Перейти к содержимому


Фото
- - - - -

Sorry, Processing Error On Mypc Has Been Detected! – Dr.web


  • Please log in to reply
8 ответов в этой теме

#1 BuTKaH

BuTKaH

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 05 Август 2009 - 19:48

версия 4.44 В оповещениях появляются подобные ошибки, причем с кучи станций и разными объектами. Меняется "Object".
Может кто подсказать что это или где почитать? Файлы которые он видит не инфицированы, но может их надо в исключения попихать?

>Station: MyPC (tcp/192.168.1.10:1081).
>Time: 05/08/2009 09:34:09.650.
>Source: Dr.Web ® Enterprise Scanner for Windows (NT AUTHORITY\SYSTEM:NT AUTHORITY\SYSTEM).
>Object: "c:\windows\system32\drivers\sptd.sys" (Unknown).
>Error: read error
>
>--
>Sincerely yours,
>Dr.Web ® Enterprise Server 4.44.2-200803120 (Windows 2003 Standard Edition x86 (Build 3790), Service Pack 2)

PS Я с Вебом общаюсь недавно, так что извините если вопрос криво поставил. Придется постигать азы, т.к. общаться с ним придется еще долго.
ЗЫ

#2 Eugeny Gladkih

Eugeny Gladkih

    the Spirit of the Enlightenment

  • Dr.Web Staff
  • 5 249 Сообщений:

Отправлено 05 Август 2009 - 21:34

можно и в исключения, этот файлик прячется

#3 BuTKaH

BuTKaH

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 06 Август 2009 - 19:52

pagefile.sys
1eab20.rbf
66cf83b.rbf
NTUSER.DAT
ntuser.dat.LOG
WINNT\system32\config\SAM
WINNT\system32\config\SAM.LOG
OFFICE\OFFICE97.RUS\DISK10\MSO97_10.CAB

И это только малая часть файлов на которые приходят сообщения. Может есть другой выход (не исключения)? Я не могу понять что ему не нравится, он их проверить не может?

#4 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 401 Сообщений:

Отправлено 06 Август 2009 - 20:34

он их проверить не может?

да. ES сканер не может получить доступ к ним. пока.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#5 basid

basid

    Guru

  • Posters
  • 4 197 Сообщений:

Отправлено 07 Август 2009 - 05:45

pagefile.sys

Своп-файл. Зксклюзивный доступ для VMM http://forum.drweb.com/public/style_emoticons/default/smile.png

1eab20.rbf
66cf83b.rbf

Этих не помню, но, вроде, MSI делает.

NTUSER.DAT
ntuser.dat.LOG

HKCU

WINNT\system32\config\SAM
WINNT\system32\config\SAM.LOG

Системная база учёток. Тоже куст реестра.

OFFICE\OFFICE97.RUS\DISK10\MSO97_10.CAB

А вот это - странновато. Выполнялась установка 97-го(?!) офиса?

И это только малая часть файлов на которые приходят сообщения.

Что вы нервничаете? Большая часть этих файлов "залочена по делу".

#6 BuTKaH

BuTKaH

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 07 Август 2009 - 06:31

Василий А. Сидоров

Это установка офиса лежащая в дистрибутивах. Организация старая, было время сидели на 97.

Мне просто понять - это нормальная ситуация(так у всех)? Несколько напрягают Отчеты, которые сыпятся постоянно (по 400 за сутки). Просто если это в порядке вещей, я уберу их из оповещений.

#7 basid

basid

    Guru

  • Posters
  • 4 197 Сообщений:

Отправлено 07 Август 2009 - 06:46

Мне просто понять - это нормальная ситуация(так у всех)?

Своп и кусты реестра? Конечно.

Несколько напрягают Отчеты, которые сыпятся постоянно (по 400 за сутки). Просто если это в порядке вещей, я уберу их из оповещений.

Это может быть и нормально и ненормально.
Скажем, "Нет доступа - C:\WINDOWS\system32\sptd.sys" - нормально, т.к. DaemonTools прячется от, например, StarForce. А вот "Нет доступа - C:\WNDOWS\system32\xyz.sys" - уже подозрительно.
Другое дело, что ставить такой класс событий в оповещениях - вряд ли нужно. Лучше выделить время для анализа логов или/и попробовать написать специализированый отчёт с более высокой селективностью.

P.S. Вместо Enterprise Scanner (консольный) можно использовать GUI-сканер, у которого есть антируткитовый модуль.
Но это увеличивает нагрузку на проверяемую систему. Т.е. надо пробовать и смотреть на результаты.

#8 avoit

avoit

    Member

  • Posters
  • 100 Сообщений:

Отправлено 07 Август 2009 - 07:06

Другое дело, что ставить такой класс событий в оповещениях - вряд ли нужно. Лучше выделить время для анализа логов или/и попробовать написать специализированый отчёт с более высокой селективностью.

Это замечание для разработчиков или для пользователей? Что значит класс событий, есть просто processing error, который необходимо отслеживать, иначе пропустишь rootkit. Я у себя поставил исключения, но это потребовало некоторого умственного усилия и нескольких вопросов на бета-форуме (кстати, для автора темы, там все это уже подробно обсуждено).

#9 basid

basid

    Guru

  • Posters
  • 4 197 Сообщений:

Отправлено 07 Август 2009 - 09:17

Это замечание для разработчиков или для пользователей?

Для пользователей.

Что значит класс событий, есть просто processing error, который необходимо отслеживать, иначе пропустишь rootkit.

У вас что, группа быстрого реагирования с тревожной кнопкой? http://forum.drweb.com/public/style_emoticons/default/smile.png
Имхо, вполне достаточно один-два раза в день посмотреть логи без всяких оповещений.


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых