83 ответов в этой теме

[Porshevchik]

Начало в первой части, которую закрыли.

Прикрепленные файлы:

•  dwscanner(5476).log   24,18К   12 Скачано раз

[VVS]

Лог ни о чём.

 

Нужен отчёт DrWeb и подробное описание того, что и в какое время Вы делали.

Если этого не будет в Вашем следующем сообщении, то и эта тема будет закрыта, а к Вам приняты соответствующие меры.
Модератор.         

Сообщение было изменено VVS: 16 Май 2013 - 17:50

[pig]

По-моему, надо просто архив в вирлаб отправить. Типа "Запрос на лечение", и в комментариях написать, что происходит. Что-то там есть неопределяемое, похоже.

[VVS]

По-моему, надо просто архив в вирлаб отправить. Типа "Запрос на лечение", и в комментариях написать, что происходит. Что-то там есть неопределяемое, похоже.

Или в личку тебе или мне, а мы уж разберёмся дальше.

[Borka]

Начало в первой части, которую закрыли.

Давайте так:
1. Верните hosts в первозданный вид.
2. Положите архив в корень диска.
3. Откройте архиватором и запустите суслика.
4. Лог спайдера приложите сюда.

[Porshevchik]

Видео самого процесса заражения и бездействия антивируса, допускающего изменение файла. Заражённый архив уже скачен. Делал вчера. Проверка в изменении HOSTS уже включена.

изображение после проверки.

Логи... интресно где их взять. Если следовать, как описано тут http://forum.drweb.com/index.php?showannouncement=1&f=2 , то нету логов. Если кому-то не жалко немного времени, то могу позволить через TeamViewer самостоятельно найти эти логи.

VVS

Posted 15 May 2013 - 21:56

Porshevchik, on 15 May 2013 - 22:47, said:

Извлечение из архива? но запуск файла производился прямо в архиве, в момент запуска произошла разархивация

Для того, чтобы быть запущенным из архива, файл из него сперва извлекается.
В этот момент он будет проверен.

Quote

но сам вирус не был пойман.

Такое невозможно.

 

Смотрим видео, и ваше "невозможно чтоб антивирус позволил запуститься вирус" , остаётся с вами.

Сообщение было изменено Porshevchik: 17 Май 2013 - 12:45

[VVS]

Логи... интресно где их взять.

Создать отчёт DrWeb и приложить его сюда.
 

Смотрим видео, и ваше "невозможно чтоб антивирус позволил запуститься вирус" , остаётся с вами.

 

Ещё раз повторяю - при штатных настройках антивируса файл с вирусом не запускается.
Поймите, я с Вами не спорю, я Вам просто пишу то, что есть.

В следующем сообщении жду от Вас отчёт DrWeb, в противном случае тема будет закрыта.
Архив с вирусом пришлите, пожалуйста, мне в личные сообщения.
Модератор.

[mrbelyash]

ID и пароль

[DoC]

ИМХО - троллинг и незнание элементарных правил пользования софтом, в частности - антивирусной программой. Нежелание и неумение читать инструкции, справки и т.п.

Изначально сменены настройки и теперь вопли о пропускании. При дефолтовых настройках заражения НЕ ПРОИЗОЙДЕТ никак - защита не пропустит. А если накрутить - так и вообще все может пропускать - кривые руки они и в Африке кривые.

[VVS]

ID и пароль

Ы?

[mrbelyash]

 

ID и пароль

Ы?

 

 

Бога за бороду схватили? Унижаете и хамите пользователям? Пошли путем одного из админов?.Ну-ну.

[DoC]

 

ID и пароль

Ы?

 

ну выше обещан ведь тимвьювер

[HHH]

Видео самого процесса заражения и бездействия антивируса, допускающего изменение файла.

Нужно смотреть внимательно на этот архив. По картинке можно только сказать, что антивирус знает не все компоненты этого архива. А именно - script.bin значет, а вот его пускатель - .exe антивирусу неизвестен. Поэтому и происходит заражение, ИМХО.

 

Вероятно можно излечить отправкой архива сюда - https://vms.drweb.com/sendvirus/

[SergM]

Porshevchik, В общем Беляш готов удаленно посмотреть ситуацию. Скиньте ему в личку данные для удаленного подключения.

[VVS]

 

 

ID и пароль

Ы?

 

ну выше обещан ведь тимвьювер

 

Я бы предпочёл сам архив.

[Borka]

Porshevchik , можно получить этот архив в ЛС?

[DoC]

 

Видео самого процесса заражения и бездействия антивируса, допускающего изменение файла.

Нужно смотреть внимательно на этот архив. По картинке можно только сказать, что антивирус знает не все компоненты этого архива. А именно - script.bin значет, а вот его пускатель - .exe антивирусу неизвестен. Поэтому и происходит заражение, ИМХО.

 

Вероятно можно излечить отправкой архива сюда - https://vms.drweb.com/sendvirus/

 

 

Вопрос не в известности - вопрос в том, КАК пролезают изменения в hosts. Если превентивка активна - то - Не верю! (с)

Или же hosts перемещен в реестре

[VVS]

 

Видео самого процесса заражения и бездействия антивируса, допускающего изменение файла.

Нужно смотреть внимательно на этот архив. По картинке можно только сказать, что антивирус знает не все компоненты этого архива. А именно - script.bin значет, а вот его пускатель - .exe антивирусу неизвестен. Поэтому и происходит заражение, ИМХО.

Нет.

script.bin знает, значит он будет удалён.

Более похоже на самораспаковывающийся архив с запуском батника при распаковке.

В общем нужен отчёт и очень желателен сам архив.

Сообщение было изменено VVS: 17 Май 2013 - 13:19

[Porshevchik]

http://rghost.ru/46058400

и
http://rghost.ru/46058432

[DoC]

Если еще время примерное скажете - цены Вам не будет.

Сообщение было изменено DoC: 17 Май 2013 - 13:22