На компьютер клиента - нет. На тестовый компьютер - без проблем, например через ammyy.
А смысл? Александра, Вы что-то знаете, у Вас есть подозрение на что-либо?
Поделитесь, я проверю.
Win32.HLLW.Autoruner.17766 и BackDoor.IRC.Bot.896
Автор
sheff
, окт 20 2011 11:12
44 ответов в этой теме
#42
Aleksandra
-
- Helpers
- 3 602 Сообщений:
VIP
Отправлено 24 Октябрь 2011 - 20:59
Не поняла... Хотите растравить зверей на чистый комп или что?На тестовый компьютер - без проблем, например через ammyy.
Смысл заключается в том, чтобы быстрее решить Вашу проблему.А смысл? Александра, Вы что-то знаете, у Вас есть подозрение на что-либо?
Мужчины мне ничего не должны, именно поэтому я легко их отпускаю.
#43
sheff
-
- Posters
- 23 Сообщений:
Newbie
Отправлено 25 Октябрь 2011 - 16:14
Александра, я очень Вам благодарен, что Вы пытаетесь решить мою проблему.
Я в принципе, ее уже несколько раз сформуоировал на первых двух страницах этой темы, но для порядка сформулирую еще раз.
Да, я "растравил зверей", логи выложил, все есть в этой теме.
Подробно:
Есть два вируса. Я не знаю как они попадают на компьютер, однако знаю, куда они селятся и успешно их вычищаю. Могу вычистить ручками, например, в реестре, загрузившись с какого-либо WInPE или тупо убив зараженные файлы (я уже наизусть знаю где они лежат). Также вирус прекрасно убивается полной проверкой компьютера и даже неполной проверкой тоже - когда я запустил cureit батничком для создания логов, он тоже с этим справился.
Короче, вирус убивается. Все прекрасно. Только вот есть одна проблемка.
У клиента вирус появляется снова и снова.
Это может быть человеческий фактор, например пользователь по незнанию кликает на флешке на папки-обманки (когда папка скрывается и вместо нее пишется экзешник вирус), или запускает авторан (непонятно зачем, но не исключаю, хотя сам авторан отключен) или на компе стоит троянское ПО, притягиваещее вирусы, но при этом, само ПО не детектируется ДрВеб. А может, что скорее всего, пользователь просто ходит в инете, куда ходить не надо, а мне не признается. (все врут (с) )
Разумеется, это все вылечить просто. "Папа, а что такое format c: complete" еще никто не отменял. Но, если честно, неправильно это. Ибо два переезда на новую винду - это один пожар.
Кроме этого, мне что, переставлять винду у всех клиентов, у кого аналогичная проблема появится?
Я вижу варианты решения совсем другие:
1. Команда вирусной лаборатории все же сделает с двумя вышеуказанными вирусами то, что сделало с остальными вирусами, а именно, сделает так, чтобы сканер, встроенный в дрвеб 7 и/или сканер встроенный в cureit определял бы в оперативной памяти вирус и деактивировал бы его. Я уж начал сомневаться, умеет ли это делать данный программный продукт в вирусами вообще. Оказывается, умеет, коллеги подтвердили, что лично видели, как сканер находил в оперативки тот или иной вирус и прибивал его.
2. Команда вирусной лаборатории все же опишет, какой уязвимостью пользуются данные вирусы, и посоветует патчик на то или иное ПО, уж не знаю, MS или не MS.
3. Ну и третий вариант. Как я понимаю, менее реалистичный. Команда программистов сделает алгоритм, который при нахождении хотя бы одного файла указанного вируса включает механизм лечения от него, а именно - чистка реестра, проверка определенных каталогов, блокировка вируса в памяти и перезагрузка. Такое я видел у другого игрока этого рынка (догадайтесь какого) при работе с другим вирусом, с этим не проверял. И причем, надо заметить, сам механизм борьбы с вирусом уже реализован в сканере, вот что обидно то. Когда вызванная вручную проверка сканером заканчивается, вирус в памяти уже неактивен. Т.е. он был детектирован и обезврежен или приостановлен.
Но вернемся к удаленному доступу.
У меня есть системник, я его заразил, логи выложил.
Убить вирус не проблема, пока логи создаются, он убивается
К этому системнику я готов дать доступ и круглосуточно с ним сидеть, если Вы поможете выпонить одно из трех предложений выше
Что касается компов, на которых вирус появляется, то на них работают люди и синхронизировать Вас с ними и со мной будет сложно.
Как вариант - дайте идею, что посмотреть, я посмотрю.
И самое главное зачем - чтобы выяснить, как именно попадает вирус на эти два компьютера? Ну поможем мы этим двум системникам, что дальше?
На все зараженные приходить через аммии?
Я в принципе, ее уже несколько раз сформуоировал на первых двух страницах этой темы, но для порядка сформулирую еще раз.
Да, я "растравил зверей", логи выложил, все есть в этой теме.
Подробно:
Есть два вируса. Я не знаю как они попадают на компьютер, однако знаю, куда они селятся и успешно их вычищаю. Могу вычистить ручками, например, в реестре, загрузившись с какого-либо WInPE или тупо убив зараженные файлы (я уже наизусть знаю где они лежат). Также вирус прекрасно убивается полной проверкой компьютера и даже неполной проверкой тоже - когда я запустил cureit батничком для создания логов, он тоже с этим справился.
Короче, вирус убивается. Все прекрасно. Только вот есть одна проблемка.
У клиента вирус появляется снова и снова.
Это может быть человеческий фактор, например пользователь по незнанию кликает на флешке на папки-обманки (когда папка скрывается и вместо нее пишется экзешник вирус), или запускает авторан (непонятно зачем, но не исключаю, хотя сам авторан отключен) или на компе стоит троянское ПО, притягиваещее вирусы, но при этом, само ПО не детектируется ДрВеб. А может, что скорее всего, пользователь просто ходит в инете, куда ходить не надо, а мне не признается. (все врут (с) )
Разумеется, это все вылечить просто. "Папа, а что такое format c: complete" еще никто не отменял. Но, если честно, неправильно это. Ибо два переезда на новую винду - это один пожар.
Кроме этого, мне что, переставлять винду у всех клиентов, у кого аналогичная проблема появится?
Я вижу варианты решения совсем другие:
1. Команда вирусной лаборатории все же сделает с двумя вышеуказанными вирусами то, что сделало с остальными вирусами, а именно, сделает так, чтобы сканер, встроенный в дрвеб 7 и/или сканер встроенный в cureit определял бы в оперативной памяти вирус и деактивировал бы его. Я уж начал сомневаться, умеет ли это делать данный программный продукт в вирусами вообще. Оказывается, умеет, коллеги подтвердили, что лично видели, как сканер находил в оперативки тот или иной вирус и прибивал его.
2. Команда вирусной лаборатории все же опишет, какой уязвимостью пользуются данные вирусы, и посоветует патчик на то или иное ПО, уж не знаю, MS или не MS.
3. Ну и третий вариант. Как я понимаю, менее реалистичный. Команда программистов сделает алгоритм, который при нахождении хотя бы одного файла указанного вируса включает механизм лечения от него, а именно - чистка реестра, проверка определенных каталогов, блокировка вируса в памяти и перезагрузка. Такое я видел у другого игрока этого рынка (догадайтесь какого) при работе с другим вирусом, с этим не проверял. И причем, надо заметить, сам механизм борьбы с вирусом уже реализован в сканере, вот что обидно то. Когда вызванная вручную проверка сканером заканчивается, вирус в памяти уже неактивен. Т.е. он был детектирован и обезврежен или приостановлен.
Но вернемся к удаленному доступу.
У меня есть системник, я его заразил, логи выложил.
Убить вирус не проблема, пока логи создаются, он убивается
К этому системнику я готов дать доступ и круглосуточно с ним сидеть, если Вы поможете выпонить одно из трех предложений выше
Что касается компов, на которых вирус появляется, то на них работают люди и синхронизировать Вас с ними и со мной будет сложно.
Как вариант - дайте идею, что посмотреть, я посмотрю.
И самое главное зачем - чтобы выяснить, как именно попадает вирус на эти два компьютера? Ну поможем мы этим двум системникам, что дальше?
На все зараженные приходить через аммии?
#44
Prorok’
-
- Posters
- 855 Сообщений:
Advanced Member
Отправлено 25 Октябрь 2011 - 16:23
Такая же ерунда на работе началась четыре дня назад. Вчера поверил компьютер 7-ой сканер нашел зараженные файлы данными вирусами и удалил их. сегодня решил снова проверить компьютер и опять сканер нашел те же вирусы и удалил их. После чего я снес 7-ю версию и поставил 6-ю сделал быструю проверку все оказалось чисто. После чего снес 6-ю версию и снова установил 7-ку. Посмотрю что завтра будет. логи предоставить не могу так как удалял 7-ю версию полностью.
<p><p>[b]Windows 10 Professiona x64; Intel core i5 2500k @3.30ghz 3.30ghz; Nvidia GeForce GTX 650 Ti 1024mb; HDD - 2TB; ОЗУ - 16Gb; Комплексная защита ПК - Dr.web security space 12.0x64.
#45
WinJ
-
- Posters
- 82 Сообщений:
Newbie
Отправлено 28 Октябрь 2011 - 22:01
Прошу прощения, что влезаю в чужую тему. Я вижу повторяющийся вопрос и отсутствие ответа на него.
sheff, смысл разбирательства именно с тем самым проблемным компьютером не в том, чтобы научиться удалять известные доктору вирусы. Проблема, вероятно, в другом.
Когда Вы заражаете этими известными вирусами другой комп, Вы не полностью моделируете ситуацию. К примеру, в проблемном компе может сидеть неизвестный антивирусам Downloader и подкачивать как известные вирусы, так и неизвестные, в том числе и сам может обновляться. Вы же не сможете перенести эту ситуацию на "тестовый" компьютер.
sheff, смысл разбирательства именно с тем самым проблемным компьютером не в том, чтобы научиться удалять известные доктору вирусы. Проблема, вероятно, в другом.
Когда Вы заражаете этими известными вирусами другой комп, Вы не полностью моделируете ситуацию. К примеру, в проблемном компе может сидеть неизвестный антивирусам Downloader и подкачивать как известные вирусы, так и неизвестные, в том числе и сам может обновляться. Вы же не сможете перенести эту ситуацию на "тестовый" компьютер.
Если бы лошади верили в Бога, их Бог был бы похож на лошадь. /Вольтер/
