73 ответов в этой теме

[talka3]

Эвристика - это "возможно, инфицирован". То есть, ещё не факт. IMHO, даже origin может налажать в лечении, если похожесть неверно определится.

Вообще эта эвристика какая-то странная... Толи она есть, толи ее нет... За все время пользования Вебом всего раза три (!!!) видел это сообщение... 8-/

Так надо ж разобраться! userinit или нет, переименовывает или берёт из DllCache и т.д. А вы предлагаете сразу сигнатуру в базу.

Ну блин, самому не смешно? Если мы уже знаем (а мы знаем - я ведь говорю про те файлы, которые статистика вирустотал показывает) что userinit.exe это вирус - чего там разбирать? Рассказываю суперсложный аглоритм: прибиваем файл с вирусом (userinit.exe) и берем оригинальный файл из dllcache. По желанию можно взять его из userini.exe, если он есть рядом.

Мда. Это точно ещё тормознее будет - дождаться результатов проверки, потом искать описания по именам, а описаний может и не быть, а для новья скорее всего и нет... Час времени улетел впустую.

Вы хоть раз вирустоталом пользовались? Чего "дожидаться", провера длится максимум пару-тройку минут. А где лежат описания вирусов - тоже давно известно. Да и ведь у многих поведение одинаковое. И что такое "час", когда файло (я ведь опять это припомню :-)) со статистикой 29/33 "обрабатывается" третью неделю!!!

Первичное вскрытие наверняка делает робот, будьте уверены. Вручную обрабатывать такое количество тел, какое попадает в вирлаб, нереально.

Так вот непохоже, что робот... 8-/ Какое там вскрытие, распаковку сделать да функции внутри посмотреть? Это и на вирустотале один из антивирей делает, прям в онлайне...

[Valery Ledovskoy]

а мы знаем - я ведь говорю про те файлы, которые статистика вирустотал показывает

Не всегда остальные антивирусы правы. Сталкивался с ситуацией, когда на вирустотале многие антивирусы говорят на файл, что это вирус, а наша лаборатория после детального анализа говорит, что файл битый или не является вирусом. Есть антивирусы, которые верят исключительно вирустоталу и добавляют в базу всё без разбора. В результате огребают тонны ложных срабатываний.

--
Стать нашим партнёром просто: ICQ# 152737478
Задать вопрос про Dr.Web ещё проще: http://support.drweb.com/new/feedback

[mrbelyash]

"userinit.exe это вирус - чего там разбирать? Рассказываю суперсложный аглоритм: прибиваем файл с вирусом (userinit.exe) и берем оригинальный файл из dllcache. По желанию можно взять его из userini.exe, если он есть рядом."

"Синие окошечки смерти" вам в руки...



-------------------------------------------
Искренне Ваш,мистер Беляш
http://mrbelyash.narod.ru

[account has been deleted]

берем оригинальный файл из dllcache. По желанию можно взять его из userini.exe, если он есть рядом."

Даже если это и будет так как ВЫ говорите, сколько пользователей способны на такие танцы с бубном? Или Ваша осведомленность есть норма жизни для всех категорий пользователей?
Если Вы пытаетесь удивить всех, своей подкованностью, то уже, зачем дальше раздувать из мухи слона?

P.S. Сегодня чтоб Вы не стали хирургом.

[Borka]

Синьки не будет - юзер зайти в систему не сможет...

---
С уважением,
Borka.

[pig]

файл с вирусом (userinit.exe) и берем оригинальный файл из dllcache. По желанию можно взять его из userini.exe, если он есть рядом.

Э, отстаёте от жизни. Уже не userini.exe, уже другое имя, зависит от версии зверя. Навскидку две вполне возможные модификации, которые можно ждать в недалёком будущем:
- подмена файла и в dllcache тоже
- оригинальному файлу присваивается рандомное имя, которое сохраняется в потаённом ключе реестра

[DoC]

)))
верно-верно....
лапками лечить - тока неизвестных зверей. а то что детектится - может прекрасно лечить антивирь.
Просто пану, создавшему топик многое непонятно в тяжелых буднях вирусописателей и вирлабов - посему и такие высказывания.
---
А все так хорошо начиналось...

[talka3]

"Синие окошечки смерти" вам в руки...

Ну сэр конечно может объяснить, и из-за чего они могут возникнуть? Или опять решил попугать страшными словами из серии реестр, bsod, ...? :-)

Если в dllcache нормальный файл - то все становится нормально. Если в dllcache вирус - ну получим мы снова вирус. "Синие окошечки" то откуда возьмутся?

[talka3]

Ну вообще-то изначально я говорил об _одном конкретном варианте вируса_, который впервые появился на вирустотале в начале марта(!). Я его посылал месяц(!) назад, в первой половине июля. Поведение его _известно_. Чего еще надо-то? А Веб его не лечит до сих пор...

Или в вирлабе решили выждать, пока еще десяток вариантов появится, да? 8-) А то, что старые варинаты спокойно живут - фигня, мелочи...

[account has been deleted]

Ну вообще-то изначально я говорил

Дык Вам изначально и сказали что делать, дак Вам видать мало показалось, развели тут флуд, думаете поможет что ли?
Тут у каждого миниму по тикету зависло (смотрите ветку Необработанные тикеты), давайте жувать ету бадягу в каждой ветке.

[talka3]

лапками лечить - тока неизвестных зверей. а то что детектится - может прекрасно лечить антивирь.

...А поскольку неизвестно, какие твари попадутся на принесенном юзерами компе - то _в любом случае_ приходится "лапками лечить". Да, с последующим прогоном Вебом - но все равно "лапками"...
Ну и? Что тут "верно-верно"?

Просто пану, создавшему топик многое непонятно в тяжелых буднях вирусописателей и вирлабов - посему и такие высказывания.

Конечно непонятно. Потому что выглядит как в анекдоте - сами себе создаем трудности, а потом их в "тяжелых буднях" решаем... 8-
Вместо того, чтобы просто добавить в базу вирь, о котором все известно (см. про userinit) - его "обрабатывают" уже месяц минимум...

[talka3]

_Изначально_ я писал про непонятки с обработкой вирусов и пришедшими ответами. Ну и про то, что надо бы _быстрее менять_ систему обработки файлов в вирлабе.

В ответ мне тут начали про "сложности с обработкой вирусов", "трудные будни вирлаба"... На что я собсно и писал практически все ответы - нечего муд[р]ить с обработкой того, что и так известно.

А изображать из себя майл-робота, кидая повторно номера тикетов в тему и вирусы на "обработку" - очень занимательное занятие, спасибо...

[account has been deleted]

Изначально_ я писал про непонятки с обработкой вирусов и пришедшими ответами. Ну и про то, что надо бы _быстрее менять_ систему обработки файлов в вирлабе.

В супорт с пожеланиями или меняйте АВ.

В ответ мне тут начали про "сложности с обработкой вирусов", "трудные будни вирлаба"... На что я собсно и писал практически все ответы - нечего муд[р]ить с обработкой того, что и так известно.

А Вы что ждали?, Мы тут сидим не жужим по вашему, а тут Вы прекрасный и великий, глаза всем нам темным не граммотным раскрыли и тут все побежали вспотыкаясь.

А изображать из себя майл-робота, кидая повторно номера тикетов в тему и вирусы на "обработку" - очень занимательное занятие, спасибо...

Ваше право.

[talka3]

А Вы что ждали?, Мы тут сидим не жужим по вашему, а тут Вы прекрасный и великий, глаза всем нам темным не граммотным раскрыли и тут все побежали вспотыкаясь.

Ну ваще, анекдот продолжается... 8-)

Так ежли у вас с работой все нормально - чего-ж тогда _сами предлагаете_ себя "подпинывать", посылая повторно файлы, скидывая номера тикетов в специально созданную тему?!?!?

Хреновато как-то "жужжите", получается... Или у вас там файлы до обработки не доходят? Или на них внимания не обращают? Зачем еще тогда такие методы?