Ошибки лечения?
#1
Отправлено 28 Март 2010 - 18:42
Тогда поясните мне - каким образом платный пакет, справляется с рядом вирусов, лечение которых необходимо произвести, загрузившись с "внешней" системы, когда даже загрузка в SafeMode не дает требуемого результата ? Какой тогда толк от этого платного пакета, если без средства загрузки под "внешней" системой он абсолютно бесполезен.
Да и не мне вам рассказывать про то, что самый эффективный способ лечения будет с "внешней" системы.
В любом случае я пришел сюда не ругаться, но лишь высказать свою позицию по данному вопросу, причем единожды. Ваше право ее проигнорировать, а мое право перейти на альтернативный антивирусный пакет. Всё предельно ясно.
Хотел лишь добавить, что компания Dr.Web пока еще не Microsoft, чтобы поступать подобным образом - альтернатива имеется.
#2
Отправлено 28 Март 2010 - 18:46
Давайте явки, имена, пароли. Для каких вирусов нужно загружаться с внешнего носителя?Тогда поясните мне - каким образом платный пакет, справляется с рядом вирусов, лечение которых необходимо произвести, загрузившись с "внешней" системы, когда даже загрузка в SafeMode не дает требуемого результата ? Какой тогда толк от этого платного пакета, если без средства загрузки под "внешней" системой он абсолютно бесполезен.
ИНОГДА - это единственный вариант. Но очень иногда. А эффект может быть обратным - от невозможности загрузки оси до краха системы.Да и не мне вам рассказывать про то, что самый эффективный способ лечения будет с "внешней" системы.
Аргументы приветствуются.В любом случае я пришел сюда не ругаться, но лишь высказать свою позицию по данному вопросу, причем единожды.
Борис А. Чертенко aka Borka.
#3
Отправлено 28 Март 2010 - 20:34
Давайте явки, имена, пароли. Для каких вирусов нужно загружаться с внешнего носителя?Тогда поясните мне - каким образом платный пакет, справляется с рядом вирусов, лечение которых необходимо произвести, загрузившись с "внешней" системы, когда даже загрузка в SafeMode не дает требуемого результата ? Какой тогда толк от этого платного пакета, если без средства загрузки под "внешней" системой он абсолютно бесполезен.
ИНОГДА - это единственный вариант. Но очень иногда. А эффект может быть обратным - от невозможности загрузки оси до краха системы.Да и не мне вам рассказывать про то, что самый эффективный способ лечения будет с "внешней" системы.
Аргументы приветствуются.В любом случае я пришел сюда не ругаться, но лишь высказать свою позицию по данному вопросу, причем единожды.
Из последних - Trojan.AuxSpy.137 (по классификации Dr.Web) . Вирус создает в Temp директории файл nryk.bak (в названии могу ошибиться - пишу по памяти), который опознается сканером Dr.Web и перемещается в карантин, но через секунду появляется в Temp снова (режим SafeMode). Причем в SafeMode его можно удалять даже руками и наблюдать моментальную реинкорнацию Хотя при тесте памяти Dr.Web его не находит. Зверя удалось выковырить руками, загрузившись со сторонней Live СD, хотя в этом режиме и Dr.Web прекрасно справился, надо отдать ему должное.
Была еще пара-тройка случаев некоторое время назад, когда приходилось прибегать к подобному методу, но ники зверей уже не помню; но было, поверьте
Относительно обратного эффекта - согласен, но шипованными шинами пользуюсь и не один, тем не менее. А насколько достойно они поведут себя на голом асфальте - уже всецело в руках их создателей (и головы ездуна, разумеется).
Просто "Иногда" может оказаться очень критичным, не смотря на обратную сторону медали, которую все-таки возможно, я надеюсь, сделать таким образом, чтобы был хотя бы выбор - пусть на страх и риск пользователя - с обязательным соответствующим предупреждением со стороны антивирусного пакета о возможных последствиях. Я уже не говорю о классике жанра - бутовых вирусах, например.
Я все-таки очень надеюсь на работоспособный LiveCD от Dr.Web, поскольку менять коней не люблю, даже и не на переправе. С уважением, Виктор.
#4
Отправлено 28 Март 2010 - 22:42
Правильно ли я понимаю, что после лечения этого файла он снова появлялся?Из последних - Trojan.AuxSpy.137 (по классификации Dr.Web) . Вирус создает в Temp директории файл nryk.bak (в названии могу ошибиться - пишу по памяти), который опознается сканером Dr.Web и перемещается в карантин, но через секунду появляется в Temp снова (режим SafeMode). Причем в SafeMode его можно удалять даже руками и наблюдать моментальную реинкорнацию Хотя при тесте памяти Dr.Web его не находит. Зверя удалось выковырить руками, загрузившись со сторонней Live СD, хотя в этом режиме и Dr.Web прекрасно справился, надо отдать ему должное.
Борис А. Чертенко aka Borka.
#5
Отправлено 28 Март 2010 - 23:18
Правильно ли я понимаю, что после лечения этого файла он снова появлялся?Из последних - Trojan.AuxSpy.137 (по классификации Dr.Web) . Вирус создает в Temp директории файл nryk.bak (в названии могу ошибиться - пишу по памяти), который опознается сканером Dr.Web и перемещается в карантин, но через секунду появляется в Temp снова (режим SafeMode). Причем в SafeMode его можно удалять даже руками и наблюдать моментальную реинкорнацию Хотя при тесте памяти Dr.Web его не находит. Зверя удалось выковырить руками, загрузившись со сторонней Live СD, хотя в этом режиме и Dr.Web прекрасно справился, надо отдать ему должное.
Да. При полном сканировании, а так же, если через правый клик мышки на данном файле запустить "проверить Dr.Web" (в режиме SafeMode) - файл автоматически перемещался в карантин с соответствующим оповещением (варианта "лечить", как и любого другого, антивирус не предлагал. Было бы что лечить ), но через секунду в директории Temp файл появлялся снова - с тем же именем и расширением, а Сканер уже вовсю шуршал дальше по списку, не оглядываясь назад . Попытки удаления данного файла "руками" заканчивались в этом режиме аналогично - файл прекрасно удалялся, но появлялся снова через секунду. В "обычном" режиме Windows (XP Prof SP3) Spider блокировал (но не удалял) этот файл в папке Temp, выдавая соответствующее сообщение, но после ребута файл был на своем месте. При проверке памяти никаких вирусов Dr.Web найдено не было.
Установлена версия Вебера 6.0 со всеми обновлениями и максимально возможными параноидальными настройками, какие только предоставляет Spider и Сканер. Настройки сканера для зараженного объекта --> Вылечить(Инфицированный), Переместить(Неизлечимый), Информировать(Подозрительный)
#6
Отправлено 28 Март 2010 - 23:37
То есть файл находился и лечился сканером, но тут же появлялся? И только после загрузки с внешнего носителя, удаления этого файла и обычной загрузки он перестал появлятся? Или после перезагрузки его все-таки можно было удалить вручную, и он не появлялся снова? Файл случаем не сохранился?Да. При полном сканировании, а так же, если через правый клик мышки на данном файле запустить "проверить Dr.Web" (в режиме SafeMode) - файл автоматически перемещался в карантин с соответствующим оповещением (варианта "лечить", как и любого другого, антивирус не предлагал. Было бы что лечить ), но через секунду в директории Temp файл появлялся снова - с тем же именем и расширением, а Сканер уже вовсю шуршал дальше по списку, не оглядываясь назад . Попытки удаления данного файла "руками" заканчивались в этом режиме аналогично - файл прекрасно удалялся, но появлялся снова через секунду. В "обычном" режиме Windows (XP Prof SP3) Spider блокировал (но не удалял) этот файл в папке Temp, выдавая соответствующее сообщение, но после ребута файл был на своем месте. При проверке памяти никаких вирусов Dr.Web найдено не было.Правильно ли я понимаю, что после лечения этого файла он снова появлялся?Из последних - Trojan.AuxSpy.137 (по классификации Dr.Web) . Вирус создает в Temp директории файл nryk.bak (в названии могу ошибиться - пишу по памяти), который опознается сканером Dr.Web и перемещается в карантин, но через секунду появляется в Temp снова (режим SafeMode). Причем в SafeMode его можно удалять даже руками и наблюдать моментальную реинкорнацию Хотя при тесте памяти Dr.Web его не находит. Зверя удалось выковырить руками, загрузившись со сторонней Live СD, хотя в этом режиме и Dr.Web прекрасно справился, надо отдать ему должное.
Борис А. Чертенко aka Borka.
#7
Отправлено 28 Март 2010 - 23:42
Кроме этого файла никаких других зараженных при сканировании всего дискового пространства обнаружено не было
Никаких сторонних процессов в автозапуске (при просмотре JV16 PowerTools) не было [вполне возможна подмена какого-либо из системных, но я не вдавался в подробности, а детального описания по механизму данного вируса нигде не нашел]
Дополнительно реестр не изучал (Пятница ), но при запуске в SafeMode под резервной учетной записью с правами Администратора, ранее никогда не использовавшейся, - файл появлялся в папке Temp, как и под учеткой, словившей зверя. Учетка была с правами Администратора. В момент заражения SP3 не стоял (там с Интернетом беда - канал узенький совсем ).
После тупого удаления данного файла из-под альтернативной LiveCD руками - файл больше не появлялся ни в каком режиме, как и нечто, со сходным расширением, а по трафику не видно какой-либо активности вируса, хотя, возможно, она и не перманентная в принципе.
#8
Отправлено 28 Март 2010 - 23:53
То есть файл находился и лечился сканером, но тут же появлялся? И только после загрузки с внешнего носителя, удаления этого файла и обычной загрузки он перестал появлятся? Или после перезагрузки его все-таки можно было удалить вручную, и он не появлялся снова? Файл случаем не сохранился?
Находился и лечился сканером в режиме SafeMode, но тут же появлялся, и только после загрузки с внешнего носителя и удаления этого файла перестал появляться. В "основном режиме Windows" файл удалить руками было нельзя - стояла блокировка, Dr.Web в обычном режиме его тоже удалить не мог.
Файл, к сожалению, не сохранился, а восстановить не смогу, скорее всего - изничтожил бесследно в истерическом припадке, а в конце перетрубаций сделал дефрагментацию диска ... Но в Понедельник попробую еще раз пошукать - вдруг опять проявится. Если обнаружу - сразу же телеграфирую.
#9
Отправлено 29 Март 2010 - 00:10
Причем даже со старой базой Вебер 5.0 предполагал наличие вируса в папке Temp - "возможно и тд" и предлагал выполнить одно из стандартных действий.
5.0 была деинсталирована полностью - с последующей установкой версии 6.0 (параметры настройки Эксплорера были сброшены перед этим на заводские с полной очисткой истории обзора и тд), после чего процесс обновления баз и модулей возобновился, ну и Винды были полностью обновлены (хоть мёртвые и не потеют).
#10
Отправлено 29 Март 2010 - 00:22
Борис А. Чертенко aka Borka.
#11
Отправлено 29 Март 2010 - 00:31
I'll try to do my best, Борис (хоть и не могу обещать, увы ).
ps А на LiveCd от Dr.Web все-таки рассчитываю .
#12
Отправлено 29 Март 2010 - 14:31
Остался лишь вот такой лог сканера
[Проверяемый путь] C:\
C:\Documents and Settings\d500\DoctorWeb\Quarantine\nryk.bak инфицирован Trojan.AuxSpy.137 - неизлечим - перемещен
C:\TEMP\nryk.bak инфицирован Trojan.AuxSpy.137 - неизлечим - перемещен
Несколько вызвал вопрос вот такой момент - куда это он его переместил из папки карантин Вебера, вы не подскажете ? Насколлько я помню - раньше к объектам в папке Каринтин никаких действий сканером не предпринималось.
#13
Отправлено 29 Март 2010 - 14:38
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
Строковый параметр - midi9
Значение - C:\TEMP\nryk.bak 2nHAPKGEHD
#14
Отправлено 29 Март 2010 - 14:39
Жаль...Докладываю, Борис - файл восстановить не удалось после дефрагментации, как и ожидалось.
Думаю, в карантин и переместил.Остался лишь вот такой лог сканера
[Проверяемый путь] C:\
C:\Documents and Settings\d500\DoctorWeb\Quarantine\nryk.bak инфицирован Trojan.AuxSpy.137 - неизлечим - перемещен
C:\TEMP\nryk.bak инфицирован Trojan.AuxSpy.137 - неизлечим - перемещен
Несколько вызвал вопрос вот такой момент - куда это он его переместил из папки карантин Вебера, вы не подскажете ? Насколлько я помню - раньше к объектам в папке Каринтин никаких действий сканером не предпринималось.
Вопрос: кто проверял - сканер или КуреИт? Если КуреИт, то он не должен проверять свой карантин. Если сканер, то он понятия не имеет про карантин КуреИта. Так что...
Борис А. Чертенко aka Borka.
#15
Отправлено 29 Март 2010 - 14:41
ПОСЛЕ лечения?В реестре имеется вот такая запись по пути
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
Строковый параметр - midi9
Значение - C:\TEMP\nryk.bak 2nHAPKGEHD
Борис А. Чертенко aka Borka.
#16
Отправлено 29 Март 2010 - 15:16
ПОСЛЕ лечения?В реестре имеется вот такая запись по пути
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
Строковый параметр - midi9
Значение - C:\TEMP\nryk.bak 2nHAPKGEHD
Да, сейчас удалил руками.
Гложат меня сомнения - деактивирован ли он полностью ... На роутере пока не видно никаких попыток соединиться с этого айпи с кем-то из вне
Может это какой-то мутант со сходной сигнатурой с 137-ым ?
У вас есть описание алгоритма работы 137ого - я бы мог проверить некоторые моменты.
зы Какое принципиальное отличие между сканером и корытом ? Я один раз пользовался корытом, но не на этой машине - внешне программы очень сходны. На этой машине пользовался исключительно инсталлированным сканером, который, видимо, при запуске со стороннего Лив ЦД был воспринят в качестве корыта - тогда есть отличная возможность забрать перемещенный файл из карантина корыта, хотя тупой поиск по диску С, единственному в системе, не дал результата по данному названию.
Так же выполнил поиск всех имеющихся баков на компутере и проверил их сканером - вирусов не обнаружено
Проверил папку Систем32 со всеми вложенными - аналогично
Позвонил в удаленный офис и попросил посмотреть на оставшихся рабочих станциях наличие файла в папке Темп - нигде его не обнаружено, если имя уникально. Вирусные базы обновляются без проблем.
#17
Отправлено 29 Март 2010 - 15:24
ИМХО, бага с лечением. Жаль, что сэмпла нет.Да, сейчас удалил руками.ПОСЛЕ лечения?В реестре имеется вот такая запись по пути
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
Строковый параметр - midi9
Значение - C:\TEMP\nryk.bak 2nHAPKGEHD
Описания нет.У вас есть описание алгоритма работы 137ого - я бы мог проверить некоторые моменты.
КуреИт это и есть сканер с некоторой обвязкой и жестко прошитыми ключами комстроки.зы Какое принципиальное отличие между сканером и корытом ? Я один раз пользовался корытом, но не на этой машине - внешне программы очень сходны. На этой машине пользовался исключительно инсталлированным сканером, который, видимо, при запуске со стороннего Лив ЦД был воспринят в качестве корыта - тогда есть отличная возможность забрать перемещенный файл из карантина корыта, хотя тупой поиск по диску С, единственному в системе, не дал результата по данному названию.
Борис А. Чертенко aka Borka.
#18
Отправлено 29 Март 2010 - 15:49
Попробую сейчас проверить машину ... гммм ... сторонним антивирусным пакетом, заслуживающим доверия (но Веб форева, разумеется ) - по результатам отпишусь.
#19
Отправлено 29 Март 2010 - 16:59
2 borka
Онлайн проверка (максимально возможная) одним из, на мой потребительский взгляд, вполне достойных антивирусных пакетов не дала результата - pretty clean
Завтра (сегодня не получается) выполню проверку в качестве подключенного сетевого ресурса с компьютера, имеющего другой антивирусный пакет; а вот если и он ничего не отыщет - тады ой. Хотя подобная новость, на мой взгляд, будет значительно приятнее, чем найденное для исследований какое-либо тело
#20
Отправлено 29 Март 2010 - 17:25
Да.Я понял, а карантин в Документс энд сеттингс и Инфектед в папке Веба - соответственно курыта и сканера ?
Борис А. Чертенко aka Borka.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых