59 ответов в этой теме

[v.martyanov]

Malex

Отправлял. Молчат...

Номер тикета из вирлаба какой?

[Eugeny Gladkih]

Malex

Отправлял. Молчат...

Номер тикета из вирлаба какой?

я же сказал что искать см. #752997

[v.martyanov]

Malex

Отправлял. Молчат...

Номер тикета из вирлаба какой?

я же сказал что искать см. #752997

Искать - дело трудное ;-)

[Malex]

Заразил одну из машин этим вирусом с установленным Dr.Web 5.0

Исходя из того, что Borka говорил, что AUTOIT не видится Спайдером (архивы по умолчанию не проверяются) вирус успешно инфицировал систему, создав в system32 файл csrcs.exe загружаемый строкой реестра "explorer.exe csrcs.exe".

Удивило, что в обычном режиме при проверке процессов в памяти сканером вирус не обнаруживался - csrcs.exe успешно прочитывался и сканер тестировал память дальше. Вирус обнаруживался на следующем этапе при Подготовке к сканированию, когда DrWeb читал файлы с диска (процесс сканирования ещё н запущен).

При установке в спайдере галочки тестировать архивы получил уведомление, что это может значительно замедлить машину, при этом не улучшив качеств детекта.
После перезагрузки в стастике гварда увидел один заблокированный объект, через пару минут гвард появился с диалоговым окошком с предложением что-то сделать с инфицированным архивом (удалить архив было нельзя - пришлось переместить).

10-01-2009 20:04:25 [PS] (PID = 1848)  C:\WINDOWS\system32\csrcs.exe\encratep\compilation\o2Eff.au3.tbl - инфицирован Win32.HLLW.Autoruner.based10-01-2009 20:04:25 [PS] (PID = 1848)  C:\WINDOWS\system32\csrcs.exe - архив инфицирован10-01-2009 20:04:25 [PS] (PID = 1848)  C:\WINDOWS\system32\csrcs.exe - доступ к файлу запрещен10-01-2009 20:06:14 [BG] (PID = 1660)  C:\WINDOWS\system32\csrcs.exe\encratep\compilation\o2Eff.au3.tbl - инфицирован Win32.HLLW.Autoruner.based10-01-2009 20:06:14 [BG] (PID = 1660)  C:\WINDOWS\system32\csrcs.exe - архив инфицирован10-01-2009 20:12:40 [BG] (PID = 1660)  C:\WINDOWS\system32\csrcs.exe - перемещен как 'C:\Program Files\DrWeb\infected.!!!\csrcs.exe.320A1743'

[Borka]

Удивило, что в обычном режиме при проверке процессов в памяти сканером вирус не обнаруживался - csrcs.exe успешно прочитывался и сканер тестировал память дальше. Вирус обнаруживался на следующем этапе при Подготовке к сканированию, когда DrWeb читал файлы с диска (процесс сканирования ещё н запущен).

Что-то я не очень понял: вообще говоря, подготовка к сканированию предшествует проверке памяти...

[Malex]

Удивило, что в обычном режиме при проверке процессов в памяти сканером вирус не обнаруживался - csrcs.exe успешно прочитывался и сканер тестировал память дальше. Вирус обнаруживался на следующем этапе при Подготовке к сканированию, когда DrWeb читал файлы с диска (процесс сканирования ещё н запущен).

Что-то я не очень понял: вообще говоря, подготовка к сканированию предшествует проверке памяти...

Запускаем Dr.Web.
1) Подготовка к сканированию
2) Процессы в памяти
3) Вычитыванием файлов с жёсткого диска (очевидно связанных с запущенными процессами).

Я имел в виду 3 пункт

Может я просто что-то не так называю

P.S. Версия 4.44 теперь успешно видит его как Win32.HLLW.Autoruner.5624

[Borka]

Запускаем Dr.Web.
1) Подготовка к сканированию
2) Процессы в памяти
3) Вычитыванием файлов с жёсткого диска (очевидно связанных с запущенными процессами).
Я имел в виду 3 пункт

Ясно. Я так понимаю, что для этих вирусов детекта в памяти не делают. Ну а на диске они находятся, естественно.

[Malex]

Запускаем Dr.Web.
1) Подготовка к сканированию
2) Процессы в памяти
3) Вычитыванием файлов с жёсткого диска (очевидно связанных с запущенными процессами).
Я имел в виду 3 пункт

Ясно. Я так понимаю, что для этих вирусов детекта в памяти не делают. Ну а на диске они находятся, естественно.

Вирус остаётся в памяти и успешно себя штампует на съёмные носители? А если он грамотный то и себя восстановит

[Borka]

Запускаем Dr.Web.
1) Подготовка к сканированию
2) Процессы в памяти
3) Вычитыванием файлов с жёсткого диска (очевидно связанных с запущенными процессами).
Я имел в виду 3 пункт

Ясно. Я так понимаю, что для этих вирусов детекта в памяти не делают. Ну а на диске они находятся, естественно.

Вирус остаётся в памяти и успешно себя штампует на съёмные носители? А если он грамотный то и себя восстановит

Вот как раз для таких грамотных детект в памяти и предусмотрен.

[Malex]

Вот как раз для таких грамотных детект в памяти и предусмотрен.

В понедельник потестирую

[Konstantin Yudin]

Запускаем Dr.Web.
1) Подготовка к сканированию
2) Процессы в памяти
3) Вычитыванием файлов с жёсткого диска (очевидно связанных с запущенными процессами).
Я имел в виду 3 пункт

Ясно. Я так понимаю, что для этих вирусов детекта в памяти не делают. Ну а на диске они находятся, естественно.

Вирус остаётся в памяти и успешно себя штампует на съёмные носители? А если он грамотный то и себя восстановит

есть две проверки процессов. первая это непосредственно проверка памяти процесса, всех валидных страниц специальными вирусными сигнатурами (для особо сложных или безтелесных вирусов). и есть проверка файлов запущенных процессов и модулей. в любом случае вирусный процесс на диске должен найтись и при лечении файла он должен убить активный процес в памяти.

[Ivan.86]

О чудо! Последнее обновление баз и.... Сегодня почти всё определилось! И вычистилось!
Ведь могут когда захотят!

[Eugeny Gladkih]

О чудо! Последнее обновление баз и.... Сегодня почти всё определилось! И вычистилось!
Ведь могут когда захотят!

что именно не определилось?

[Ivan.86]

архив *.sqx. и файл khr не подчистился

[pig]

SQX и не будет пока распознаваться, это обновление движка нужно, а оно теперь только в пятёрке и не сейчас. А khr что такое - вредоносное? В текстах темы не нашёл упоминания.

[Andrey_Kr]

А khr что такое - вредоносное? В текстах темы не нашёл упоминания.

Это скорей всего файл нулевого размера в корне дисков , созданный вирусом и оставшийся после чистки. У меня такое было когда то с AutoIt-ом

[Ivan.86]

Andrey_Kr

Да.

[yanepsih]

А когда в ES будет пятая версия?
Просто как-то жалко покупать заведомо старую=( И если купить сейчас ES с 4.44,то когда выйдет 5ая нужна будет новая лицензия?

[maxic]

А когда в ES будет пятая версия?
Просто как-то жалко покупать заведомо старую=( И если купить сейчас ES с 4.44,то когда выйдет 5ая нужна будет новая лицензия?

Евгений постоянно говорит, что скоро :-)

Лицензия будет работать. Разве что как для "домашников" различаются Dr.Web 5 Антивирус и Security Space, так и для ES будет скорее всего нечто аналогичное, соответственно переход с Антивируса - на Антивирус, с Антивирус+Антиспам - на "Enterprise Security Space" :-)
Не факт что будет в точности как написал, но здравый смысл подсказывает что примерно эдак.

А 4.44 вполне можно разворачивать, ибо для перехода на пятерку потребуется обновить только сервер (опять же ссылаюсь на Е.Гладких).

[Eugeny Gladkih]

А когда в ES будет пятая версия?
Просто как-то жалко покупать заведомо старую=( И если купить сейчас ES с 4.44,то когда выйдет 5ая нужна будет новая лицензия?

вопрос вобщем-то интересный. вроде ничего не меняли.