121 ответов в этой теме

[Fanat]

В целом описываю проблему.
Жили-жили были два компьютера в одной организации.
Один типа - сервер, второй - клиент. На обоих WinXP SP2 (ставил не я).
На первом стоит "Галактика", "КонсультантПлюс" и "Клиент-Банк".
Недели две назад тараканы живущие в компах жизни вообще не давали. НУ и попросили что-нибудь сделать. (по доброте душевной, совершенно бесплатно). Проверил сперва Cureit (было много всяких), и далее поставил демо DrWeb 5.0 на 30 дней. НАстроил, что бы если вирус, то пытается вылечить, если не выходит, то удаляет. Вроде как начали компы, даже работали неплохо.
НО.
пересказываю вкратце логи программ...
сегодня.
8.00 - Запуск антивирусы, тест баз - ок.
9.00 - запуск клиент-банка, отправка платежек в банк. Последняя платежка была отправлена в 10.05. Окно Клиент-БАнка просто было свернуто.
директор уехал, все раслабились, никто ничего вообще не делал.. сидели болтали..
10.30 приходит человек с КонсультантПлюс и обновляет базы. Последнее обновление в 10.39. Человек обновил и уехал.
11.01 бухгалтер разворачивает окно клиент-банка и тут. лог из dr.web своими словами:
11.01.10 - c:\bank\data\client.mdb - возможно Вирус, скрипт
11.01.50 - c:\bank\data\client.mdb - действие - удален.

Скажите как такое могло произойти и возможно ли как-нибудь восстановить этот файл... это вся база с размером 300 мб. резервная копия только за декабрь прошлого года.

Сообщение было изменено Fanat: 20 Август 2009 - 20:05

[Malex]

В целом описываю проблему.
Жили-жили были два компьютера в одной организации.
Один типа - сервер, второй - клиент. На обоих WinXP SP2 (ставил не я).
На первом стоит "Галактика", "КонсультантПлюс" и "Клиент-Банк".
Недели две назад тараканы живущие в компах жизни вообще не давали. НУ и попросили что-нибудь сделать. (по доброте душевной, совершенно бесплатно). Проверил сперва Cureit (было много всяких), и далее поставил демо DrWeb 5.0 на 30 дней. НАстроил, что бы если вирус, то пытается вылечить, если выходит, то удаляет. Вроде как начали компы, даже работали неплохо.
НО.
пересказываю вкратце логи программ...
сегодня.
8.00 - Запуск антивирусы, тест баз - ок.
9.00 - запуск клиент-банка, отправка платежек в банк. Последняя платежка была отправлена в 10.05. Окно Клиент-БАнка просто было свернуто.
директор уехал, все раслабились, никто ничего вообще не делал.. сидели болтали..
10.30 приходит человек с КонсультантПлюс и обновляет базы. Последнее обновление в 10.39. Человек обновил и уехал.
11.01 бухгалтер разворачивает окно клиент-банка и тут. лог из dr.web своими словами:
11.01.10 - c:\bank\data\client.mdb - возможно Вирус, скрипт
11.01.50 - c:\bank\data\client.mdb - действие - удален.

Скажите как такое могло произойти и возможно ли как-нибудь восстановить этот файл... это вся база с размером 300 мб. резервная копия только за декабрь прошлого года.

Восстановить из папки Infected в программной папке Доктора Веба.
Чтобы не повторилось - отправить по ссылке сверху Send Virus с пометкой ложное срабатывание.

P.S. Так как mdb большой, то для начала попробуйте его просто сжать - и ложное срабатывание может пройти. (открыть mdb через аксесс и выбрать соответствующие опции).
Иначе залить на какой-нибудь файловый хостинг и отправить через форму ссылку.

[Konstantin Yudin]

Восстановить из папки Infected в программной папке Доктора Веба.

не будет там ничего, действие выбрано удалить. причем настроено собственноручно такое действие для подозрительных. как говорится ссзб.

[Malex]

Восстановить из папки Infected в программной папке Доктора Веба.

не будет там ничего, действие выбрано удалить. причем настроено собственноручно такое действие для подозрительных. как говорится ссзб.

Пардон, спутал с переместить.
У меня просто все эти опасные действия именно на переместить настроены.

По сабжу. Похоже никак... Штатными средствами.

[Andrey_Kr]

Может лучше отключить script.virus вообще. Я видел десятки ложных срабатываний script.virus и не одного детекта по делу. Особенно он любит mdb файлы.

[Fanat]

Пробовал восстановить изи рековери.. он ничего не нашел.
Возникает вопрос, по какому принципу он удаляет файлы... может вообще восстановить уже нереально???

А восстановление системы поможет?

к счастью была включена данная опция... завтра попробую скажу.. просто побоялся это делать...

как говорится ссзб.

а можно расшифровку.. видимо что-то нехорошее...

[Fanat]

Может лучше отключить script.virus вообще. Я видел десятки ложных срабатываний script.virus и не одного детекта по делу. Особенно он любит mdb файлы.

как это сделать?

Только перед восстановлением отключите самозащиту у Доктора.

аха.. спасибо.. завтра к вечеру ждите отчет...

[Pavel Plotnikov]

как говорится ссзб.

а можно расшифровку.. видимо что-то нехорошее...

* Сам Себе Злобный Буратино (сокр. ССЗБ) — фразеологический жаргонизм, происходящий из компьютерной среды. Возник, по-видимому, в конце 1990-х в русском сегменте сети Фидонет, где получил широкое распространение. Возводится к фразе кота Базилио «Буратино, ты сам себе враг» в фильме.

[Fanat]

аха.. спасибо.. завтра к вечеру ждите отчет...

Теперь лучше за место действия "Удалить" поставьте действие "Переместить".

сделал.. вот тока поздно..

за БУратино спасибо...

[Пол Банки]

не надо подозрительные перемещать автоматом.
среди них могут быть явные фолсы, в общем, смотреть самому надо - "информировать"...

[Borka]

сделал.. вот тока поздно..

Ну никто не застрохован от ложняка. И не забудьте файл в вирлаб отправить(ссылка в подписи) с пометкой на "ложное срабатывание"

Это тот файл отправить, который удален?

[Borka]

не надо подозрительные перемещать автоматом.
среди них могут быть явные фолсы, в общем, смотреть самому надо - "информировать"...

Когда выставлено "Информировать", то активна кнопка "Удалить". Угадайте с трех раз, что выберет пользователь, получив такое сообщение?

[Malex]

не надо подозрительные перемещать автоматом.
среди них могут быть явные фолсы, в общем, смотреть самому надо - "информировать"...

Когда выставлено "Информировать", то активна кнопка "Удалить". Угадайте с трех раз, что выберет пользователь, получив такое сообщение?

Ммм...
1) Удалить?
2) Удалить?
3) или Удалить?

[Borka]

Восстановить из папки Infected в программной папке Доктора Веба.

не будет там ничего, действие выбрано удалить. причем настроено собственноручно такое действие для подозрительных. как говорится ссзб.

Дык эта... Юзер будет ССЗБ в любом случае. Лицензионное соглашение никто не читает - Доктор ни за что не отвечает. Это во-первых. А во-вторых, пользователь, однако, по умолчанию получит запрос при "Информировать" с активной кнопкой "Удалить". Сам же и удалит. Тоже ССЗБ? С одной стороны, от ложняков не застрахован никто, с другой - мало кто знает, ЧТО и КАК надо делать.

Можно составить опрос - какое действие вы выберите, если получите сообщение "probably infected with DLOADER.Trojan"...
В логе, например, будет:
20-08-2009 21:16:43 [CL] (PID = 0388) F:\zzzz\next5.#xe - packed by UPX
20-08-2009 21:16:43 [CL] (PID = 0388) F:\zzzz\next5.#xe - probably infected with DLOADER.Trojan
?

[Пол Банки]

не надо подозрительные перемещать автоматом.
среди них могут быть явные фолсы, в общем, смотреть самому надо - "информировать"...

Когда выставлено "Информировать", то активна кнопка "Удалить". Угадайте с трех раз, что выберет пользователь, получив такое сообщение?

возможно и удалить. а почему она должна быть активная?

[Borka]

не надо подозрительные перемещать автоматом.
среди них могут быть явные фолсы, в общем, смотреть самому надо - "информировать"...

Когда выставлено "Информировать", то активна кнопка "Удалить". Угадайте с трех раз, что выберет пользователь, получив такое сообщение?

Ммм...
1) Удалить?
2) Удалить?
3) или Удалить?

Скорее
1) Удалить?
2) Удалить...
3) Удалить!