Перейти к содержимому


Фото
- - - - -

Ну не уж-то невозможно его победить?


  • Please log in to reply
127 ответов в этой теме

#21 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 22 Октябрь 2011 - 08:58

C:\Program Files\DrWeb\DrWebUpW.exe /go /st /qu /reg- /rp+drwebupw.log - Это ключи апдейтера, то есть по умолчанию. А то ,что вы указали флэшку =2011-10-20, 21:52:07 Подключаемся к хосту: G:\Update
2011-10-20, 21:52:07 timestamp не найден !!!
МИМО!!!

Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#22 Banzai

Banzai

    Advanced Member

  • Posters
  • 686 Сообщений:

Отправлено 22 Октябрь 2011 - 09:00

Это по вашему зеркало ?

зависит от того, кто и как делал это зеркало. У меня 4 зеркала и все работают успешно.

Да блин, вставлю флэшку и все обновится как надо, не в этом проблема

#23 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 22 Октябрь 2011 - 09:01

http://wiki.drweb.co...%BD%D1%83%D1%8E

"C:\Program Files\DrWeb\DrWebUpW.exe" /GO /URL:"I:\drweb Update" - так выглядет зеркало...(почитайте.)
Лучше уж руками в папку bases скопировать (только базы)...

Сообщение было изменено LEE: 22 Октябрь 2011 - 09:03

Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#24 Banzai

Banzai

    Advanced Member

  • Posters
  • 686 Сообщений:

Отправлено 22 Октябрь 2011 - 10:17

Да что блин ваши логи :ph34r: , те которые прикрепил что не хватает?
Другой антивирус сканирует и убивает тока эти файлы, которые сидят в процессе, и ничего более он не находит.
Проблема в том, что НОД32 бьет на флэшках все эти авторанеры, а веб тока через вирлаб.
Я выслал кучу вариантов этого авторанера, указал тикеты и ссылки на вирустотал. Что нельзя сделать анализ и создать нормальный универсальный детект?
Я уверен что те компьютеры которые у меня достаточно добавить сигнатуру в вирлаб и они вылечатся кстати что и проделано. До первой флэшки с низвестным авторанером. Распространение происходит, скорей всего, с другого компа на котором сидит generic или Downloader, который и заражет флэшки вирусом с новой сигнатурой. Я откуда знаю где этот комп в моем городе.

Логи делать не буду, достало это. Хотите баньте, хотите закрывайте тему.

#25 Vindows

Vindows

    Member

  • Banned
  • 427 Сообщений:

Отправлено 22 Октябрь 2011 - 11:49

Не ну если тут приводят NOD32. То я расскажу - что 5 версия видит в оперативной памяти даже то что пока не детектирует, с точным вердиктом и автоматически отсылает в семплы вирлаб. :ph34r:
http://kltest.org.ru...t=802&start=140
onairob.be/1/netprotocol.exe

Только что скачал этот троян, еxe скачивает самые разнообразные трояны - кто заплатит, дропает файл и прописывает в автозагрузку, распространяется уже давно. Это наверно 5 миллионная переупаковка - модификация. За сутки файл грамотно модифицируется десятки раз, не однин антивирус не детектирует его более чем на очень короткое время.
http://www.virustota...b519-1319271277
Ещё NOD32 больше ловит при запуске файла, и интернет эвристик ловит больше.

Так-что далеко не одни автораны, вот такая у меня информация для вирусных аналитиков Dr.Web. :)

Я ещё могу расcказать про SysInspector или как настраивается у меня HIPS. :)

Сообщение было изменено Vindows: 22 Октябрь 2011 - 11:53

Essential Security against Evolving Threats
user Windows 64 bit

#26 Banzai

Banzai

    Advanced Member

  • Posters
  • 686 Сообщений:

Отправлено 22 Октябрь 2011 - 12:21

5 версия видит в оперативной памяти даже то что пока не детектирует, с точным вердиктом и автоматически отсылает в семплы вирлаб

А я то подумал что НОД32 зрит в корень, робот DrWeb тоже классно определяет этот вирус

#27 Vindows

Vindows

    Member

  • Banned
  • 427 Сообщений:

Отправлено 22 Октябрь 2011 - 12:34

Ну то робот, сктати я хорошо вижу и наблюдаю очень много фалсов и неправильных вердиктов, роботов LK и Dr.Web, с помощью Eset Live Grid. Мне только интересно сколько это в сутки получается, тысячи или миллионы.
:ph34r:
Essential Security against Evolving Threats
user Windows 64 bit

#28 ezzo

ezzo

    Guru

  • Beta Tester
  • 4 203 Сообщений:

Отправлено 22 Октябрь 2011 - 12:39

ИМХО, Тут дело в Эвристике :)

И конечно же облако :ph34r:

Regards, ezzo.


#29 Banzai

Banzai

    Advanced Member

  • Posters
  • 686 Сообщений:

Отправлено 22 Октябрь 2011 - 14:59

Ну вот о5-25.
А тут НОД32 эвристикой ловит
http://www.virustota...8095-1319283852

Отправил в вирлаб [drweb.com #2746120].
, вот 100% робот ответит и опять ничего толком не будет, только очередной, наверно стотысячный, авторанер
.

Сообщение было изменено Banzai: 22 Октябрь 2011 - 15:01


#30 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 22 Октябрь 2011 - 20:26

http://wiki.drweb.co...%BD%D1%83%D1%8E
"C:\Program Files\DrWeb\DrWebUpW.exe" /GO /URL:"I:\drweb Update" - так выглядет зеркало...(почитайте.)
Лучше уж руками в папку bases скопировать (только базы)...

Есть два способа указать источник обновлений: первый это ключ /url, второй - прописАть в реестре этот самй путь обновления. Судя по логу, путь прописан в реестре.
С уважением,
Борис А. Чертенко aka Borka.

#31 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 22 Октябрь 2011 - 20:40

Есть два способа указать источник обновлений: первый это ключ /url, второй - прописАть в реестре этот самй путь обновления. Судя по логу, путь прописан в реестре.

Покажите пожалуйста это место лога. Я там только ошибки обновления вижу, хотя базы обновлены...

Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#32 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 22 Октябрь 2011 - 20:41

Ну хоть Нодом словите и зашлите в вирлаб. Не много ли постороннего на рабочи ПК ? Может они еще антивирус отключают.
SpIDer Guard driver is too old and does not support file exclusion- перевод надо ? Старые программы не способны на новые трюки.

О как интересно, оказывается. :) LEE, это релиз, там именно такие модули. Если я правильно понимаю, походу релизная бага: обновился Энджин - отвалились эксклуды:
20111020.211114 Scanning Engine version 6.00.100.08260
20111020.211114 Virus Finding Engine version 5.00.2.03300 (API 2.2)
20111020.211114 SpIDer Guard version 6.00.7.05240 (API 6.9)
...
20111020.211114 SpIDer Guard driver is too old and does not support file exclusion
С уважением,
Борис А. Чертенко aka Borka.

#33 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 22 Октябрь 2011 - 20:48

Есть два способа указать источник обновлений: первый это ключ /url, второй - прописАть в реестре этот самй путь обновления. Судя по логу, путь прописан в реестре.

Покажите пожалуйста это место лога. Я там только ошибки обновления вижу, хотя базы обновлены...

Да вот же:
2011-10-20, 21:52:06 Командная строка: C:\Program Files\DrWeb\DrWebUpW.exe /go /st /qu /reg- /rp+drwebupw.log
...
2011-10-20, 21:52:07 Подключаемся к хосту: G:\Update

Если в комстроке нету указания источика (нету ключа /url), то апдейтер смотрит в ключ реестра "UpdateUrl" в ветке HKEY_LOCAL_MACHINE\SOFTWARE\IDAVLab\DrWebUpdate\Settings и то, что там указано, использует как источник. Если там пусто, то испоьзуется drl-файл.
С уважением,
Борис А. Чертенко aka Borka.

#34 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 22 Октябрь 2011 - 20:50

Я не осмелился предполагать (поскольку точно не знал). А он логи не дает...Хоть среднего уровня дал бы..А багов там по ходу много, я 3 дня не мог обновиться на релизе. В итоге поставил последнюю бету и наслаждаюсь...

Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#35 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 22 Октябрь 2011 - 20:55

Есть два способа указать источник обновлений: первый это ключ /url, второй - прописАть в реестре этот самй путь обновления. Судя по логу, путь прописан в реестре.

Покажите пожалуйста это место лога. Я там только ошибки обновления вижу, хотя базы обновлены...

Да вот же:
2011-10-20, 21:52:06 Командная строка: C:\Program Files\DrWeb\DrWebUpW.exe /go /st /qu /reg- /rp+drwebupw.log
...
2011-10-20, 21:52:07 Подключаемся к хосту: G:\Update

Если в комстроке нету указания источика (нету ключа /url), то апдейтер смотрит в ключ реестра "UpdateUrl" в ветке HKEY_LOCAL_MACHINE\SOFTWARE\IDAVLab\DrWebUpdate\Settings и то, что там указано, использует как источник. Если там пусто, то испоьзуется drl-файл.

По 7-ке зеркал вроде не давали (не могу сказать), но в 6-ой такой номер не пройдёт.. и почему лог только ошибки пишет ? Кстати там логи за 2008 год есть (похвально !), не пора ли винду переснести ?

Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#36 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 22 Октябрь 2011 - 20:55

/reg-


зачем?

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#37 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 22 Октябрь 2011 - 21:03

C:\Program Files\DrWeb\DrWebUpW.exe /go /st /qu /reg- /rp+drwebupw.log - правда зачем 7-ке такие ключи ? (drwupsrv.exe !)
ремувером там и не пахнет...(дедукция)

Сообщение было изменено LEE: 22 Октябрь 2011 - 21:05

Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#38 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 22 Октябрь 2011 - 21:05

Я не осмелился предполагать (поскольку точно не знал). А он логи не дает...Хоть среднего уровня дал бы..

А зачем?

А багов там по ходу много, я 3 дня не мог обновиться на релизе. В итоге поставил последнюю бету и наслаждаюсь...

Э... Недопонимание из-за недосказанности. :) Я говорил про релиз 6.0, в котором всплыла бага с исключениями. Но да, соглашусь, расширенный лог не помешал бы...

По 7-ке зеркал вроде не давали (не могу сказать), но в 6-ой такой номер не пройдёт..

Э... Какой номер и куда не пройдет?

и почему лог только ошибки пишет ?

Потому что по умолчанию, что, конечно же, весьма удобно...

/reg-

зачем?

Затем, что никто не менял комстроку запуска апдейтера. Тоже по умолчанию.
С уважением,
Борис А. Чертенко aka Borka.

#39 Vindows

Vindows

    Member

  • Banned
  • 427 Сообщений:

Отправлено 23 Октябрь 2011 - 00:10

http://www.virustotal.com/file-scan/report.html?id=cb9cf3c4b12f1198261f24cbfd7657a6e8da35490fc30f317ebed75f370148bd-1319316255
Kaspersky 9.0.0.837 2011.10.22 -
http://smages.com/images/vhvvhv.png
:)

Сообщение было изменено Vindows: 23 Октябрь 2011 - 00:13

Essential Security against Evolving Threats
user Windows 64 bit

#40 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 23 Октябрь 2011 - 00:14

http://www.virustota...48bd-1319316255
Kaspersky 9.0.0.837 2011.10.22 -
http://smages.com/images/vhvvhv.png
:)

ты бутират проверь онлайном на сайте доктора.

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых