Перейти к содержимому


Фото
- - - - -

SpIDer Gate и SpIDer Mail для Windows не запущен


  • Please log in to reply
94 ответов в этой теме

#81 Vladimir K.

Vladimir K.

    Member

  • Posters
  • 198 Сообщений:

Отправлено 15 Январь 2016 - 15:15

В соседней ветке говорится об удалении вредоносного ПО после 10 (ДЕСЯТИ!!!) зашифрованных файлов.

 

Там, в соседней ветке, интересная для Вас информация в конце, видимо, Вы до нее не добрались. 



#82 zirro.s

zirro.s

    Member

  • Posters
  • 132 Сообщений:

Отправлено 15 Январь 2016 - 15:35

Я может не догоняю что. Вы имеете в виду: "А если шифрование начнется не на локальном, а сетевом диске, доступ к которому спайдер не проверяет?"

По моим представлениям (и по прошлому горькому опыту) шифровальщик начинает своё "грязное" дело с локальных дисков (а точнее идёт по алфавиту), потом за сетевые берётся. У меня шифровальщик сработал только на шаре (или я не смог найти его следы на других компах)

Или: "Защищать нужно все компы иначе всегда будет брешь, лечить по сети компы бесполезно " - так у меня и есть.

Или что? 


Сообщение было изменено zirro.s: 15 Январь 2016 - 15:36


#83 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 874 Сообщений:

Отправлено 15 Январь 2016 - 15:40

Все верно, только пока не до конца понятно, как и где должен сработать спайдер, чтобы остановить шифровальщика. Почему у вас только сетевой путь смонтированный на S: оказался зашифрован, тоже непонятно, может быть разновидность шифровальщика такая, что начала в обратном порядке следования дисков. А может быть все-таки есть зараженная тачка с зашифрованными файлами.

Сообщение было изменено IlyaS: 15 Январь 2016 - 15:41


#84 zirro.s

zirro.s

    Member

  • Posters
  • 132 Сообщений:

Отправлено 15 Январь 2016 - 16:10

Все верно, только пока не до конца понятно, как и где должен сработать спайдер, чтобы остановить шифровальщика. Почему у вас только сетевой путь смонтированный на S: оказался зашифрован, тоже непонятно, может быть разновидность шифровальщика такая, что начала в обратном порядке следования дисков. А может быть все-таки есть зараженная тачка с зашифрованными файлами.

 

И то и то может быть, только нет подтверждения никакой из версий. Ну и может зря я сразу не обратился сюда или в ТП, может по горячим следам и нашли бы чего. Просто на тот момент важно было запуститься поскорей (всем после НГ видимо поработать захотелось), а так как после восстановления файлов проблема рассосалась, то я и не стал "поднимать шум" .



#85 Vladimir K.

Vladimir K.

    Member

  • Posters
  • 198 Сообщений:

Отправлено 15 Январь 2016 - 22:47

В таких случаях обычно помогает тщательное исследование содержимого почты пользователей, включая почту за несколько дней до инцидента, а также папку с удаленными письмами в почте.



#86 Vladimir K.

Vladimir K.

    Member

  • Posters
  • 198 Сообщений:

Отправлено 05 Февраль 2016 - 10:27

В продолжение темы - на одной из станций дня три назад вдруг сами собой отключились Gate и Mail, симптомы абсолютно те же, что и у ТС. Сразу же проверили машину на наличие файла _ftcgpk.dll - не нашли. Тогда стали выяснять, что из ПО устанавливалось за последние 4 дня. Выявили установку mTorrent и Opera. В результате, после удаления Opera все заработало. Мы даже не успели номер версии запомнить, так как на нее меньше всего падало подозрение. Если разработчикам интересно, могу скинуть отчет с этой станции.



#87 Kirill Polubelov

Kirill Polubelov

    Forth Thinker

  • Dr.Web Staff
  • 3 481 Сообщений:

Отправлено 05 Февраль 2016 - 11:28

Конечно интересно.


(exit 0)


#88 Vladimir K.

Vladimir K.

    Member

  • Posters
  • 198 Сообщений:

Отправлено 05 Февраль 2016 - 14:06

Отправил в личку



#89 Vladimir K.

Vladimir K.

    Member

  • Posters
  • 198 Сообщений:

Отправлено 10 Июнь 2016 - 14:57

Сегодня у клиента снова возникла такая же проблема - не запускаются Mail и Gate. После выходных будем разбираться. Сорри за некропостинг.



#90 Vladimir K.

Vladimir K.

    Member

  • Posters
  • 198 Сообщений:

Отправлено 23 Июнь 2016 - 15:03

Поиски ни к чему не привели, все предыдущие способы не работают. Хочу отправить Кириллу в личку отчет со станции, если можно. Да, кстати, там стоит какой-то электронный ключ неизвестной мне системы и в диспетчере устройств на нем желтый значок, пишет, что драйвера установлены некорректно. Возможно, причина кроется здесь. Пока же Gate и Mail так и не запускаются.



#91 Kirill Polubelov

Kirill Polubelov

    Forth Thinker

  • Dr.Web Staff
  • 3 481 Сообщений:

Отправлено 28 Июнь 2016 - 10:57

Пять страниц, начало полгода назад, пощадите, Владимир =) Напомните, пожалуйста, коротенько, в чём заключается проблема, и да, можно в личку отчёт по станции.


Сообщение было изменено Kirill Polubelov: 28 Июнь 2016 - 10:58

(exit 0)


#92 Vladimir K.

Vladimir K.

    Member

  • Posters
  • 198 Сообщений:

Отправлено 29 Июнь 2016 - 10:22

Постараюсь так больше не делать. Если коротко - то на станции в один прекрасный момент перестали запускаться компоненты Gate и Mail. Мы уже пару раз сталкивались с такой проблемой - в первый раз виновником был файл _ftcgpk.dll от старого Сберовского клиент-банка. Во второй раз помогло удаление свежеустановленного браузера Opera. В этот раз оба предыдущих способа не работают. Сегодня, кстати, решили переустановить агента на станции, для чего удаленно запустили там ремувер, но он так и не смог отработать, выдал ошибку. Отправляю отчет со станции и скрин результата работы ремувера в личку, правда он немного не свежий, так как с доступом туда есть проблемы.



#93 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 384 Сообщений:

Отправлено 29 Июнь 2016 - 14:12

Vladimir K., плюсуюсь за проблему и симптомы (но понимаю, что причины другие могут быть). Тоже отправил отчет, только Косте в почту.



#94 Vladimir K.

Vladimir K.

    Member

  • Posters
  • 198 Сообщений:

Отправлено 29 Июнь 2016 - 14:41

В общем, обнаружили, что станция находилась в режиме тестового запуска, вернули обычный режим. Потом ручками почистили реестр и переустановили агента. Пока полет нормальный, будем наблюдать, но похоже, все работает. Так и не поняли, что это было.



#95 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 255 Сообщений:

Отправлено 29 Июнь 2016 - 15:19

Vladimir K., плюсуюсь за проблему и симптомы (но понимаю, что причины другие могут быть). Тоже отправил отчет, только Косте в почту.

у тебе скорее всего тоже что то похожее на ftcgpk.dll, когда крипто либы авторизации игнорят флаги не показывать UI и показывают гуи с вводом отпечатка, смарт карты и т.п. из контекста local system
With best regards, Konstantin Yudin
Doctor Web, Ltd.


Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых