Trojan:win32/vundo.gen!r
Автор
Kristina
, янв 12 2009 12:46
7 ответов в этой теме
#1
Отправлено 12 Январь 2009 - 12:46
Здравствуйте! На сервере с операционной системой microsoft windows server 2003 standard edition установлен Доктор Вэб версии 4.44.5 с обновлениями на 10 января 2009г. проводилась регулярная полная проверка всей системы, но антивирус никаких вредоносных объектов не обнаружил, однако средство для удаления вредоносных программ windows-kb890830-v2.5.exe обнаружило и удалило вредоносную программу Trojan:Win32/Vundo.gen!R. По поиску на сайте в вирусной базе Доктор Вэб этой вредоносной программы тоже нет, значит Доктор Вэб её не видит?
#2
Отправлено 12 Январь 2009 - 14:08
Без логов мелкософтной утилиты говорить не о чем. Потому как неясно, где она ЭТО нашла. Я так понимаю, что тело однозначно не сохранилось, поэтому аналитики его не увидят
Названия заразы у Доктора свои, поиск по чужим именам малоэффективен.
Названия заразы у Доктора свои, поиск по чужим именам малоэффективен.
Почтовый сервер Eserv тоже работает с Dr.Web
#3
Отправлено 12 Январь 2009 - 16:03
без файла и логов гадать можно долго.
With best regards, Konstantin Yudin
Doctor Web, Ltd.
Doctor Web, Ltd.
#4
Отправлено 12 Январь 2009 - 16:58
Содержимое C:\WINDOWS\Debug\mrt.logбез файла и логов гадать можно долго.
Прикрепленные файлы:
#5
Отправлено 12 Январь 2009 - 17:03
Содержимое C:\WINDOWS\Debug\mrt.logбез файла и логов гадать можно долго.
утилита нашла файлы в карантине avz. это не активный вирус.
Found virus: Trojan:Win32/Vundo.gen!R in file://G:\Флешки\мне\green\Дашка\Рабочий стол\avz4\Infected\2008-11-08\avz00001.dta
Found virus: Trojan:Win32/Vundo.gen!R in file://G:\Флешки\мне\green\Дашка\Рабочий стол\avz4\Infected\2008-11-08\avz00002.dta
Found virus: Trojan:Win32/Vundo.gen!R in file://G:\Флешки\мне\green\Дашка\Рабочий стол\avz4\Infected\2008-11-08\avz00003.dta
диск G это что? он был доступен в момент проверки нашим ав? жаль без файлов уже не узнать знали мы их или нет.
With best regards, Konstantin Yudin
Doctor Web, Ltd.
Doctor Web, Ltd.
#6
Отправлено 12 Январь 2009 - 17:33
Получается что одна утилита среагировала на другую?
Диск G это съёмный жёсткий он подключен постоянно.
Диск G это съёмный жёсткий он подключен постоянно.
#7
Отправлено 12 Январь 2009 - 17:43
Кристина, файлы *.dta раньше были обычными файлы, которые были признаны заражёнными\сомнительными и переименованны в dta утилитой Зайцева Олега AVZ, на флешке у Вас именно эта утилита и находится. Рядом с каждый avz00001.dta есть такой же avz00001.ini в котором указаны перевоначальные имена и пути данного файла.Получается что одна утилита среагировала на другую?
Диск G это съёмный жёсткий он подключен постоянно.
DrWeb - это всё-таки программный продукт
AVZ - утилита Зайцева Олега, упрощающая жизнь при поиске вирусов
Утилита от майкрософт прошлась по флешке и нашла *.dta, которые и являются вирусами. Если они не были уничтожены, то их можно проверить Доктором Вебом
Официальный сертифицированный пользователь ПАК:
PC3000 UDMA & Data Extractor (производитель НПП АСЕ), Raid Explorer (производитель СОФТ-ЦЕНТР), Flash Extractor & Image Explorer (производитель СОФТ-ЦЕНТР), Victoria Full version (автор Сергей Казанский), R-Studio Data Recovery (производитель R-Tools Technology Inc.), GetDataBack for FAT (производитель Runtime Software), GetDataBack for NTFS (производитель Runtime Software), собственные разработки.
PC3000 UDMA & Data Extractor (производитель НПП АСЕ), Raid Explorer (производитель СОФТ-ЦЕНТР), Flash Extractor & Image Explorer (производитель СОФТ-ЦЕНТР), Victoria Full version (автор Сергей Казанский), R-Studio Data Recovery (производитель R-Tools Technology Inc.), GetDataBack for FAT (производитель Runtime Software), GetDataBack for NTFS (производитель Runtime Software), собственные разработки.
#8
Отправлено 12 Январь 2009 - 18:51
Ориентируясь на местонахождение:
- это карантин от 8 ноября
- там лежала чётко определённая (не подозреваемая) зараза
То есть, троян, известный как минимум два месяца.
Уточняющий вопрос: когда в последний раз этот диск сканировался Доктором? Сканировался ли он полностью или выборочно?
- это карантин от 8 ноября
- там лежала чётко определённая (не подозреваемая) зараза
То есть, троян, известный как минимум два месяца.
Уточняющий вопрос: когда в последний раз этот диск сканировался Доктором? Сканировался ли он полностью или выборочно?
Почтовый сервер Eserv тоже работает с Dr.Web
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых