Malex
Отправлял. Молчат...
Номер тикета из вирлаба какой?
Отправлено 10 Январь 2009 - 19:46
Malex
Отправлял. Молчат...
Личный сайт по Энкодерам - http://vmartyanov.ru/
Отправлено 10 Январь 2009 - 19:54
Malex
Отправлял. Молчат...
Номер тикета из вирлаба какой?
Отправлено 10 Январь 2009 - 19:57
Malex
Отправлял. Молчат...
Номер тикета из вирлаба какой?
я же сказал что искать см. #752997
Личный сайт по Энкодерам - http://vmartyanov.ru/
Отправлено 10 Январь 2009 - 21:38
10-01-2009 20:04:25 [PS] (PID = 1848) C:\WINDOWS\system32\csrcs.exe\encratep\compilation\o2Eff.au3.tbl - инфицирован Win32.HLLW.Autoruner.based10-01-2009 20:04:25 [PS] (PID = 1848) C:\WINDOWS\system32\csrcs.exe - архив инфицирован10-01-2009 20:04:25 [PS] (PID = 1848) C:\WINDOWS\system32\csrcs.exe - доступ к файлу запрещен10-01-2009 20:06:14 [BG] (PID = 1660) C:\WINDOWS\system32\csrcs.exe\encratep\compilation\o2Eff.au3.tbl - инфицирован Win32.HLLW.Autoruner.based10-01-2009 20:06:14 [BG] (PID = 1660) C:\WINDOWS\system32\csrcs.exe - архив инфицирован10-01-2009 20:12:40 [BG] (PID = 1660) C:\WINDOWS\system32\csrcs.exe - перемещен как 'C:\Program Files\DrWeb\infected.!!!\csrcs.exe.320A1743'
Отправлено 10 Январь 2009 - 21:46
Что-то я не очень понял: вообще говоря, подготовка к сканированию предшествует проверке памяти...Удивило, что в обычном режиме при проверке процессов в памяти сканером вирус не обнаруживался - csrcs.exe успешно прочитывался и сканер тестировал память дальше. Вирус обнаруживался на следующем этапе при Подготовке к сканированию, когда DrWeb читал файлы с диска (процесс сканирования ещё н запущен).
Отправлено 10 Январь 2009 - 21:52
Запускаем Dr.Web.Что-то я не очень понял: вообще говоря, подготовка к сканированию предшествует проверке памяти...Удивило, что в обычном режиме при проверке процессов в памяти сканером вирус не обнаруживался - csrcs.exe успешно прочитывался и сканер тестировал память дальше. Вирус обнаруживался на следующем этапе при Подготовке к сканированию, когда DrWeb читал файлы с диска (процесс сканирования ещё н запущен).
Отправлено 10 Январь 2009 - 21:58
Ясно. Я так понимаю, что для этих вирусов детекта в памяти не делают. Ну а на диске они находятся, естественно.Запускаем Dr.Web.
1) Подготовка к сканированию
2) Процессы в памяти
3) Вычитыванием файлов с жёсткого диска (очевидно связанных с запущенными процессами).
Я имел в виду 3 пункт
Отправлено 10 Январь 2009 - 23:09
Вирус остаётся в памяти и успешно себя штампует на съёмные носители? А если он грамотный то и себя восстановитЯсно. Я так понимаю, что для этих вирусов детекта в памяти не делают. Ну а на диске они находятся, естественно.Запускаем Dr.Web.
1) Подготовка к сканированию
2) Процессы в памяти
3) Вычитыванием файлов с жёсткого диска (очевидно связанных с запущенными процессами).
Я имел в виду 3 пункт
Отправлено 10 Январь 2009 - 23:11
Вот как раз для таких грамотных детект в памяти и предусмотрен.Вирус остаётся в памяти и успешно себя штампует на съёмные носители? А если он грамотный то и себя восстановитЯсно. Я так понимаю, что для этих вирусов детекта в памяти не делают. Ну а на диске они находятся, естественно.Запускаем Dr.Web.
1) Подготовка к сканированию
2) Процессы в памяти
3) Вычитыванием файлов с жёсткого диска (очевидно связанных с запущенными процессами).
Я имел в виду 3 пункт
Отправлено 10 Январь 2009 - 23:16
В понедельник потестируюВот как раз для таких грамотных детект в памяти и предусмотрен.
Отправлено 11 Январь 2009 - 00:59
есть две проверки процессов. первая это непосредственно проверка памяти процесса, всех валидных страниц специальными вирусными сигнатурами (для особо сложных или безтелесных вирусов). и есть проверка файлов запущенных процессов и модулей. в любом случае вирусный процесс на диске должен найтись и при лечении файла он должен убить активный процес в памяти.Вирус остаётся в памяти и успешно себя штампует на съёмные носители? А если он грамотный то и себя восстановитЯсно. Я так понимаю, что для этих вирусов детекта в памяти не делают. Ну а на диске они находятся, естественно.Запускаем Dr.Web.
1) Подготовка к сканированию
2) Процессы в памяти
3) Вычитыванием файлов с жёсткого диска (очевидно связанных с запущенными процессами).
Я имел в виду 3 пункт
Отправлено 11 Январь 2009 - 10:37
Отправлено 11 Январь 2009 - 11:59
О чудо! Последнее обновление баз и.... Сегодня почти всё определилось! И вычистилось!
Ведь могут когда захотят!
Отправлено 11 Январь 2009 - 13:55
Отправлено 11 Январь 2009 - 14:40
Это скорей всего файл нулевого размера в корне дисков , созданный вирусом и оставшийся после чистки. У меня такое было когда то с AutoIt-омА khr что такое - вредоносное? В текстах темы не нашёл упоминания.
Отправлено 11 Январь 2009 - 15:34
Отправлено 05 Февраль 2009 - 14:55
Отправлено 05 Февраль 2009 - 15:07
А когда в ES будет пятая версия?
Просто как-то жалко покупать заведомо старую=( И если купить сейчас ES с 4.44,то когда выйдет 5ая нужна будет новая лицензия?
Отправлено 05 Февраль 2009 - 22:33
А когда в ES будет пятая версия?
Просто как-то жалко покупать заведомо старую=( И если купить сейчас ES с 4.44,то когда выйдет 5ая нужна будет новая лицензия?
0 пользователей, 1 гостей, 0 скрытых