Выше есть ссылка на тему, а в той теме логи. Что 5-я версия его пропускает, что 4.44. Я же выше все написал.Логи покажите где видно описанное.
Ну если был нормально установлен drweb 5.0 и потом произошло заражение неизвестным ему вирусом, то убрать запуск своих модулей из Run 5.0 не дал бы. Доказательство противного - только с логами.
Ошибка установки 5-й версии
#21
Отправлено 26 Декабрь 2008 - 11:10
#22
Отправлено 26 Декабрь 2008 - 19:24
Вы сканером или спайдером лечились? Сканер не умеет запрещать доступ к файлам.Regedit открываеться и все показывает, но если пробывать изменить или удалить ветку в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, то пишет что нелдья этого сделать. А если нету инета, тоникакие утилиты не помогут. А вот в касперском все продуманно, ставиться с ошибками, но его хотя бы руками запустить мона. И он убивает это вирус и расблокирует реестр.что значит заблокирован? не отркывается regedit? наш антииврус такое не востанавливает. это не антииврусу решать кто заблокировал, политикой или нет. есть утилита для таких случаев: Утилита восстановления системы
Короче, на еще одной фирме которую я обслуживаю, тот же самый троян схватили, настройки тоже такие же, все убивать без запроса в любом случае. Тоже Веб чето погрохал, а остальные зараженные файлы просто позапрещал доступ
Хотя установка убивать все. Толи вирус новый, тооли умный После зарожения троян блокирует Run, удаляет все программы только из Run, ну соответственно после перезагрузки антивирус отключон.
Я его пока оставил, в выходные к ним заеду, все сохраню, тока опять не через багтрекер, так что извеняйте, нету времени пароль искать http://forum.drweb.com/public/style_emoticons/default/tongue.png Надеюсь пограммисты тут обитают
Trojan.Clever что ли?
Doctor Web, Ltd.
#23
Отправлено 27 Декабрь 2008 - 13:40
И сканером и спайдер. Орал конечно спайдер.Вы сканером или спайдером лечились? Сканер не умеет запрещать доступ к файлам.
Сеня привезу. Помойму firestarter или чето типа того.Trojan.Clever что ли?
#24
Отправлено 27 Декабрь 2008 - 21:17
Ничего ни выше и в теме по ссылке нет по моему вопросу. Читайте внимательно.Выше есть ссылка на тему, а в той теме логи. Что 5-я версия его пропускает, что 4.44. Я же выше все написал.Логи покажите где видно описанное.
Ну если был нормально установлен drweb 5.0 и потом произошло заражение неизвестным ему вирусом, то убрать запуск своих модулей из Run 5.0 не дал бы. Доказательство противного - только с логами.
drweb 5.0 пропустил вирус - возможно.
вирус заблокировал HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - возможно.
препятствует установке drweb 5.0 - возможно.
вирус отключил нормально установленный 5.0? Теоретически всё возможно, на практике - поверю только с логами, как уже писал. Пока никаких доказательств не было.После зарожения троян ... удаляет все программы только из Run, ну соответственно после перезагрузки антивирус отключон.
Возможен, конечно, случай, когда не в меру шустрый юзер сам отключил защиту через капчу.
#25
Отправлено 28 Декабрь 2008 - 11:06
Не, никто ниче не отключал, это 100%, троян не отключил напрямую веба, он просто удалил его из автозагрузки из Run и после перезагрузки все и понеслось. И Веб не лечит этот вирус полностью и вообще не запускаеться все что в Run. Причем что 5-я версия, что 4.44, ведут себя однотипно с этим трояном, сначала попустят, потом не запускаються автоматом. А если антивирус удалить, то уже не ставиться он, выше написал че пишет.вирус отключил нормально установленный 5.0? Теоретически всё возможно, на практике - поверю только с логами, как уже писал. Пока никаких доказательств не было.После зарожения троян ... удаляет все программы только из Run, ну соответственно после перезагрузки антивирус отключон.
Возможен, конечно, случай, когда не в меру шустрый юзер сам отключил защиту через капчу.
З.Ы. Сеня еду за вирусом
#26
Отправлено 28 Декабрь 2008 - 16:30
И это со включенным Защитником!?он просто удалил его из автозагрузки из Run и после перезагрузки все и понеслось.
Борис А. Чертенко aka Borka.
#28
Отправлено 28 Декабрь 2008 - 16:49
А кстати, да. Если из ядра, то это может быть мимо него...А что, ядрёному драверу это не под силу?И это со включенным Защитником!?он просто удалил его из автозагрузки из Run и после перезагрузки все и понеслось.
Борис А. Чертенко aka Borka.
#29
Отправлено 28 Декабрь 2008 - 17:08
Конечно, я же об этом и писал тожеИ это со включенным Защитником!?он просто удалил его из автозагрузки из Run и после перезагрузки все и понеслось.
#30
Отправлено 28 Декабрь 2008 - 17:12
Народ, надеюсь тут программисты обитают, надеюсь что заберут вирус. А если нет, то киньте кто нить на баг трекер.
Опять пришлось ставить касперского, он все перебил
#31
Отправлено 28 Декабрь 2008 - 17:25
Что-то я не понял - во-первых, они все с расширением, которое дает спайдер при перемещении. Во-вторых, Ваш лог спайдера потверждает, что все трояны ловятся. То есть "пятерка" прекрасно их всех знает. В-третьих, зачем каспер, если и Доктор с известными троянами справляется?Все, поймал вирус, вот ссылка xxxxxxxxxxxxxxxxxxx
Опять пришлось ставить касперского, он все перебил
Борис А. Чертенко aka Borka.
#32
Отправлено 28 Декабрь 2008 - 17:53
дававать в открытую ссылки на вирусы запрещено. пользуйтесь PM. следующий раз будет предупреждение.Все, поймал вирус, вот ссылка xxxxxxxxxxxx, пароль на архив: 123
Народ, надеюсь тут программисты обитают, надеюсь что заберут вирус. А если нет, то киньте кто нить на баг трекер.
Опять пришлось ставить касперского, он все перебил
Doctor Web, Ltd.
#33
Отправлено 28 Декабрь 2008 - 20:48
Ну все верно, я ж их в карантин наловил, вот они и переименованны.Что-то я не понял - во-первых, они все с расширением, которое дает спайдер при перемещении. Во-вторых, Ваш лог спайдера потверждает, что все трояны ловятся. То есть "пятерка" прекрасно их всех знает. В-третьих, зачем каспер, если и Доктор с известными троянами справляется?Все, поймал вирус, вот ссылка xxxxxxxxxxxxxxxxxxx
Опять пришлось ставить касперского, он все перебил
Он их ловит, торлько не вылавливает до конца, он при перезагрузке живет прекрасно и расмножаеться, а его спайдер блокирует. И каждые 5-10 секунд пишет что он поймал вирус и так до посинения. А касперски пуф-паф и больше его нету.
#34
Отправлено 28 Декабрь 2008 - 20:51
Передупреждать надодававать в открытую ссылки на вирусы запрещено. пользуйтесь PM. следующий раз будет предупреждение.
А кому послать ее, в чей приват то ? Я же написал, что бы мне помогли его запостить на багтрекер или если есть тут представители веба, что что бы забрали, а Вы....
#35
Отправлено 28 Декабрь 2008 - 20:52
Значит, неизвестный активный дроппер жил в системе.Он их ловит, торлько не вылавливает до конца, он при перезагрузке живет прекрасно и расмножаеться, а его спайдер блокирует. И каждые 5-10 секунд пишет что он поймал вирус и так до посинения.
Борис А. Чертенко aka Borka.
#36
Отправлено 28 Декабрь 2008 - 20:55
А можно я тебе пошлю ссылку на вирусы, а ты его в баг трекер ?Значит, неизвестный активный дроппер жил в системе.Он их ловит, торлько не вылавливает до конца, он при перезагрузке живет прекрасно и расмножаеться, а его спайдер блокирует. И каждые 5-10 секунд пишет что он поймал вирус и так до посинения.
#37
Отправлено 28 Декабрь 2008 - 21:35
дело в том что нам скорее всего не известен вирус родитель, который постояно востанавливает. это не баг, нужно его вычислить и добавить в базы.Ну все верно, я ж их в карантин наловил, вот они и переименованны.Что-то я не понял - во-первых, они все с расширением, которое дает спайдер при перемещении. Во-вторых, Ваш лог спайдера потверждает, что все трояны ловятся. То есть "пятерка" прекрасно их всех знает. В-третьих, зачем каспер, если и Доктор с известными троянами справляется?Все, поймал вирус, вот ссылка xxxxxxxxxxxxxxxxxxx
Опять пришлось ставить касперского, он все перебил
Он их ловит, торлько не вылавливает до конца, он при перезагрузке живет прекрасно и расмножаеться, а его спайдер блокирует. И каждые 5-10 секунд пишет что он поймал вирус и так до посинения. А касперски пуф-паф и больше его нету.
Doctor Web, Ltd.
#38
Отправлено 28 Декабрь 2008 - 21:36
мне послать. но судя по постам это нам мало поможет, все что в этом архиве мы знаем и ловим.Передупреждать надодававать в открытую ссылки на вирусы запрещено. пользуйтесь PM. следующий раз будет предупреждение.
А кому послать ее, в чей приват то ? Я же написал, что бы мне помогли его запостить на багтрекер или если есть тут представители веба, что что бы забрали, а Вы....
Doctor Web, Ltd.
#39
Отправлено 29 Декабрь 2008 - 08:21
Ниче не понял Ловим то ловим, а толку то.... Но я послал http://forum.drweb.com/public/style_emoticons/default/tongue.png Нужно все таки че то сделать, а то уйду к Касперскомумне послать. но судя по постам это нам мало поможет, все что в этом архиве мы знаем и ловим.Передупреждать надодававать в открытую ссылки на вирусы запрещено. пользуйтесь PM. следующий раз будет предупреждение.
А кому послать ее, в чей приват то ? Я же написал, что бы мне помогли его запостить на багтрекер или если есть тут представители веба, что что бы забрали, а Вы....
Кто не верит мне, может проверить на себе
#40
Отправлено 29 Декабрь 2008 - 12:26
Касперски в данном случае знает и вирус и дроппер и, если ты им лечил систему, после которой всё вновь работало без проблем, то полезным будет покопаться в отчётах касперского и выснить, что же он всё-таки сделал, какие он дополнительные файлы нашёл\удалил и т.д. Те файлы, которые будут отсутствовать в списке отправленных тобой скорей всего и будут дропперами, но это уже задача вирусных аналитиков определить, что из них что
PC3000 UDMA & Data Extractor (производитель НПП АСЕ), Raid Explorer (производитель СОФТ-ЦЕНТР), Flash Extractor & Image Explorer (производитель СОФТ-ЦЕНТР), Victoria Full version (автор Сергей Казанский), R-Studio Data Recovery (производитель R-Tools Technology Inc.), GetDataBack for FAT (производитель Runtime Software), GetDataBack for NTFS (производитель Runtime Software), собственные разработки.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых