32 ответов в этой теме

[v.martyanov]

Проверяйте все диски. Учитывая, что у вас Алман, довольно странно отсутсвие зараженных файлов в количестве сотен и тысяч штук :-)

[Borka]

Учитывая, что у вас Алман,

Учитывая, что
23-11-2008 22:29:36 [cl] (PID = 0004) C:setup.exe - iнфiкований Win32.Alman
23-11-2008 22:29:36 [cl] (PID = 0004) C:setup.exe - зцiлений
в системе Алмана быть не должно.

---
С уважением,
Borka.

[Borka]

Нет, не розшарен.

Что говорит
net share
?

---
С уважением,
Borka.

[pig]

А не поменять ли пароли администраторов? Вдруг на C$ запихивают.

[FLAGER]

Да нет. У меня же стенка стоит.

[FLAGER]

Да мне тоже это удивительно, ведь от Алмана на предприятии у себя действительно сотни файлов вылечил.

в системе Алмана быть не должно.

Но такое повторялося раз по десять в день. То есть спайдер в логе мог за день 10 раз написать, что нашел такой вирус и исцелил его - хотя таких даже файлов у меня нет на С:

И еще про ХайДжек - вчера вначале вечера, когда посылал лог ХайДжека. После того, как я этой программой просканировал систему, все пока чисто! Вчера остаток вечера и сегодня не видно больше этих вирусов.

С чего бы это, ведь я ХайДжеком только лог делал..
Вечером отпишусь.

[ILNARus]

лег на дно... проявится... счас вирусы с интелектом.... имхо в полусерьез в полушутку...

а такие вирусы есть, которые оставляют скажем так в планировщике, а свои следы в системе удаляют... своеобразный стелс режим...
------------------------------------------------
Безопасный Интернет Я в контакте Нежность

[v.martyanov]

Способов обхода Firewall существует довольно много. Я бы вообще советовал отключить комп физически от сети и потом играться.

[v.martyanov]

С чего бы это? Нашли файл с алманом, который вылечили. Почему если есть один зараженный их там не сотни?

[Borka]

С чего бы это? Нашли файл с алманом, который вылечили. Почему если есть один зараженный их там не сотни?

ИМХО, потому что вот:
23-11-2008 22:29:36 [cl] (PID = 0004) C:setup.exe - iнфiкований Win32.Alman
23-11-2008 22:29:36 [cl] (PID = 0004) C:setup.exe - зцiлений
Алман был найден при записи ([CL]) файла-носителя процессом с PID = 0004 (система). Если бы был Алман в системе, то а) всплывал бы чаще, б) PID был бы не 0004, в) файл C:setup.exe остался бы на диске.
Вы что-то левое в драйверах нашли? Лично я ничего не увидел. Потому и считаю, что впингвинивают по сети.


---
С уважением,
Borka.

[FLAGER]

Не могу грешить на стенку, ведь ZoneAlarm один из признанных лидеров.
Да и локалка у нас маленькая, до 50 человек.

А есть методы обнаружения этого "впингвинивания"?

Но факт такой, что от вчера после RKU (а не ХайДжека, я ошибся) вирусов больше не вижу. Последний лог был таковой:

24-11-2008 17:17:30 [CL] (PID = 0004) C:MPKrnl.exe - iнфiкований Trojan.DownLoad.12657
24-11-2008 17:17:30 [CL] (PID = 0004) C:MPKrnl.exe - зцiлений
24-11-2008 17:28:33 [CL] (PID = 0004) C:MPKrnl.exe - iнфiкований Trojan.DownLoad.12657
24-11-2008 17:28:33 [CL] (PID = 0004) C:MPKrnl.exe - зцiлений
24-11-2008 17:32:15 [CL] (PID = 0004) C:MPKrnl.exe - iнфiкований Trojan.DownLoad.12657
24-11-2008 17:32:15 [CL] (PID = 0004) C:MPKrnl.exe - зцiлений
24-11-2008 17:39:52 [CL] (PID = 0004) C:MPKrnl.exe - iнфiкований Trojan.DownLoad.12657
24-11-2008 17:39:52 [CL] (PID = 0004) C:MPKrnl.exe - зцiлений

(время украинское, +2 часовой пояс).

[v.martyanov]

Сетевой шнурок выдернуть и посмотреть, способ прост.

[FLAGER]

Не поверите, товарищи, но вируса эти себя не проявляют.
И сеть не отключал.

Или спайдер не то показывал, или сейчас не видит...