48 ответов в этой теме

[OiG]

по поводу этого трояна
ранее я его поймал
сегодня, разгребаю карантин, архивирую вирусы и сразу извлекаю их из архивов на предмет детекта спайдером.
И тут я обнаруживаю, что Trojan.NtRootKit.2387 ПЕРЕСТАЛ ДЕТЕКТИТСЯ СПАЙДЕРОМ!!!
Сканер видит, гейт видит, а спайдер НЕ ВИДИТ!!!
Есди это баг, то это ОЧЕНЬ плохой баг.
вот тест на вирустотал моего экземпляра https://www.virustotal.com/ru/analisis/40e4...c2939343169d7cf
а вот собственно и сам екземпляр:
http://ifolder.ru/10597157
пароль на архив virus

[Borka]

И тут я обнаруживаю, что Trojan.NtRootKit.2387 ПЕРЕСТАЛ ДЕТЕКТИТСЯ СПАЙДЕРОМ!!!
Сканер видит, гейт видит, а спайдер НЕ ВИДИТ!!!

Видит. И спайдер, и сканер.
17-02-2009 01:56:29 #00 [CL] (PID = 1484) F:\zzzz\2\Trojan.NtRootKit.2387 - infected with Trojan.NtRootKit.2387
17-02-2009 01:56:31 #00 [CL] (PID = 1484) F:\zzzz\2\Trojan.NtRootKit.2387 - cured

Смотрите базы спайдера...

[OiG]

Смотрите базы спайдера...

что значит базы спайдера?
я не в курсе? что-то новое появилось?

[OiG]

понял...
17-02-2009 01:28:11 [Вирусная база] C:\DaS\All Users\Application Data\Doctor Web\Bases\drwebase.vdb - ошибка
что может вызвать данную проблему?

[Borka]

понял...
17-02-2009 01:28:11 [Вирусная база] C:\DaS\All Users\Application Data\Doctor Web\Bases\drwebase.vdb - ошибка
что может вызвать данную проблему?

К сожалению, баг плавающий, причины не установлены.

[OiG]

тут хуже всего то, что ошибка эта на той машине ПОЧТИ МЕСЯЦ!!!
как я мог увидеть ее?
Она определяется только просмотром лога и всплывающей подсказкой где написано записей 59176(а если подсказки вообще оключены?)
и зачем смотреть логи спайдер если нет детекта или подозрения на вирус?
в "О spiderguard" Вирусные базы:

Всего вирусных записей: 482504
Последнее обновление:
16 лютого 2009 р. 23:40:00
------
drwebase.vdb - 423328 вирусных записей
17 грудня 2008 р. 18:57:16

К сожалению, баг плавающий, причины не установлены.

Это не баг, это БАГИЩЕ.
Как минимум спайдер(или любой другой модуль) должен кричать о проблеме при загрузке баз до полного ее решения.

[Borka]

Это не баг, это БАГИЩЕ.
Как минимум спайдер(или любой другой модуль) должен кричать о проблеме при загрузке баз до полного ее решения.

По этой проблеме прочитайте, пожалуйста, трекер:
http://bugs.drweb.com/bug_view_advanced_pa...?bug_id=0024851
http://bugs.drweb.com/bug_view_advanced_pa...?bug_id=0025624
Можете ли Вы сказать, при каких условиях можно воспроизвести незагрузку основной базы?

[OiG]

Можете ли Вы сказать, при каких условиях можно воспроизвести незагрузку основной базы?

к сожалению нет, но...

Проблему я решил на даной машинке удалением доктора и установкой свежего дистрибутива.

Насколько помню сейчас, может поможет в чем-то, на этой машине была установлена версия 4.

Была проблемка с вирусом. Доктор его детектил и даже пытался удалить, но после перезагрузки не запустился спайдер. Манипуляции с переустановкой и продолжительные танцы с бубном ничего не дали. Спайдер дальше не стартовал. При этом вирус уже не детектился.

Установил 5 версию(уже не помню поверх или нет) и все нормально начало работать(запустился спайдер). Есть большие подозрения что база не грузилась с самого начала

вроде был данный руткит.

[OiG]

http://bugs.drweb.com/bug_view_advanced_pa...?bug_id=0024851
http://bugs.drweb.com/bug_view_advanced_pa...?bug_id=0025624

Единственное, что могу сказать - винда нормальная не обрезанная хр с третим паком и апдейтами против KIDO