 19:17
Здравствуйте. Сегодня снова скачал "свежачок" (LiveDisk Dr.Web) и запустил на XP:
Не пойму что именно не нравится CureIt!-у. Да, комп. не в домене, и поэтому вот так
Как понять это: "probably infected with DRH:PoliciesChanger.corrupted" ?
Сообщение было изменено itrich: 11 Январь 2015 - 19:19
Newbie
Отправлено 11 Январь 2015 - 19:32
Закрыл firefox и теперь предыдущее сообщение не отредактировать..
Добавление.
LiveDisk Dr. Web от сегодняшнего числа "посчитал", что ключ AUOptions со значением 5 (5 = Automatic Updates is required, but end users can configure it.) - это инфекция и в результате "лечения" удалил его. Никто не знает почему?
Смотрящий
Отправлено 11 Январь 2015 - 20:29
Смотрящий
Отправлено 21 Январь 2015 - 14:22
Ковальски
Отправлено 22 Январь 2015 - 11:26
на апдейтах обновка. теперь при лечении DRH в реестре, в карантин складывается экспорт реестра в виде *.reg файла. чтобы при необходимости откатить. нужно проверить, то ли вообще бекапится. на правильный ли диск карантинится. ну и формат самого файла, легален ли для regedit.
Пока не очень.
Карантинит хорошо, на локальном карантине объект появляется с нужным вердиктом.
png.png 97,1К
2 Скачано раз
Но при восстановлении вставляет путь в реестре:
png2.png 98,21К
1 Скачано раз
В итоге, что ожидаемо, ошибка:
png3.png 113,8К
1 Скачано раз
Но даже когда файл восстанавливаем на диск, но он создается без расширения .reg.
reg4.PNG 32,72К
1 Скачано раз
По содержимому все хорошо, откат изменений проводит корректно. С regedit совместим.
На что баги заводить?
Newbie
Отправлено 08 Февраль 2015 - 15:51
Здравствуйте. Сегодня снова скачал "свежачок" (LiveDisk Dr.Web) и запустил на ноут-е с Windows 7
Суть проблемы вот в чём:
Вначале было так. Виндовс смонтировалась mnt/disk/sda1
# df -h Файл.система Размер Использовано Дост Использовано% Cмонтировано в aufs 2,4G 45M 2,3G 2% / udev 2,4G 12K 2,4G 1% /dev tmpfs 474M 708K 473M 1% /run /dev/sr0 592M 592M 0 100% /cdrom /dev/loop0 8,7M 8,7M 0 100% /rofs tmpfs 2,4G 4,0K 2,4G 1% /tmp none 5,0M 0 5,0M 0% /run/lock none 2,4G 0 2,4G 0% /run/shm /dev/sda1 100M 25M 76M 25% /mnt/disk/sda1 /dev/sda2 40G 32G 8,9G 78% /mnt/disk/sda2 # ls -al /mnt/disk/sda2 итого 108 drwxrwxrwx 1 root root 49152 февр. 8 10:07 . drwxr-xr-x 4 root root 80 февр. 8 2015 .. lrwxrwxrwx 2 root root 60 июля 14 2009 Documents and Settings -> /mnt/disk/sda2/Users drwxrwxrwx 1 root root 0 марта 9 2013 MSOCache drwxrwxrwx 1 root root 0 июля 14 2009 PerfLogs drwxrwxrwx 1 root root 4096 окт. 21 17:49 ProgramData drwxrwxrwx 1 root root 8192 авг. 23 13:39 Program Files drwxrwxrwx 1 root root 8192 окт. 21 18:11 Program Files (x86) drwxrwxrwx 1 root root 48 февр. 8 12:17 SampleFile drwxrwxrwx 1 root root 4096 февр. 8 10:07 Users drwxrwxrwx 1 root root 28672 авг. 23 11:44 Windows # ls -al /mnt/disk/sda2/SampleFile итого 48 drwxrwxrwx 1 root root 48 февр. 8 12:17 . drwxrwxrwx 1 root root 49152 февр. 8 10:07 ..
Потом я решил создать файл в каталоге /mnt/disk/sda2/SampleFile
# echo -n `date '+%Y/%m/%d'` > /mnt/disk/sda2/SampleFile/_desktop.ini
И файл так и создался:
root@drweb:/# ls -al /mnt/disk/sda2/SampleFile итого 49 drwxrwxrwx 1 root root 160 февр. 8 12:25 . drwxrwxrwx 1 root root 49152 февр. 8 10:07 .. -rwxrwxrwx 1 root root 10 февр. 8 12:25 _desktop.ini root@drweb:/# cat /mnt/disk/sda2/SampleFile/_desktop.ini 2015/02/08root@drweb:/#
И я решил проверить его на вирусы с помощью CureIT!, запускаемого с LiveDisk Dr.Web:
Using C:\drweb\drweb32.key as Dr.Web (R) Key file This Dr.Web (R) Key is for 1 computer (A User) OPTION [Automatic Apply Actions] NO OPTION [Turn Off Computer After Scan] NO OPTION [Use Sound Alerts] NO Using language: "Russian (Русский)" ----------------------------------------------------------------------------- Start scanning ----------------------------------------------------------------------------- Command line used:-rpcep:\pipe\Dr.Web -rpcpr:np Object(s) to scan: - E:\SampleFile E:\SampleFile\_desktop.ini - infected with Win32.HLLW.Gavir.ini E:\SampleFile\_desktop.ini - infected Total 10 bytes in 1 file scanned There are no clean objects detected Total 1 file are infected Scan time is 00:00:00.029
Проблема заключается в том, что у меня ноутбук от фирмы Lenovo. А у фирма Lenovo есть стандартный комплекс утилит, объединённых в Lenovo Solution Center: http://support.lenovo.com/ru/ru/documents/pd022501
Так вот, Lenovo Solution Center использует файлы _desktop.ini с содержимым в виде даты, как и сделал я выше, в примере. Хуже всего то, что я заведомо не знаю расположение этих файлов, как и не знаю их смысла. Но и не нахожу в них чего-то такого опасного, чтобы их надо было непременно лечить. А LiveDisk Dr.Web постоянно пытается такие файлы вылечить или удалить.
Нельзя ли как-нибудь подправить LiveDisk Dr.Web, чтобы он не "лечил" файлы с одной лишь датой?
Newbie
Отправлено 08 Февраль 2015 - 16:31
Вот только что DrWeb отписались:
Ваш запрос был проанализирован. Для присланного Вами файла указана категория "Ложное срабатывание", но на данный момент файл сканером Dr.Web не определяется как угроза.
Возможно, ложное срабатывание уже было исправлено специалистами ООО "Доктор Веб", или Вы указали неверную категорию.
Если Вы уверены, что данный файл представляет угрозу, пожалуйста, воспользуйтесь формой отправки повторно и укажите наиболее подходящую категорию запроса.
Спасибо за сотрудничество.
To reсeive notifications in English, send a blank email to lang@rt-web.dev.drweb.com
--
С уважением,
Служба вирусного мониторинга ООО "Доктор Веб"
Категория: FALSE ALARM
-------------------Запрос--------------------------------------
Hello,
User sent us a suspicious file.
User ip: xxx.xxx.xxxx.xxxx
User agent: Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:34.0) Gecko/20100101 Firefox/34.0
User comment: Файл, созданный вот таким способом:
echo -n `date '+%Y/%m/%d'` > ./_desktop.ini
Определяется как
_desktop.ini - infected with Win32.HLLW.Gavir.ini
Обновился ещё раз... Всё равно срабатывает и пишет Win32.HLLW.Gavir.ini
Значит, проблема в LiveDisk, да?
Massive Poster
Отправлено 08 Февраль 2015 - 17:36
Newbie
Отправлено 08 Февраль 2015 - 18:05
Значит ли это, что владельцам ноутбуков Lenovo категорически противопоказано совмещение стандартных утилит тестирования от Lenovo и лечащей утилиты CureIt! ? Вот в чём вопрос. К тому же, мне показался очень странным ответ DrWeb "на данный момент файл сканером Dr.Web не определяется как угроза". Это, типа, "а то, что там происходит в CureIt! никого не волнует", или как?
Keep yourself alive
Отправлено 08 Февраль 2015 - 19:33
itrich, CureIt - это и есть сканер.
Newbie
Отправлено 08 Февраль 2015 - 20:17
_desktop.ini - это могут быть ещё и ошмётки какого-то трояна/вируса. По содержимому тоже вроде похожи.
По содержимому он больше похож на текстовый файл, содержащий дату. Но тут что-то и где-то переклинило и просто CureIt!, и обёрнутый вайном CureIt! просто "убеждены", что файло:
echo -n `date '+%Y/%m/%d'` > ./_desktop.ini
инфицирован. Чем? Датой?
CureIt - это и есть сканер
Это интересная мысль. Тогда неплохо было бы узнать каким сканером или CureIt-ом тестят в лаборатории, что у них "угрозы нет", а если я скачаю LiveDisk Dr.Web, то угроза есть?
Ковальски
Отправлено 08 Февраль 2015 - 20:51
Прикрепите здесь один такой файл.
Смотрящий
Отправлено 09 Февраль 2015 - 14:54
это известный детект. такие файла оставлял от себя Gavir. и просили такой мусор тоже удалять.Прикрепите здесь один такой файл.
Community Forum Software by IP.Board
Владелец лицензии: Doctor Web, Ltd.
