22 ответов в этой теме

[rummi]

Естественно "бесплатен" - я этот аспект упомянул. Очень удобная позиция. Я прекрасно понимаю политику Партии - батарейки в комплект не входят.

Тогда поясните мне - каким образом платный пакет, справляется с рядом вирусов, лечение которых необходимо произвести, загрузившись с "внешней" системы, когда даже загрузка в SafeMode не дает требуемого результата ? Какой тогда толк от этого платного пакета, если без средства загрузки под "внешней" системой он абсолютно бесполезен.
Да и не мне вам рассказывать про то, что самый эффективный способ лечения будет с "внешней" системы.

В любом случае я пришел сюда не ругаться, но лишь высказать свою позицию по данному вопросу, причем единожды. Ваше право ее проигнорировать, а мое право перейти на альтернативный антивирусный пакет. Всё предельно ясно.
Хотел лишь добавить, что компания Dr.Web пока еще не Microsoft, чтобы поступать подобным образом - альтернатива имеется.

[Borka]

Тогда поясните мне - каким образом платный пакет, справляется с рядом вирусов, лечение которых необходимо произвести, загрузившись с "внешней" системы, когда даже загрузка в SafeMode не дает требуемого результата ? Какой тогда толк от этого платного пакета, если без средства загрузки под "внешней" системой он абсолютно бесполезен.

Давайте явки, имена, пароли. Для каких вирусов нужно загружаться с внешнего носителя?

Да и не мне вам рассказывать про то, что самый эффективный способ лечения будет с "внешней" системы.

ИНОГДА - это единственный вариант. Но очень иногда. А эффект может быть обратным - от невозможности загрузки оси до краха системы.

В любом случае я пришел сюда не ругаться, но лишь высказать свою позицию по данному вопросу, причем единожды.

Аргументы приветствуются.

[rummi]

Тогда поясните мне - каким образом платный пакет, справляется с рядом вирусов, лечение которых необходимо произвести, загрузившись с "внешней" системы, когда даже загрузка в SafeMode не дает требуемого результата ? Какой тогда толк от этого платного пакета, если без средства загрузки под "внешней" системой он абсолютно бесполезен.

Давайте явки, имена, пароли. Для каких вирусов нужно загружаться с внешнего носителя?

Да и не мне вам рассказывать про то, что самый эффективный способ лечения будет с "внешней" системы.

ИНОГДА - это единственный вариант. Но очень иногда. А эффект может быть обратным - от невозможности загрузки оси до краха системы.

В любом случае я пришел сюда не ругаться, но лишь высказать свою позицию по данному вопросу, причем единожды.

Аргументы приветствуются.

Из последних - Trojan.AuxSpy.137 (по классификации Dr.Web) . Вирус создает в Temp директории файл nryk.bak (в названии могу ошибиться - пишу по памяти), который опознается сканером Dr.Web и перемещается в карантин, но через секунду появляется в Temp снова (режим SafeMode). Причем в SafeMode его можно удалять даже руками и наблюдать моментальную реинкорнацию Хотя при тесте памяти Dr.Web его не находит. Зверя удалось выковырить руками, загрузившись со сторонней Live СD, хотя в этом режиме и Dr.Web прекрасно справился, надо отдать ему должное.

Была еще пара-тройка случаев некоторое время назад, когда приходилось прибегать к подобному методу, но ники зверей уже не помню; но было, поверьте

Относительно обратного эффекта - согласен, но шипованными шинами пользуюсь и не один, тем не менее. А насколько достойно они поведут себя на голом асфальте - уже всецело в руках их создателей (и головы ездуна, разумеется).

Просто "Иногда" может оказаться очень критичным, не смотря на обратную сторону медали, которую все-таки возможно, я надеюсь, сделать таким образом, чтобы был хотя бы выбор - пусть на страх и риск пользователя - с обязательным соответствующим предупреждением со стороны антивирусного пакета о возможных последствиях. Я уже не говорю о классике жанра - бутовых вирусах, например.

Я все-таки очень надеюсь на работоспособный LiveCD от Dr.Web, поскольку менять коней не люблю, даже и не на переправе. С уважением, Виктор.

[Borka]

Из последних - Trojan.AuxSpy.137 (по классификации Dr.Web) . Вирус создает в Temp директории файл nryk.bak (в названии могу ошибиться - пишу по памяти), который опознается сканером Dr.Web и перемещается в карантин, но через секунду появляется в Temp снова (режим SafeMode). Причем в SafeMode его можно удалять даже руками и наблюдать моментальную реинкорнацию Хотя при тесте памяти Dr.Web его не находит. Зверя удалось выковырить руками, загрузившись со сторонней Live СD, хотя в этом режиме и Dr.Web прекрасно справился, надо отдать ему должное.

Правильно ли я понимаю, что после лечения этого файла он снова появлялся?

[rummi]

Из последних - Trojan.AuxSpy.137 (по классификации Dr.Web) . Вирус создает в Temp директории файл nryk.bak (в названии могу ошибиться - пишу по памяти), который опознается сканером Dr.Web и перемещается в карантин, но через секунду появляется в Temp снова (режим SafeMode). Причем в SafeMode его можно удалять даже руками и наблюдать моментальную реинкорнацию Хотя при тесте памяти Dr.Web его не находит. Зверя удалось выковырить руками, загрузившись со сторонней Live СD, хотя в этом режиме и Dr.Web прекрасно справился, надо отдать ему должное.

Правильно ли я понимаю, что после лечения этого файла он снова появлялся?

Да. При полном сканировании, а так же, если через правый клик мышки на данном файле запустить "проверить Dr.Web" (в режиме SafeMode) - файл автоматически перемещался в карантин с соответствующим оповещением (варианта "лечить", как и любого другого, антивирус не предлагал. Было бы что лечить ), но через секунду в директории Temp файл появлялся снова - с тем же именем и расширением, а Сканер уже вовсю шуршал дальше по списку, не оглядываясь назад . Попытки удаления данного файла "руками" заканчивались в этом режиме аналогично - файл прекрасно удалялся, но появлялся снова через секунду. В "обычном" режиме Windows (XP Prof SP3) Spider блокировал (но не удалял) этот файл в папке Temp, выдавая соответствующее сообщение, но после ребута файл был на своем месте. При проверке памяти никаких вирусов Dr.Web найдено не было.

Установлена версия Вебера 6.0 со всеми обновлениями и максимально возможными параноидальными настройками, какие только предоставляет Spider и Сканер. Настройки сканера для зараженного объекта --> Вылечить(Инфицированный), Переместить(Неизлечимый), Информировать(Подозрительный)

[Borka]

Из последних - Trojan.AuxSpy.137 (по классификации Dr.Web) . Вирус создает в Temp директории файл nryk.bak (в названии могу ошибиться - пишу по памяти), который опознается сканером Dr.Web и перемещается в карантин, но через секунду появляется в Temp снова (режим SafeMode). Причем в SafeMode его можно удалять даже руками и наблюдать моментальную реинкорнацию Хотя при тесте памяти Dr.Web его не находит. Зверя удалось выковырить руками, загрузившись со сторонней Live СD, хотя в этом режиме и Dr.Web прекрасно справился, надо отдать ему должное.

Правильно ли я понимаю, что после лечения этого файла он снова появлялся?

Да. При полном сканировании, а так же, если через правый клик мышки на данном файле запустить "проверить Dr.Web" (в режиме SafeMode) - файл автоматически перемещался в карантин с соответствующим оповещением (варианта "лечить", как и любого другого, антивирус не предлагал. Было бы что лечить ), но через секунду в директории Temp файл появлялся снова - с тем же именем и расширением, а Сканер уже вовсю шуршал дальше по списку, не оглядываясь назад . Попытки удаления данного файла "руками" заканчивались в этом режиме аналогично - файл прекрасно удалялся, но появлялся снова через секунду. В "обычном" режиме Windows (XP Prof SP3) Spider блокировал (но не удалял) этот файл в папке Temp, выдавая соответствующее сообщение, но после ребута файл был на своем месте. При проверке памяти никаких вирусов Dr.Web найдено не было.

То есть файл находился и лечился сканером, но тут же появлялся? И только после загрузки с внешнего носителя, удаления этого файла и обычной загрузки он перестал появлятся? Или после перезагрузки его все-таки можно было удалить вручную, и он не появлялся снова? Файл случаем не сохранился?

[rummi]

Возможно будет интересно :

Кроме этого файла никаких других зараженных при сканировании всего дискового пространства обнаружено не было

Никаких сторонних процессов в автозапуске (при просмотре JV16 PowerTools) не было [вполне возможна подмена какого-либо из системных, но я не вдавался в подробности, а детального описания по механизму данного вируса нигде не нашел]

Дополнительно реестр не изучал (Пятница ), но при запуске в SafeMode под резервной учетной записью с правами Администратора, ранее никогда не использовавшейся, - файл появлялся в папке Temp, как и под учеткой, словившей зверя. Учетка была с правами Администратора. В момент заражения SP3 не стоял (там с Интернетом беда - канал узенький совсем ).

После тупого удаления данного файла из-под альтернативной LiveCD руками - файл больше не появлялся ни в каком режиме, как и нечто, со сходным расширением, а по трафику не видно какой-либо активности вируса, хотя, возможно, она и не перманентная в принципе.

[rummi]

То есть файл находился и лечился сканером, но тут же появлялся? И только после загрузки с внешнего носителя, удаления этого файла и обычной загрузки он перестал появлятся? Или после перезагрузки его все-таки можно было удалить вручную, и он не появлялся снова? Файл случаем не сохранился?

Находился и лечился сканером в режиме SafeMode, но тут же появлялся, и только после загрузки с внешнего носителя и удаления этого файла перестал появляться. В "основном режиме Windows" файл удалить руками было нельзя - стояла блокировка, Dr.Web в обычном режиме его тоже удалить не мог.

Файл, к сожалению, не сохранился, а восстановить не смогу, скорее всего - изничтожил бесследно в истерическом припадке, а в конце перетрубаций сделал дефрагментацию диска ... Но в Понедельник попробую еще раз пошукать - вдруг опять проявится. Если обнаружу - сразу же телеграфирую.

[rummi]

И еще, пожалуй,- привезли ко мне больного с диагнозом : "перестал у нас что-то обновляться Dr.Web", тогда еще 5.0, (при этом все основные модули Сканер, SG, SMail были активны и работоспособны, но при попытке обновления путем запуска программы обновления - обновление не начиналось, и диалоговое окно не появлялось; в автоматическом режиме, настроенном на интервал в 15 минут - аналогично) + большой паразитный трафик.

Причем даже со старой базой Вебер 5.0 предполагал наличие вируса в папке Temp - "возможно и тд" и предлагал выполнить одно из стандартных действий.

5.0 была деинсталирована полностью - с последующей установкой версии 6.0 (параметры настройки Эксплорера были сброшены перед этим на заводские с полной очисткой истории обзора и тд), после чего процесс обновления баз и модулей возобновился, ну и Винды были полностью обновлены (хоть мёртвые и не потеют).

[Borka]

Ну, 100% гарантии никто не даст, и антивирус всегда будет отставать от детекта вируса. А вот на Trojan.AuxSpy.137 было бы интересно посмотреть.

[rummi]

А вот на Trojan.AuxSpy.137 было бы интересно посмотреть.

I'll try to do my best, Борис (хоть и не могу обещать, увы ).

ps А на LiveCd от Dr.Web все-таки рассчитываю .

[rummi]

Докладываю, Борис - файл восстановить не удалось после дефрагментации, как и ожидалось.

Остался лишь вот такой лог сканера

[Проверяемый путь] C:\
C:\Documents and Settings\d500\DoctorWeb\Quarantine\nryk.bak инфицирован Trojan.AuxSpy.137 - неизлечим - перемещен
C:\TEMP\nryk.bak инфицирован Trojan.AuxSpy.137 - неизлечим - перемещен

Несколько вызвал вопрос вот такой момент - куда это он его переместил из папки карантин Вебера, вы не подскажете ? Насколлько я помню - раньше к объектам в папке Каринтин никаких действий сканером не предпринималось.

[rummi]

В реестре имеется вот такая запись по пути

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32

Строковый параметр - midi9

Значение - C:\TEMP\nryk.bak 2nHAPKGEHD

[Borka]

Докладываю, Борис - файл восстановить не удалось после дефрагментации, как и ожидалось.

Жаль...

Остался лишь вот такой лог сканера
[Проверяемый путь] C:\
C:\Documents and Settings\d500\DoctorWeb\Quarantine\nryk.bak инфицирован Trojan.AuxSpy.137 - неизлечим - перемещен
C:\TEMP\nryk.bak инфицирован Trojan.AuxSpy.137 - неизлечим - перемещен
Несколько вызвал вопрос вот такой момент - куда это он его переместил из папки карантин Вебера, вы не подскажете ? Насколлько я помню - раньше к объектам в папке Каринтин никаких действий сканером не предпринималось.

Думаю, в карантин и переместил.
Вопрос: кто проверял - сканер или КуреИт? Если КуреИт, то он не должен проверять свой карантин. Если сканер, то он понятия не имеет про карантин КуреИта. Так что...

[Borka]

В реестре имеется вот такая запись по пути
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32

Строковый параметр - midi9
Значение - C:\TEMP\nryk.bak 2nHAPKGEHD

ПОСЛЕ лечения?

[rummi]

В реестре имеется вот такая запись по пути
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32

Строковый параметр - midi9
Значение - C:\TEMP\nryk.bak 2nHAPKGEHD

ПОСЛЕ лечения?

Да, сейчас удалил руками.

Гложат меня сомнения - деактивирован ли он полностью ... На роутере пока не видно никаких попыток соединиться с этого айпи с кем-то из вне

Может это какой-то мутант со сходной сигнатурой с 137-ым ?

У вас есть описание алгоритма работы 137ого - я бы мог проверить некоторые моменты.

зы Какое принципиальное отличие между сканером и корытом ? Я один раз пользовался корытом, но не на этой машине - внешне программы очень сходны. На этой машине пользовался исключительно инсталлированным сканером, который, видимо, при запуске со стороннего Лив ЦД был воспринят в качестве корыта - тогда есть отличная возможность забрать перемещенный файл из карантина корыта, хотя тупой поиск по диску С, единственному в системе, не дал результата по данному названию.

Так же выполнил поиск всех имеющихся баков на компутере и проверил их сканером - вирусов не обнаружено

Проверил папку Систем32 со всеми вложенными - аналогично

Позвонил в удаленный офис и попросил посмотреть на оставшихся рабочих станциях наличие файла в папке Темп - нигде его не обнаружено, если имя уникально. Вирусные базы обновляются без проблем.

[Borka]

В реестре имеется вот такая запись по пути
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
Строковый параметр - midi9
Значение - C:\TEMP\nryk.bak 2nHAPKGEHD

ПОСЛЕ лечения?

Да, сейчас удалил руками.

ИМХО, бага с лечением. Жаль, что сэмпла нет.

У вас есть описание алгоритма работы 137ого - я бы мог проверить некоторые моменты.

Описания нет.

зы Какое принципиальное отличие между сканером и корытом ? Я один раз пользовался корытом, но не на этой машине - внешне программы очень сходны. На этой машине пользовался исключительно инсталлированным сканером, который, видимо, при запуске со стороннего Лив ЦД был воспринят в качестве корыта - тогда есть отличная возможность забрать перемещенный файл из карантина корыта, хотя тупой поиск по диску С, единственному в системе, не дал результата по данному названию.

КуреИт это и есть сканер с некоторой обвязкой и жестко прошитыми ключами комстроки.

[rummi]

Я понял, а карантин в Документс энд сеттингс и Инфектед в папке Веба - соответственно курыта и сканера ?

Попробую сейчас проверить машину ... гммм ... сторонним антивирусным пакетом, заслуживающим доверия (но Веб форева, разумеется ) - по результатам отпишусь.

[rummi]

Судя по тому, что обновленной версии ЛивЦД пока еще нет на фтп - парни работают над вопросом

2 borka

Онлайн проверка (максимально возможная) одним из, на мой потребительский взгляд, вполне достойных антивирусных пакетов не дала результата - pretty clean

Завтра (сегодня не получается) выполню проверку в качестве подключенного сетевого ресурса с компьютера, имеющего другой антивирусный пакет; а вот если и он ничего не отыщет - тады ой. Хотя подобная новость, на мой взгляд, будет значительно приятнее, чем найденное для исследований какое-либо тело

[Borka]

Я понял, а карантин в Документс энд сеттингс и Инфектед в папке Веба - соответственно курыта и сканера ?

Да.