Перейти к содержимому


Фото
- - - - -

Заражение Win32.Sector.30


  • Please log in to reply
10 ответов в этой теме

#1 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 461 Сообщений:

Отправлено 13 Март 2019 - 09:22

Здравствуйте!

Подскажите пожалуйста такую вещь. На днях антивирус (DrWeb ESS 11) выдал сообщение о том, что найден файл (exe-шник одной программы), зараженный Win32.Sector.30. Файл естественно был помещен в карантин (хотя физически он остался на месте, но заблокирован). Вопросов 2:

1. заражение сектором происходит уже не в первый раз, в предыдущий раз было конечно гораздо масштабнее, но удалось справиться - бэкапы рулят. Как можно себя обезопасить от заражений в будущем, ведь DrWeb вирус знает и вполне себе без проблем ловит?

2. как я писал выше, зараженный файл был определен антивирусом и заблокирован. Т. е. с ним ничего не получается сделать, ни удалить, ни переименовать... Каким образом можно его разблокировать, чтобы заменить на здоровый файл?



#2 pig

pig

    Бредогенератор

  • Helpers
  • 10 852 Сообщений:

Отправлено 13 Март 2019 - 10:25

Раз файл остался на месте - стало быть, был кем-то открыт (кто заразил?). А теперь его блокирует антивирус. После перезагрузки файл должен удалиться.
Невредно, кстати, в логах посмотреть, кто файл теребил, когда антивирус его задетектил. Это приблизит к ответу на первый вопрос.
Почтовый сервер Eserv тоже работает с Dr.Web

#3 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 13 Март 2019 - 11:14

Насколько я помню, exe-шники от сектора мы должны пролечивать до работоспособности. Логи скажут правду.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#4 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 461 Сообщений:

Отправлено 13 Март 2019 - 12:26

Тогда другой вопрос - на DrWeb ESS логи каким образом собрать? С локальной версией антивируса понятно, можно той же sysinfo прогнать, а тут как? В админке антивирусного сервера конечно есть несколько журналов, но то ли это? Или можно опять таки sysinfo запустить? Если да, то где - на рабочей станции, где агент ESS ругнулся на вирус, или же на сервере, где собственно зараженная программа установлена?



#5 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 461 Сообщений:

Отправлено 13 Март 2019 - 12:29

Насколько я помню, exe-шники от сектора мы должны пролечивать до работоспособности.

Ну я тоже вообще так думал, на прошлой работе была у нас прям эпидемия этого сектора, все exe-шники побил (а было их очень много, на сервере раздел с дистрибутивами разными был). Так доктор вылечил все без проблем, а было это ох как давно. Но вот на текущей работе когда сектор в прошлый раз прилетел, доктор тупо все зараженные файлы в карантин похерил, пришлось из бэкапов доставать.



#6 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 13 Март 2019 - 12:32

Тогда другой вопрос - на DrWeb ESS логи каким образом собрать? С локальной версией антивируса понятно, можно той же sysinfo прогнать, а тут как? В админке антивирусного сервера конечно есть несколько журналов, но то ли это? Или можно опять таки sysinfo запустить? Если да, то где - на рабочей станции, где агент ESS ругнулся на вирус, или же на сервере, где собственно зараженная программа установлена?

Сисинфо со станций с сусликом.


Семь раз отрежь – один раз проверь

#7 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 13 Март 2019 - 14:07

>Но вот на текущей работе когда сектор в прошлый раз прилетел, доктор тупо все зараженные файлы в карантин похерил, пришлось из бэкапов доставать.

 

Сэмпл для такого случая надо в вирлаб, мб исправимо...



#8 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 461 Сообщений:

Отправлено 13 Март 2019 - 14:23

Afalin, Вот отчет с сервера, где собственно и установлено приложение.

Прикрепленные файлы:



#9 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 461 Сообщений:

Отправлено 13 Март 2019 - 14:34

Ivan Korolev, Файл кинул в вирлаб, правда для этого ему расширение пришлось подправить. Вместо exe - 123. Тикет #8597255.



#10 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 13 Март 2019 - 15:57

Ivan Korolev, Файл кинул в вирлаб, правда для этого ему расширение пришлось подправить. Вместо exe - 123. Тикет #8597255.

Можно было в архив запаковать.



#11 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 461 Сообщений:

Отправлено 13 Март 2019 - 16:03

SergSG, дык запаковал :)




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых