Перейти к содержимому


Фото
* * * * * 1 Голосов

Хелп люди! Первый раз такое вижу!


  • Please log in to reply
121 ответов в этой теме

#1 Fanat

Fanat

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 20 Август 2009 - 19:31

В целом описываю проблему.
Жили-жили были два компьютера в одной организации.
Один типа - сервер, второй - клиент. На обоих WinXP SP2 (ставил не я).
На первом стоит "Галактика", "КонсультантПлюс" и "Клиент-Банк".
Недели две назад тараканы живущие в компах жизни вообще не давали. НУ и попросили что-нибудь сделать. (по доброте душевной, совершенно бесплатно). Проверил сперва Cureit (было много всяких), и далее поставил демо DrWeb 5.0 на 30 дней. НАстроил, что бы если вирус, то пытается вылечить, если не выходит, то удаляет. Вроде как начали компы, даже работали неплохо.
НО.
пересказываю вкратце логи программ...
сегодня.
8.00 - Запуск антивирусы, тест баз - ок.
9.00 - запуск клиент-банка, отправка платежек в банк. Последняя платежка была отправлена в 10.05. Окно Клиент-БАнка просто было свернуто.
директор уехал, все раслабились, никто ничего вообще не делал.. сидели болтали..
10.30 приходит человек с КонсультантПлюс и обновляет базы. Последнее обновление в 10.39. Человек обновил и уехал.
11.01 бухгалтер разворачивает окно клиент-банка и тут. лог из dr.web своими словами:
11.01.10 - c:\bank\data\client.mdb - возможно Вирус, скрипт
11.01.50 - c:\bank\data\client.mdb - действие - удален.

Скажите как такое могло произойти и возможно ли как-нибудь восстановить этот файл... это вся база с размером 300 мб. резервная копия только за декабрь прошлого года.

Сообщение было изменено Fanat: 20 Август 2009 - 20:05


#2 Malex

Malex

    спасатель

  • Posters
  • 1 070 Сообщений:

Отправлено 20 Август 2009 - 19:49

В целом описываю проблему.
Жили-жили были два компьютера в одной организации.
Один типа - сервер, второй - клиент. На обоих WinXP SP2 (ставил не я).
На первом стоит "Галактика", "КонсультантПлюс" и "Клиент-Банк".
Недели две назад тараканы живущие в компах жизни вообще не давали. НУ и попросили что-нибудь сделать. (по доброте душевной, совершенно бесплатно). Проверил сперва Cureit (было много всяких), и далее поставил демо DrWeb 5.0 на 30 дней. НАстроил, что бы если вирус, то пытается вылечить, если выходит, то удаляет. Вроде как начали компы, даже работали неплохо.
НО.
пересказываю вкратце логи программ...
сегодня.
8.00 - Запуск антивирусы, тест баз - ок.
9.00 - запуск клиент-банка, отправка платежек в банк. Последняя платежка была отправлена в 10.05. Окно Клиент-БАнка просто было свернуто.
директор уехал, все раслабились, никто ничего вообще не делал.. сидели болтали..
10.30 приходит человек с КонсультантПлюс и обновляет базы. Последнее обновление в 10.39. Человек обновил и уехал.
11.01 бухгалтер разворачивает окно клиент-банка и тут. лог из dr.web своими словами:
11.01.10 - c:\bank\data\client.mdb - возможно Вирус, скрипт
11.01.50 - c:\bank\data\client.mdb - действие - удален.

Скажите как такое могло произойти и возможно ли как-нибудь восстановить этот файл... это вся база с размером 300 мб. резервная копия только за декабрь прошлого года.

Восстановить из папки Infected в программной папке Доктора Веба.
Чтобы не повторилось - отправить по ссылке сверху Send Virus с пометкой ложное срабатывание.

P.S. Так как mdb большой, то для начала попробуйте его просто сжать - и ложное срабатывание может пройти. (открыть mdb через аксесс и выбрать соответствующие опции).
Иначе залить на какой-нибудь файловый хостинг и отправить через форму ссылку.
Официальный сертифицированный пользователь ПАК:
PC3000 UDMA & Data Extractor (производитель НПП АСЕ), Raid Explorer (производитель СОФТ-ЦЕНТР), Flash Extractor & Image Explorer (производитель СОФТ-ЦЕНТР), Victoria Full version (автор Сергей Казанский), R-Studio Data Recovery (производитель R-Tools Technology Inc.), GetDataBack for FAT (производитель Runtime Software), GetDataBack for NTFS (производитель Runtime Software), собственные разработки.

#3 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 103 Сообщений:

Отправлено 20 Август 2009 - 19:51

Восстановить из папки Infected в программной папке Доктора Веба.

не будет там ничего, действие выбрано удалить. причем настроено собственноручно такое действие для подозрительных. как говорится ссзб.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#4 Malex

Malex

    спасатель

  • Posters
  • 1 070 Сообщений:

Отправлено 20 Август 2009 - 19:53

Восстановить из папки Infected в программной папке Доктора Веба.

не будет там ничего, действие выбрано удалить. причем настроено собственноручно такое действие для подозрительных. как говорится ссзб.

Пардон, спутал с переместить.
У меня просто все эти опасные действия именно на переместить настроены.

По сабжу. Похоже никак... Штатными средствами.
Официальный сертифицированный пользователь ПАК:
PC3000 UDMA & Data Extractor (производитель НПП АСЕ), Raid Explorer (производитель СОФТ-ЦЕНТР), Flash Extractor & Image Explorer (производитель СОФТ-ЦЕНТР), Victoria Full version (автор Сергей Казанский), R-Studio Data Recovery (производитель R-Tools Technology Inc.), GetDataBack for FAT (производитель Runtime Software), GetDataBack for NTFS (производитель Runtime Software), собственные разработки.

#5 Andrey_Kr

Andrey_Kr

    Advanced Member

  • Posters
  • 665 Сообщений:

Отправлено 20 Август 2009 - 20:00

Может лучше отключить script.virus вообще. Я видел десятки ложных срабатываний script.virus и не одного детекта по делу. Особенно он любит mdb файлы.

#6 Guest_EzzO_*

Guest_EzzO_*
  • Guests

Отправлено 20 Август 2009 - 20:04

А восстановление системы поможет?

#7 Fanat

Fanat

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 20 Август 2009 - 20:05

Пробовал восстановить изи рековери.. он ничего не нашел.
Возникает вопрос, по какому принципу он удаляет файлы... может вообще восстановить уже нереально???

А восстановление системы поможет?

к счастью была включена данная опция... завтра попробую скажу.. просто побоялся это делать...

как говорится ссзб.

а можно расшифровку.. видимо что-то нехорошее...

#8 Guest_EzzO_*

Guest_EzzO_*
  • Guests

Отправлено 20 Август 2009 - 20:14

к счастью была включена данная опция... завтра попробую скажу.. просто побоялся это делать...

Только перед восстановлением отключите самозащиту у Доктора.

#9 Fanat

Fanat

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 20 Август 2009 - 20:19

Может лучше отключить script.virus вообще. Я видел десятки ложных срабатываний script.virus и не одного детекта по делу. Особенно он любит mdb файлы.

как это сделать?

Только перед восстановлением отключите самозащиту у Доктора.


аха.. спасибо.. завтра к вечеру ждите отчет...

#10 Pavel Plotnikov

Pavel Plotnikov

    guru

  • Members
  • 5 276 Сообщений:

Отправлено 20 Август 2009 - 20:20

как говорится ссзб.

а можно расшифровку.. видимо что-то нехорошее...

* Сам Себе Злобный Буратино (сокр. ССЗБ) — фразеологический жаргонизм, происходящий из компьютерной среды. Возник, по-видимому, в конце 1990-х в русском сегменте сети Фидонет, где получил широкое распространение. Возводится к фразе кота Базилио «Буратино, ты сам себе враг» в фильме.
GUI/Android/iOS/WP8/волейбол

#11 Guest_EzzO_*

Guest_EzzO_*
  • Guests

Отправлено 20 Август 2009 - 20:24

аха.. спасибо.. завтра к вечеру ждите отчет...

Теперь лучше за место действия "Удалить" поставьте действие "Переместить". :)

#12 Guest_EzzO_*

Guest_EzzO_*
  • Guests

Отправлено 20 Август 2009 - 20:28

2 Konstantin Yudin
А может для детекта "возможно(эвристики)" автоматом назначить действие "Переместить"?

#13 Fanat

Fanat

    Newbie

  • Posters
  • 21 Сообщений:

Отправлено 20 Август 2009 - 20:37

аха.. спасибо.. завтра к вечеру ждите отчет...

Теперь лучше за место действия "Удалить" поставьте действие "Переместить". :)

сделал.. вот тока поздно..

за БУратино спасибо...

#14 Пол Банки

Пол Банки

    Poster

  • Posters
  • 1 974 Сообщений:

Отправлено 20 Август 2009 - 21:04

не надо подозрительные перемещать автоматом.
среди них могут быть явные фолсы, в общем, смотреть самому надо - "информировать"...

#15 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 20 Август 2009 - 21:10

сделал.. вот тока поздно..

Ну никто не застрохован от ложняка. :) И не забудьте файл в вирлаб отправить(ссылка в подписи) с пометкой на "ложное срабатывание"

Это тот файл отправить, который удален?
С уважением,
Борис А. Чертенко aka Borka.

#16 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 20 Август 2009 - 21:12

не надо подозрительные перемещать автоматом.
среди них могут быть явные фолсы, в общем, смотреть самому надо - "информировать"...

Когда выставлено "Информировать", то активна кнопка "Удалить". Угадайте с трех раз, что выберет пользователь, получив такое сообщение?
С уважением,
Борис А. Чертенко aka Borka.

#17 Malex

Malex

    спасатель

  • Posters
  • 1 070 Сообщений:

Отправлено 20 Август 2009 - 21:15

не надо подозрительные перемещать автоматом.
среди них могут быть явные фолсы, в общем, смотреть самому надо - "информировать"...

Когда выставлено "Информировать", то активна кнопка "Удалить". Угадайте с трех раз, что выберет пользователь, получив такое сообщение?

Ммм...
1) Удалить?
2) Удалить?
3) или Удалить?
Официальный сертифицированный пользователь ПАК:
PC3000 UDMA & Data Extractor (производитель НПП АСЕ), Raid Explorer (производитель СОФТ-ЦЕНТР), Flash Extractor & Image Explorer (производитель СОФТ-ЦЕНТР), Victoria Full version (автор Сергей Казанский), R-Studio Data Recovery (производитель R-Tools Technology Inc.), GetDataBack for FAT (производитель Runtime Software), GetDataBack for NTFS (производитель Runtime Software), собственные разработки.

#18 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 20 Август 2009 - 21:22

Восстановить из папки Infected в программной папке Доктора Веба.

не будет там ничего, действие выбрано удалить. причем настроено собственноручно такое действие для подозрительных. как говорится ссзб.

Дык эта... Юзер будет ССЗБ в любом случае. Лицензионное соглашение никто не читает - Доктор ни за что не отвечает. Это во-первых. А во-вторых, пользователь, однако, по умолчанию получит запрос при "Информировать" с активной кнопкой "Удалить". Сам же и удалит. Тоже ССЗБ? С одной стороны, от ложняков не застрахован никто, с другой - мало кто знает, ЧТО и КАК надо делать.

Можно составить опрос - какое действие вы выберите, если получите сообщение "probably infected with DLOADER.Trojan"...
В логе, например, будет:
20-08-2009 21:16:43 [CL] (PID = 0388) F:\zzzz\next5.#xe - packed by UPX
20-08-2009 21:16:43 [CL] (PID = 0388) F:\zzzz\next5.#xe - probably infected with DLOADER.Trojan
?
С уважением,
Борис А. Чертенко aka Borka.

#19 Пол Банки

Пол Банки

    Poster

  • Posters
  • 1 974 Сообщений:

Отправлено 20 Август 2009 - 21:24

не надо подозрительные перемещать автоматом.
среди них могут быть явные фолсы, в общем, смотреть самому надо - "информировать"...

Когда выставлено "Информировать", то активна кнопка "Удалить". Угадайте с трех раз, что выберет пользователь, получив такое сообщение?

возможно и удалить. а почему она должна быть активная?

#20 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 20 Август 2009 - 21:25

не надо подозрительные перемещать автоматом.
среди них могут быть явные фолсы, в общем, смотреть самому надо - "информировать"...

Когда выставлено "Информировать", то активна кнопка "Удалить". Угадайте с трех раз, что выберет пользователь, получив такое сообщение?

Ммм...
1) Удалить?
2) Удалить?
3) или Удалить?

Скорее
1) Удалить?
2) Удалить...
3) Удалить!
С уважением,
Борис А. Чертенко aka Borka.


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых