Перейти к содержимому


Фото
- - - - -

Ошибка установки 5-й версии


  • Закрыто Тема закрыта
78 ответов в этой теме

#21 zbugz

zbugz

    Member

  • Posters
  • 158 Сообщений:

Отправлено 26 Декабрь 2008 - 11:10

Логи покажите где видно описанное.

Ну если был нормально установлен drweb 5.0 и потом произошло заражение неизвестным ему вирусом, то убрать запуск своих модулей из Run 5.0 не дал бы. Доказательство противного - только с логами.

Выше есть ссылка на тему, а в той теме логи. Что 5-я версия его пропускает, что 4.44. Я же выше все написал.

#22 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 129 Сообщений:

Отправлено 26 Декабрь 2008 - 19:24

что значит заблокирован? не отркывается regedit? наш антииврус такое не востанавливает. это не антииврусу решать кто заблокировал, политикой или нет. есть утилита для таких случаев: Утилита восстановления системы

Regedit открываеться и все показывает, но если пробывать изменить или удалить ветку в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, то пишет что нелдья этого сделать. А если нету инета, тоникакие утилиты не помогут. А вот в касперском все продуманно, ставиться с ошибками, но его хотя бы руками запустить мона. И он убивает это вирус и расблокирует реестр.
Короче, на еще одной фирме которую я обслуживаю, тот же самый троян схватили, настройки тоже такие же, все убивать без запроса в любом случае. Тоже Веб чето погрохал, а остальные зараженные файлы просто позапрещал доступ ;)

Вы сканером или спайдером лечились? Сканер не умеет запрещать доступ к файлам.

Хотя установка убивать все. Толи вирус новый, тооли умный ;) После зарожения троян блокирует Run, удаляет все программы только из Run, ну соответственно после перезагрузки антивирус отключон.
Я его пока оставил, в выходные к ним заеду, все сохраню, тока опять не через багтрекер, так что извеняйте, нету времени пароль искать http://forum.drweb.com/public/style_emoticons/default/tongue.png Надеюсь пограммисты тут обитают ;)
Отправленное изображение


Trojan.Clever что ли?
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#23 zbugz

zbugz

    Member

  • Posters
  • 158 Сообщений:

Отправлено 27 Декабрь 2008 - 13:40

Вы сканером или спайдером лечились? Сканер не умеет запрещать доступ к файлам.

И сканером и спайдер. Орал конечно спайдер.

Trojan.Clever что ли?

Сеня привезу. Помойму firestarter или чето типа того.

#24 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 27 Декабрь 2008 - 21:17

Логи покажите где видно описанное.

Ну если был нормально установлен drweb 5.0 и потом произошло заражение неизвестным ему вирусом, то убрать запуск своих модулей из Run 5.0 не дал бы. Доказательство противного - только с логами.

Выше есть ссылка на тему, а в той теме логи. Что 5-я версия его пропускает, что 4.44. Я же выше все написал.

Ничего ни выше и в теме по ссылке нет по моему вопросу. Читайте внимательно.
drweb 5.0 пропустил вирус - возможно.
вирус заблокировал HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - возможно.
препятствует установке drweb 5.0 - возможно.

После зарожения троян ... удаляет все программы только из Run, ну соответственно после перезагрузки антивирус отключон.

вирус отключил нормально установленный 5.0? Теоретически всё возможно, на практике - поверю только с логами, как уже писал. Пока никаких доказательств не было.
Возможен, конечно, случай, когда не в меру шустрый юзер сам отключил защиту через капчу.

#25 zbugz

zbugz

    Member

  • Posters
  • 158 Сообщений:

Отправлено 28 Декабрь 2008 - 11:06

После зарожения троян ... удаляет все программы только из Run, ну соответственно после перезагрузки антивирус отключон.

вирус отключил нормально установленный 5.0? Теоретически всё возможно, на практике - поверю только с логами, как уже писал. Пока никаких доказательств не было.
Возможен, конечно, случай, когда не в меру шустрый юзер сам отключил защиту через капчу.

Не, никто ниче не отключал, это 100%, троян не отключил напрямую веба, он просто удалил его из автозагрузки из Run и после перезагрузки все и понеслось. И Веб не лечит этот вирус полностью и вообще не запускаеться все что в Run. Причем что 5-я версия, что 4.44, ведут себя однотипно с этим трояном, сначала попустят, потом не запускаються автоматом. А если антивирус удалить, то уже не ставиться он, выше написал че пишет.

З.Ы. Сеня еду за вирусом ;)

#26 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 28 Декабрь 2008 - 16:30

он просто удалил его из автозагрузки из Run и после перезагрузки все и понеслось.

И это со включенным Защитником!? ;)
С уважением,
Борис А. Чертенко aka Borka.

#27 pig

pig

    Бредогенератор

  • Helpers
  • 10 685 Сообщений:

Отправлено 28 Декабрь 2008 - 16:43

он просто удалил его из автозагрузки из Run и после перезагрузки все и понеслось.

И это со включенным Защитником!? ;)

А что, ядрёному драверу это не под силу?
Почтовый сервер Eserv тоже работает с Dr.Web

#28 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 28 Декабрь 2008 - 16:49

он просто удалил его из автозагрузки из Run и после перезагрузки все и понеслось.

И это со включенным Защитником!? ;)

А что, ядрёному драверу это не под силу?

А кстати, да. ;) Если из ядра, то это может быть мимо него...
С уважением,
Борис А. Чертенко aka Borka.

#29 zbugz

zbugz

    Member

  • Posters
  • 158 Сообщений:

Отправлено 28 Декабрь 2008 - 17:08

он просто удалил его из автозагрузки из Run и после перезагрузки все и понеслось.

И это со включенным Защитником!? ;)

Конечно, я же об этом и писал тоже ;)

#30 zbugz

zbugz

    Member

  • Posters
  • 158 Сообщений:

Отправлено 28 Декабрь 2008 - 17:12

Все, поймал вирус, вот ссылка xxxxxxxxxxxx, пароль на архив: 123
Народ, надеюсь тут программисты обитают, надеюсь что заберут вирус. А если нет, то киньте кто нить на баг трекер.

Опять пришлось ставить касперского, он все перебил ;)

#31 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 28 Декабрь 2008 - 17:25

Все, поймал вирус, вот ссылка xxxxxxxxxxxxxxxxxxx
Опять пришлось ставить касперского, он все перебил

Что-то я не понял - во-первых, они все с расширением, которое дает спайдер при перемещении. Во-вторых, Ваш лог спайдера потверждает, что все трояны ловятся. То есть "пятерка" прекрасно их всех знает. В-третьих, зачем каспер, если и Доктор с известными троянами справляется? ;)
С уважением,
Борис А. Чертенко aka Borka.

#32 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 129 Сообщений:

Отправлено 28 Декабрь 2008 - 17:53

Все, поймал вирус, вот ссылка xxxxxxxxxxxx, пароль на архив: 123
Народ, надеюсь тут программисты обитают, надеюсь что заберут вирус. А если нет, то киньте кто нить на баг трекер.

Опять пришлось ставить касперского, он все перебил ;)

дававать в открытую ссылки на вирусы запрещено. пользуйтесь PM. следующий раз будет предупреждение.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#33 zbugz

zbugz

    Member

  • Posters
  • 158 Сообщений:

Отправлено 28 Декабрь 2008 - 20:48

Все, поймал вирус, вот ссылка xxxxxxxxxxxxxxxxxxx
Опять пришлось ставить касперского, он все перебил

Что-то я не понял - во-первых, они все с расширением, которое дает спайдер при перемещении. Во-вторых, Ваш лог спайдера потверждает, что все трояны ловятся. То есть "пятерка" прекрасно их всех знает. В-третьих, зачем каспер, если и Доктор с известными троянами справляется? ;)

Ну все верно, я ж их в карантин наловил, вот они и переименованны.
Он их ловит, торлько не вылавливает до конца, он при перезагрузке живет прекрасно и расмножаеться, а его спайдер блокирует. И каждые 5-10 секунд пишет что он поймал вирус и так до посинения. А касперски пуф-паф и больше его нету.

#34 zbugz

zbugz

    Member

  • Posters
  • 158 Сообщений:

Отправлено 28 Декабрь 2008 - 20:51

дававать в открытую ссылки на вирусы запрещено. пользуйтесь PM. следующий раз будет предупреждение.

Передупреждать надо Отправленное изображение
А кому послать ее, в чей приват то ? Я же написал, что бы мне помогли его запостить на багтрекер или если есть тут представители веба, что что бы забрали, а Вы....Отправленное изображение

#35 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 28 Декабрь 2008 - 20:52

Он их ловит, торлько не вылавливает до конца, он при перезагрузке живет прекрасно и расмножаеться, а его спайдер блокирует. И каждые 5-10 секунд пишет что он поймал вирус и так до посинения.

Значит, неизвестный активный дроппер жил в системе. ;)
С уважением,
Борис А. Чертенко aka Borka.

#36 zbugz

zbugz

    Member

  • Posters
  • 158 Сообщений:

Отправлено 28 Декабрь 2008 - 20:55

Он их ловит, торлько не вылавливает до конца, он при перезагрузке живет прекрасно и расмножаеться, а его спайдер блокирует. И каждые 5-10 секунд пишет что он поймал вирус и так до посинения.

Значит, неизвестный активный дроппер жил в системе. ;)

А можно я тебе пошлю ссылку на вирусы, а ты его в баг трекер ?

#37 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 129 Сообщений:

Отправлено 28 Декабрь 2008 - 21:35

Все, поймал вирус, вот ссылка xxxxxxxxxxxxxxxxxxx
Опять пришлось ставить касперского, он все перебил

Что-то я не понял - во-первых, они все с расширением, которое дает спайдер при перемещении. Во-вторых, Ваш лог спайдера потверждает, что все трояны ловятся. То есть "пятерка" прекрасно их всех знает. В-третьих, зачем каспер, если и Доктор с известными троянами справляется? ;)

Ну все верно, я ж их в карантин наловил, вот они и переименованны.
Он их ловит, торлько не вылавливает до конца, он при перезагрузке живет прекрасно и расмножаеться, а его спайдер блокирует. И каждые 5-10 секунд пишет что он поймал вирус и так до посинения. А касперски пуф-паф и больше его нету.

дело в том что нам скорее всего не известен вирус родитель, который постояно востанавливает. это не баг, нужно его вычислить и добавить в базы.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#38 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 129 Сообщений:

Отправлено 28 Декабрь 2008 - 21:36

дававать в открытую ссылки на вирусы запрещено. пользуйтесь PM. следующий раз будет предупреждение.

Передупреждать надо Отправленное изображение
А кому послать ее, в чей приват то ? Я же написал, что бы мне помогли его запостить на багтрекер или если есть тут представители веба, что что бы забрали, а Вы....

мне послать. но судя по постам это нам мало поможет, все что в этом архиве мы знаем и ловим.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#39 zbugz

zbugz

    Member

  • Posters
  • 158 Сообщений:

Отправлено 29 Декабрь 2008 - 08:21

дававать в открытую ссылки на вирусы запрещено. пользуйтесь PM. следующий раз будет предупреждение.

Передупреждать надо Отправленное изображение
А кому послать ее, в чей приват то ? Я же написал, что бы мне помогли его запостить на багтрекер или если есть тут представители веба, что что бы забрали, а Вы....

мне послать. но судя по постам это нам мало поможет, все что в этом архиве мы знаем и ловим.

Ниче не понял ;) Ловим то ловим, а толку то.... Но я послал http://forum.drweb.com/public/style_emoticons/default/tongue.png Нужно все таки че то сделать, а то уйду к Касперскому ;)
Кто не верит мне, может проверить на себе ;)

#40 Malex

Malex

    спасатель

  • Posters
  • 1 070 Сообщений:

Отправлено 29 Декабрь 2008 - 12:26

zbugz, тут идея в чём. Есть так называемый дроппер - хвостик вируса, основная задача которого всеми мыслимыми и немыслимыми способами восстанавливать вирус, который ты присылал и который успешно ловится и удаляется дрвеб-ом. Это дроппер надёжно сидит где-то в системе и дрвеб его пока ещё не знает. Задача - узнать дроппер, вычислить его, деактировать, упаковать, отправить разработчикам на анализ, указав в комментариях, всё что ты о нём знаешь.

Касперски в данном случае знает и вирус и дроппер и, если ты им лечил систему, после которой всё вновь работало без проблем, то полезным будет покопаться в отчётах касперского и выснить, что же он всё-таки сделал, какие он дополнительные файлы нашёл\удалил и т.д. Те файлы, которые будут отсутствовать в списке отправленных тобой скорей всего и будут дропперами, но это уже задача вирусных аналитиков определить, что из них что ;)
Официальный сертифицированный пользователь ПАК:
PC3000 UDMA & Data Extractor (производитель НПП АСЕ), Raid Explorer (производитель СОФТ-ЦЕНТР), Flash Extractor & Image Explorer (производитель СОФТ-ЦЕНТР), Victoria Full version (автор Сергей Казанский), R-Studio Data Recovery (производитель R-Tools Technology Inc.), GetDataBack for FAT (производитель Runtime Software), GetDataBack for NTFS (производитель Runtime Software), собственные разработки.


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых