44 ответов в этой теме

[userr]

sheff,
и ни одной строки лога. Да Вы поэт...

[ezzo]

не по

А как же рескан ака фоновое сканирование?

если х64, то там были проблема с нейтрализацией угрозы при рескане.

sheff,
А зачем нужно было заражать машину, если просто нужно было собрать логи? В правилах же нет такого пункта.

[Borka]

не по

А как же рескан ака фоновое сканирование?

если х64, то там были проблема с нейтрализацией угрозы при рескане.

Мы же не про баги говорим.

[sheff]

Дык это, у меня проблема не в том, чтобы вылечить отдельно взятую машину, а чтобы сделать так, чтобы при попадании машины вирус был деактивирован.
Короче, у меня сейчас ДВЕ машины, зараженные этим вирусом.
Ну пришлю я логи. Ну найдут дрвебовцы вирус. Ну убьют. Ну а дальше что?
Завтра он попадает вновь и дрвеб бессилен. Сканирование сканирует память и ничего не находит.

Я пытался заразить машину, заразил, и cureit все убил.
Смысл посылать логи какой?

Пользователь не обязан запускать полный скан системы, если в машину попал вирус, известный антивирусу.

[sheff]

Пользуясь случаем (забрал я таки к себе эти два компа, почистил заново) и выкладываю логи.
Итак, два компьютера в локальной сети, больше компов в локалке нет. Интернет.
Я их чищу, а через несколько дней заражается один, еще через день - другой.
Авторан с флешек отключен. Да и только один вирус из двух пользуется автораном.
hosts правильный. Подозрительных маршрутов нет. Прокси не прописана.
Откуда берется зараза - не понимаю.
 590A36319E1E43D_Пользователь_231011_154626.zip   1,24Мб   2 Скачано раз
 cureit-results.cab   185,31К   1 Скачано раз
 Report.txt   50,58К   1 Скачано раз

[mrbelyash]

Заплатки на ось....оно лазит по дырам

[sheff]

 1-1A6DD12A1B214_Садик_231011_154854.zip   2,02Мб   2 Скачано раз
 cureit-results.cab   142,8К   0 Скачано раз
 Report.txt   41,69К   2 Скачано раз
Ну и второй комп.

[sheff]

Дык, понятно... но... но разве не должен антивирус блокировать знакомый ему вирус, путь к которому прописан в реестре?
Т.е. включаю комп, грузится винда, грузятся вирусы. А антивирус делает проверку загружаемых компонент до или после таковой загрузки. Неужели не делает?

А разве, если вирус, попадая в компьютер через дырки в ПО, пишет на диск свой образ, чтобы потом подвязаться в реестр, не должен быть пойман дисковым монитором?

Вот что я хочу...

[mrbelyash]

Дык, понятно... но... но разве не должен антивирус блокировать знакомый ему вирус, путь к которому прописан в реестре?
Т.е. включаю комп, грузится винда, грузятся вирусы. А антивирус делает проверку загружаемых компонент до или после таковой загрузки. Неужели не делает?

А разве, если вирус, попадая в компьютер через дырки в ПО, пишет на диск свой образ, чтобы потом подвязаться в реестр, не должен быть пойман дисковым монитором?

Вот что я хочу...

Тут видишь ли как....Сеть ведь тоже не сразу подымается..как и антивирус.
А вот файловый монитор во избежании подтормаживания и не комфортности работы немного оптимизирован.
Можно попробывать режим-Параноидальный.

А бороться с дырами ос...на уровне самой же ос не благодарное дело. Здесь все же нужны заплатки.

[sheff]

Helpers, спасибо за помощь.
Но все же. Вы же в теме!
Подскажите, файловый монитор делает проверку файлов, которые грузит ОС? Всех файлов?
Пусть запоздалую, но все же делает? Или не делает?

Меня мучает вопрос, почему вирус удаляется при сканировании, но не удаляется просто при загрузке...

Как я полагал, при детектирования вируса должен НАПРИМЕР включаться "специальный алгоритм лечения", который плокирует вирус в памяти, открывает реестр, проверяет соответствующие файлы, удаляет их, правит реестр и инициирует перезагрузку.
Это я называю "антивирус дрвеб знает эту модель вируса и умеет с ним бороться"...

Может я не туда пишу? Есть ли здесь личный кабинет для официальных пользователей дрвеб? Могут ли разработчики сделать мной желаемое?

[mrbelyash]

Как я полагал, при детектирования вируса должен НАПРИМЕР включаться "специальный алгоритм лечения", который плокирует вирус в памяти, открывает реестр, проверяет соответствующие файлы, удаляет их, правит реестр и инициирует перезагрузку.

Вот-вот в 7 будет реализовано все это через антируткит
Все что написали-сейчас делается онли сканером с антируткитом на борту.
Вам бы лучше в суппорте спросить...мы менее всего владеем информацией и планами на будущее.

[sheff]

Есть еще один вариант помощи... если сотрудники "вирусной лаборатории" детектировали вирус, и включили его в базу, у меня есть шансы, что они знают, как попадают в компьютер два указанных названии темы вируса и могут подсказать, КАКУЮ ИМЕННО дырку стоит закрыть.

"закрыть все", это больше подходит для "защиты от непонятно кого".

[sheff]

Раз модератор так любит выполнение правил, решил приложить логи зараженного компьютера.

Ведь на нем тоже проявляется эта ситуация - когда от вируса избавляется только сканирование, инициированное пользователем, а сканирование, инициированное антивирусом при загрузке компьютера не может избавить пользователя от заразы.

Странно, что программисты не могут реализовать этот механизм, ведь антивирус УЖЕ УМЕЕТ бороться с вирусом. Он даже нейтрализует его каким то образом, чтобы дать пользователю спокойно перегрузиться.

Осталось сделать так, чтобы он автоматически запускал УЖЕ ИМЕЮЩИЙСЯ алгоритм при нахождении вируса.

Ну и по прежнему непонятно, почему антивирус не видит вирус в памяти, а файлы опознает. Сканер же пишет, что проверяет память. Так почему же он не пишет, что там что-то находит???

Да, а к чему это я все. Я логи принес...

В этом сообщении логи ДО ЗАРАЖЕНИЯ компьютера.

 cureit-results.cab   85,69К   0 Скачано раз
 Report.txt   33,79К   0 Скачано раз
 SIGMA-USER_Администратор_201011_175138.zip   604,49К   1 Скачано раз

[sheff]

Ну и после заражения:

 cureit-results.cab   93,01К   0 Скачано раз
 Report.txt   34,19К   0 Скачано раз
 SIGMA-USER_Администратор_231011_172111.zip   807,21К   1 Скачано раз

В принципе, от этих логов никакого проку, это мог быть голый комп с чистой виндой, думаю, результат был бы тем же.
По крайней мере это проявляется на трех компах.

[sheff]

Письма выше, это Модератору...

Helpers, не подскажете ли, есть ли у дрвеба база с описаниями вирусов, может вышеуказанные мною вирусы там уже расписаны и я смогу из описалова найти способ как они приползли...

[Aleksandra]

А что проблема еще не решена?

[Dmitry Shutov]

Письма выше, это Модератору...

Helpers, не подскажете ли, есть ли у дрвеба база с описаниями вирусов, может вышеуказанные мною вирусы там уже расписаны и я смогу из описалова найти способ как они приползли...

http://vms.drweb.com/virus/?i=752594

[sheff]

Александра, проблема не решена.

Неизвестно каким образом вирус приходит на два компьютера, а антивирус, несмотря на то, что знает эти вирусы в лицо, не может их удалить - в памяти вируса не видит, а по реестру загрузку почему то проверять в полном объеме не хочет. А мож еще почему...

[sheff]

Да, дрвеб не радует описаниями, у одного вируса нет наименования используемой уязвимости, а по второму вообще нет инфы...

[Aleksandra]

Удаленный доступ дадите?