78 ответов в этой теме

[pig]

дававать в открытую ссылки на вирусы запрещено. пользуйтесь PM. следующий раз будет предупреждение.

Передупреждать надо

Незнание закона не освобождает от ответственности ©
Сие вообще-то уголовная статья.

[userr]

После зарожения троян ... удаляет все программы только из Run, ну соответственно после перезагрузки антивирус отключон.

вирус отключил нормально установленный 5.0? Теоретически всё возможно, на практике - поверю только с логами, как уже писал. Пока никаких доказательств не было.
Возможен, конечно, случай, когда не в меру шустрый юзер сам отключил защиту через капчу.

Не, никто ниче не отключал, это 100%, троян не отключил напрямую веба, он просто удалил его из автозагрузки из Run и после перезагрузки все и понеслось. ... Причем что 5-я версия, что 4.44, ведут себя однотипно с этим трояном, сначала попустят, потом не запускаються автоматом.

Продолжаю не верить. Логов с машины с 5.0 как не было, так и нет, а вирус с форума убрали (и правильно сделали).

[zbugz]

zbugz, тут идея в чём. Есть так называемый дроппер - хвостик вируса, основная задача которого всеми мыслимыми и немыслимыми способами восстанавливать вирус, который ты присылал и который успешно ловится и удаляется дрвеб-ом. Это дроппер надёжно сидит где-то в системе и дрвеб его пока ещё не знает. Задача - узнать дроппер, вычислить его, деактировать, упаковать, отправить разработчикам на анализ, указав в комментариях, всё что ты о нём знаешь.

Касперски в данном случае знает и вирус и дроппер и, если ты им лечил систему, после которой всё вновь работало без проблем, то полезным будет покопаться в отчётах касперского и выснить, что же он всё-таки сделал, какие он дополнительные файлы нашёл\удалил и т.д. Те файлы, которые будут отсутствовать в списке отправленных тобой скорей всего и будут дропперами, но это уже задача вирусных аналитиков определить, что из них что

Ето знаю, я поэтому перед тем как поймать вирус, поставил все перемещать в карантин и он переместил все, что было и каперский вроде все тоже самое поймал, к сожалению его логи я не смотрел, смотрел тока на всплывающие окна с оповещениями о бойне
Ну а если это вирус запустить, он дропер не создаст разве ?

[zbugz]

дававать в открытую ссылки на вирусы запрещено. пользуйтесь PM. следующий раз будет предупреждение.

Передупреждать надо

Незнание закона не освобождает от ответственности ©
Сие вообще-то уголовная статья.

[zbugz]

Продолжаю не верить. Логов с машины с 5.0 как не было, так и нет, а вирус с форума убрали (и правильно сделали).

Вот ссылка на кусок лога, че там не верить ?
Если не веришь, запусти его, поверишь сразу же

[zbugz]

Ну в любом случае, я все что смог собрать собрал, ссылку в приват отослал, так что ждем отчета от программистов

[userr]

Продолжаю не верить. Логов с машины с 5.0 как не было, так и нет, а вирус с форума убрали (и правильно сделали).

Вот ссылка на кусок лога, че там не верить ?
Если не веришь, запусти его, поверишь сразу же

по ссылке написано

Стояла бетта 5 и с каждым обновлением все больше тормозило комп. Потом в синий экран падать начал, странички открывает долго из за сканирования и т.д.
Короче снес его. Поставил 4.44, а он пишет:

ни одного слова что вирус якобы вынес 5.0 из автозагрузки. лог от 4.44 . Дурочку включили?

[zbugz]

Стояла бетта 5 и с каждым обновлением все больше тормозило комп. Потом в синий экран падать начал, странички открывает долго из за сканирования и т.д.
Короче снес его. Поставил 4.44, а он пишет:

ни одного слова что вирус якобы вынес 5.0 из автозагрузки. лог от 4.44 . Дурочку включили?

Какой же ты упрямый, ну не написал я там об этом тогда, забыл про это, я сейчас в этом посте пишу, что все что сейчас, то и было раньше и с 5-й бетой и 5 релизом и с 4.44. Что ж ты все читать не научишься, это раз. Во вторых проверь, раз не веришь, в чем проблема то ? Могу ссылку послать в ПМ, выключишь антивирус, зарозишь комп, перезагрузишься и пробуй, может чего найдешь чего я не заметил.

[SergM]

Стояла бетта 5 и с каждым обновлением все больше тормозило комп. Потом в синий экран падать начал, странички открывает долго из за сканирования и т.д.
Короче снес его. Поставил 4.44, а он пишет:

ни одного слова что вирус якобы вынес 5.0 из автозагрузки. лог от 4.44 . Дурочку включили?

Какой же ты упрямый, ну не написал я там об этом тогда, забыл про это, я сейчас в этом посте пишу, что все что сейчас, то и было раньше и с 5-й бетой и 5 релизом и с 4.44. Что ж ты все читать не научишься, это раз. Во вторых проверь, раз не веришь, в чем проблема то ? Могу ссылку послать в ПМ, выключишь антивирус, зарозишь комп, перезагрузишься и пробуй, может чего найдешь чего я не заметил.

Не надо ни на кого наезжать. Вам ответили правильно. Очень сомнительно, что пятёрка дала себя вынести. Поставьте, плиз, её снова, включите логирование и покажите лог, где видно, что её вынесли из системы. Это будтет куда как полезнее и продуктивнее.

[userr]

Какой же ты упрямый, ну не написал я там об этом тогда, забыл про это, я сейчас в этом посте пишу, что все что сейчас, то и было раньше и с 5-й бетой и 5 релизом и с 4.44. Что ж ты все читать не научишься, это раз.

Ну почему же. Всё, что Вы написали, я прочёл очень внимательно. Ни одного лога с 5.0 не было. Я сразу сказал - покажите логи. Пустым словам верить не обязан.

[zbugz]

Не надо ни на кого наезжать. Вам ответили правильно. Очень сомнительно, что пятёрка дала себя вынести. Поставьте, плиз, её снова, включите логирование и покажите лог, где видно, что её вынесли из системы. Это будтет куда как полезнее и продуктивнее.

Ну уж если мне не верите что 4.44, 5-ю бету и 5-ку финал вынесло из автозагрузки, то закачайте себе трояна и проверьте

[zbugz]

Какой же ты упрямый, ну не написал я там об этом тогда, забыл про это, я сейчас в этом посте пишу, что все что сейчас, то и было раньше и с 5-й бетой и 5 релизом и с 4.44. Что ж ты все читать не научишься, это раз.

Ну почему же. Всё, что Вы написали, я прочёл очень внимательно. Ни одного лога с 5.0 не было. Я сразу сказал - покажите логи. Пустым словам верить не обязан.

Ну весь лог я не стал выкладывать, только кусок, потому что он у меня 10 мегов, мне лень было его выкладывать, мне важно было что бы сам троян был удален, поэтому информацию тока по нему и дал.

Тем более это происходила на двух разных машинах, в разных районах Москвы даже

А последний лог с 4.44 я выложил вместе с троянами в архиве, просто кому то лень было смотреть DrWeb был запущен принудительно после перезагрузки с настройками для блокировки доступа, а не удаления или лечения.

Поэтому кладу сюда, лентяи

[Borka]

Поэтому кладу сюда, лентяи

Ну уж - "лентяи". Разработчиков здесь нет, разработчики фтрекере.
Насчет лога - да, неизвестный дроппер:
28-12-2008 13:42:03 [CL] (PID = 0004) C:\WINDOWS\system32\winhelp32.exe - упакован PECOMPACT
28-12-2008 13:42:03 [CL] (PID = 0004) C:\WINDOWS\system32\winhelp32.exe - инфицирован Trojan.Firestarter
28-12-2008 13:42:03 [CL] (PID = 0004) C:\WINDOWS\system32\winhelp32.exe - перемещен как 'C:\Program Files\DrWeb\infected.!!!\winhelp32.exe.24711F57'
...
28-12-2008 13:43:05 [CL] (PID = 0004) C:\WINDOWS\system32\winhelp32.exe - упакован PECOMPACT
28-12-2008 13:43:05 [CL] (PID = 0004) C:\WINDOWS\system32\winhelp32.exe - инфицирован Trojan.Firestarter
28-12-2008 13:43:05 [CL] (PID = 0004) C:\WINDOWS\system32\winhelp32.exe - перемещен как 'C:\Program Files\DrWeb\infected.!!!\winhelp32.exe.1367A360'
PID = 0004 - это система. Либо драйвер дроппает экзешник, либо впингвинивается по сети.

[mrbelyash]

Ну уж если мне не верите что 4.44, 5-ю бету и 5-ку финал вынесло из автозагрузки, то закачайте себе трояна и проверьте

Можно мне в личку вашего трояна?
Не забудьте пароль на архив-virus
Или ссылку

[zbugz]

Ну уж - "лентяи".

Разработчиков здесь нет, разработчики фтрекере.

Я Konstantin'у Yudin'у отослал в приват ссылку на архив, надеюсь он в трэкер пошлет Borka, если что, на тебя последняя надежда

PID = 0004 - это система. Либо драйвер дроппает экзешник, либо впингвинивается по сети.

Одн комп в домене, другой не в сети, тока в инете, я тоже его из инета ловил, а не из сети... Залазил куда то, он орать начианл ну и понеслась после перезагрузки...

[zbugz]

Ну уж если мне не верите что 4.44, 5-ю бету и 5-ку финал вынесло из автозагрузки, то закачайте себе трояна и проверьте

Можно мне в личку вашего трояна?
Не забудьте пароль на архив-virus
Или ссылку

Без проблем, скинул ссылку, така пароль: 123, я щас перезалить не могу, троян на работе, а ссылка дома, может еще одно мнение появиться

[userr]

А последний лог с 4.44 я выложил вместе с троянами в архиве, просто кому то лень было смотреть DrWeb был запущен принудительно после перезагрузки с настройками для блокировки доступа, а не удаления или лечения.
Поэтому кладу сюда, лентяи

Всё, надоело. Лог 4.44 никакого отношения не имеет к разговору про якобы вынос 5.0 из автозагрузки. Вы болтун.

[zbugz]

Всё, надоело. Лог 4.44 никакого отношения не имеет к разговору про якобы вынос 5.0 из автозагрузки. Вы болтун.

Ну 5-ю версию я снес к сожалению раньше на первой машине, поверь, тоже самое было Так что не будем про болтунов http://forum.drweb.com/public/style_emoticons/default/wink.png

Причем я совневаюсь что в 5-й версии что то кординально изменилось в защите от выгрузки. Ну в любом случае, ждем мнения разработчиков, я думаю Борис и Константин напишут чем закончилось все после отсылки трояна в багтрекер

[Pavel Plotnikov]

Всё, надоело. Лог 4.44 никакого отношения не имеет к разговору про якобы вынос 5.0 из автозагрузки. Вы болтун.

Ну 5-ю версию я снес к сожалению раньше на первой машине, поверь, тоже самое было Так что не будем про болтунов http://forum.drweb.com/public/style_emoticons/default/wink.png

Причем я совневаюсь что в 5-й версии что то кординально изменилось в защите от выгрузки. Ну в любом случае, ждем мнения разработчиков, я думаю Борис и Константин напишут чем закончилось все после отсылки трояна в багтрекер

Не пойму, как 5 версия не смогла установиться, если вы её снесли?
И зачем троян в трекер?

[Borka]

Я Konstantin'у Yudin'у отослал в приват ссылку на архив, надеюсь он в трэкер пошлет Borka, если что, на тебя последняя надежда

Ну дык объяснили же Вам, что ЭТИ файлы бесполезно отсылать что фтрекер, что в Вирлаб - они ловятся. Гораздо больше интересен тот драйвер, который эти файлы садил в систему. Вот если бы он был - тогда другой разговор, можно проверять. А так...

Одн комп в домене, другой не в сети, тока в инете, я тоже его из инета ловил, а не из сети... Залазил куда то, он орать начианл ну и понеслась после перезагрузки...

А вот ЭТОЙ части лога спайдера не сохранилось?