78 ответов в этой теме

[userr]

Причем я совневаюсь что в 5-й версии что то кординально изменилось в защите от выгрузки.

Надо же, Вы сомневаетесь. Изменилось всего-ничего - 5.0 защищает свои записи в реестре, в автозагрузке в частности, а 4.44 не умела этого делать. Знаток, блин. Бета-тестер.

UPDATED. to All. Конечно, любую защиту побороть можно. Я не говорю, что drweb 5.0 в принципе нельзя снести. Можно, увы, как и любой другой АВ. Но в этом топике никаких свидетельств этому не было.

[mrbelyash]

Неее, у меня СПАЙДЕР эта зараза не вынесла ни при включенной самозащите ни при выключеной.
Но вот установиться на зараженную систему не позволяет

P.S.
Нужно репорт писать-запуск сканера необходим до прописывании в реестре своих компонентов

[Borka]

Неее, у меня СПАЙДЕР эта зараза не вынесла ни при включенной самозащите ни при выключеной.

Речь не о спайдере, тут вообще-то про Защитника. Защита ЭТИМИ файлами выносится?

Но вот установиться на зараженную систему не позволяет

Почему?

[mrbelyash]

Почему?

Потому что троян или один из его компонентов блокирует ветку реестра RUN , а инстолятор сначала прописывает свои компоенены в реестре(пытается),а троян ему не дает......инсталяшка откатывается назад

Регистрация в HKLM.....RUN ветке происходт раньше чем запускается сканер.

ЗЫ
Самозащита не выносится,но и спайдер не может вынести...нужно использовать KillInfectedProcess

[Borka]

Почему?

Потому что троян или один из его компонентов блокирует ветку реестра RUN , а инстолятор сначала прописывает свои компоенены в реестре(пытается),а троян ему не дает......инсталяшка откатывается назад
Регистрация в HKLM.....RUN ветке происходт раньше чем запускается сканер.

И это всё без неизвестного нам дроппера!? Ни себе чего.

Самозащита не выносится,но и спайдер не может вынести...нужно использовать KillInfectedProcess

С KillInfectedProcess выносит?

[mrbelyash]

[Konstantin Yudin]

Почему?

Потому что троян или один из его компонентов блокирует ветку реестра RUN , а инстолятор сначала прописывает свои компоенены в реестре(пытается),а троян ему не дает......инсталяшка откатывается назад

Регистрация в HKLM.....RUN ветке происходт раньше чем запускается сканер.

в общем все понятно. что нибудь придумаем, есть мысли как ему руки обломать. всем спасибо.

[pig]

И это всё без неизвестного нам дроппера!?

Дроппер отдельно. Макс говорил о поведении уже дропнутого и стартовавшего трояна.

[zbugz]

Не пойму, как 5 версия не смогла установиться, если вы её снесли?
И зачем троян в трекер?

5-я бэта стояла, потом она пропустила трояна, еще притормаживала, короче я ее снес и поставил 4.44, предварительно все вылечив касперским. Потом снес касперского и поставил 4.44, тогда еще 5-го финала не было. 4.44 пропустил снова этот вирус, я скачал 5-ю финал версию, начал ставить, 4.44 он удалил сам, а 5-я версия просто не установилась и пошла в ошибки. Кстати я думаю это смоделировать легко, нужно просто запретить на запись в Run.

[zbugz]

Я Konstantin'у Yudin'у отослал в приват ссылку на архив, надеюсь он в трэкер пошлет http://forum.drweb.com/public/style_emoticons/default/rolleyes.gif Borka, если что, на тебя последняя надежда

Ну дык объяснили же Вам, что ЭТИ файлы бесполезно отсылать что фтрекер, что в Вирлаб - они ловятся. Гораздо больше интересен тот драйвер, который эти файлы садил в систему. Вот если бы он был - тогда другой разговор, можно проверять. А так...

Одн комп в домене, другой не в сети, тока в инете, я тоже его из инета ловил, а не из сети... Залазил куда то, он орать начианл ну и понеслась после перезагрузки...

А вот ЭТОЙ части лога спайдера не сохранилось?

Елки палки, я думал я все поймал для анализа.... Значит прошляпил Первого лога с компом в домене точно не сохранилось, я че то и не подумал.... Тока часть вырезал из нее.

[zbugz]

Причем я совневаюсь что в 5-й версии что то кординально изменилось в защите от выгрузки.

Надо же, Вы сомневаетесь. Изменилось всего-ничего - 5.0 защищает свои записи в реестре, в автозагрузке в частности, а 4.44 не умела этого делать. Знаток, блин. Бета-тестер.

Художника каждый обидеть может.... А факт фактом. Товаристч mrbelyash все смоделировал, результат такой же (про установку)

[zbugz]

Потому что троян или один из его компонентов блокирует ветку реестра RUN , а инстолятор сначала прописывает свои компоенены в реестре(пытается),а троян ему не дает......инсталяшка откатывается назад

НУ вот я про это и говорил, а ксперский тоже самое, все ругаеться, но можно проигнорировать запись в реестр. Может с Вебом так сделать ? А после перезапуска, как я и делал с обоми, просто запустить их вручную, они все побьют, правда вебу нужно получше его знать, что бы он вылечивал его полностью, и все. Или ставиться, пусть с ошибками, но все равно прогонять сканер до перезагрузки, как сечас...

[mrbelyash]

Художника каждый обидеть может.... А факт фактом. Товаристч mrbelyash все смоделировал, результат такой же (про установку)

Ничо я не моделировал,взял и заразил систему

P.S.
zbugz разработчики принияли во внимание ваше предложение,так что дальнейшее обсуждение не к чему (если конечно Вы вылечили системы)

[zbugz]

Ничо я не моделировал,взял и заразил систему http://forum.drweb.com/public/style_emoticons/default/laugh.png

P.S.
zbugz разработчики принияли во внимание ваше предложение,так что дальнейшее обсуждение не к чему (если конечно Вы вылечили системы)

Спасибо что помог. Я тоже считаю что тут обсуждать больше нечего. Систему вылечил другим антивирусом, так что ждем скорых исправлений DrWeb

[Borka]

И это всё без неизвестного нам дроппера!?

Дроппер отдельно. Макс говорил о поведении уже дропнутого и стартовавшего трояна.

Вот интересно было бы посмотреть с дроппером, выносит ли он Защитника или нет.

[Buratino]

мне послать. но судя по постам это нам мало поможет, все что в этом архиве мы знаем и ловим.

Я не бета-тестер, а пользователь, который неосмотрительно купил у вас лицензию на 3 года. И мне совершенно по-барабану все ваши проблемы. Посылайте себе сами что хотите - я не для этого платил вам деньги.
Такого геморроя, как с вашей прогой я никогда не имел ни от какой-либо проги. Версия 4.44 тоже сначала ставилась через одно место, хорошо хоть теперь ставится без проблем, а 5 вообще не ставится в w2k SP4+последние обновления. Пишет следующее:
" Ошибка при запуске службы "Dr.Wev@Scanning Engine (DrWebEngine)"(DrWebEngine). Убедитесь, что у вас имеются разрешения на запуск системных служб."

Вопросы:
1) До каких пор вы из пользователей будете делать клоунов?
2) Может хватит халявничать и займетесь, наконец, делом? Вместо того, чтобы просить вам что-то прислать, читайте что вам пишут (люди вынуждены на это тратить свое время)! После этого - быстренько убежали, смоделировали процесс, решили проблему, и вот здесь отрапортовали - все выполнено + все исправлено + извините нас безруких больше такого не будет...

Прикрепленные файлы:

•  UNTITLED.jpg   13,82К   58 Скачано раз

[mrbelyash]

Я не бета-тестер, а пользователь, который неосмотрительно купил у вас лицензию на 3 года. И мне совершенно по-барабану все ваши проблемы. Посылайте себе сами что хотите - я не для этого платил вам деньги.
Вопросы:
1) До каких пор вы из пользователей будете делать клоунов?
2) Может хватит халявничать и займетесь, наконец, делом? Вместо того, чтобы просить вам что-то прислать, читайте что вам пишут (люди вынуждены на это тратить свое время)! После этого - быстренько убежали, смоделировали процесс, решили проблему, и вот здесь отрапортовали - все выполнено + все исправлено + извините нас безруких больше такого не будет...

Клоуны хамят на форуме под разными никами,а нормальные пользователи обращаются в службу технической поддержки.

чтобы просить вам что-то прислать

Это делается чтобы исключить двусмысленность и получить более полную картину....А не гадать с Ваших слов что вы там увидели или что Вам показалось.

После этого - быстренько убежали, смоделировали процесс, решили проблему, и вот здесь отрапортовали - все выполнено

Этим занимается тех.поддержка и на форуме она вам рапортовать не будет.

И ...умерьте пыл...

[userr]

Художника каждый обидеть может.... А факт фактом. Товаристч mrbelyash все смоделировал, результат такой же (про установку)

Это Вы с кем разговариваете? Где я Вас спрашивал про установку 5.0 ?

[Konstantin Yudin]

Тема ушла в флейм... Проблема выявлена, будем исправлять. Спасибо автору темы.

Тема закрыта.