78 ответов в этой теме

[zbugz]

Логи покажите где видно описанное.

Ну если был нормально установлен drweb 5.0 и потом произошло заражение неизвестным ему вирусом, то убрать запуск своих модулей из Run 5.0 не дал бы. Доказательство противного - только с логами.

Выше есть ссылка на тему, а в той теме логи. Что 5-я версия его пропускает, что 4.44. Я же выше все написал.

[Konstantin Yudin]

что значит заблокирован? не отркывается regedit? наш антииврус такое не востанавливает. это не антииврусу решать кто заблокировал, политикой или нет. есть утилита для таких случаев: Утилита восстановления системы

Regedit открываеться и все показывает, но если пробывать изменить или удалить ветку в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, то пишет что нелдья этого сделать. А если нету инета, тоникакие утилиты не помогут. А вот в касперском все продуманно, ставиться с ошибками, но его хотя бы руками запустить мона. И он убивает это вирус и расблокирует реестр.
Короче, на еще одной фирме которую я обслуживаю, тот же самый троян схватили, настройки тоже такие же, все убивать без запроса в любом случае. Тоже Веб чето погрохал, а остальные зараженные файлы просто позапрещал доступ

Вы сканером или спайдером лечились? Сканер не умеет запрещать доступ к файлам.

Хотя установка убивать все. Толи вирус новый, тооли умный После зарожения троян блокирует Run, удаляет все программы только из Run, ну соответственно после перезагрузки антивирус отключон.
Я его пока оставил, в выходные к ним заеду, все сохраню, тока опять не через багтрекер, так что извеняйте, нету времени пароль искать http://forum.drweb.com/public/style_emoticons/default/tongue.png Надеюсь пограммисты тут обитают

Trojan.Clever что ли?

[zbugz]

Вы сканером или спайдером лечились? Сканер не умеет запрещать доступ к файлам.

И сканером и спайдер. Орал конечно спайдер.

Trojan.Clever что ли?

Сеня привезу. Помойму firestarter или чето типа того.

[userr]

Логи покажите где видно описанное.

Ну если был нормально установлен drweb 5.0 и потом произошло заражение неизвестным ему вирусом, то убрать запуск своих модулей из Run 5.0 не дал бы. Доказательство противного - только с логами.

Выше есть ссылка на тему, а в той теме логи. Что 5-я версия его пропускает, что 4.44. Я же выше все написал.

Ничего ни выше и в теме по ссылке нет по моему вопросу. Читайте внимательно.
drweb 5.0 пропустил вирус - возможно.
вирус заблокировал HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - возможно.
препятствует установке drweb 5.0 - возможно.

После зарожения троян ... удаляет все программы только из Run, ну соответственно после перезагрузки антивирус отключон.

вирус отключил нормально установленный 5.0? Теоретически всё возможно, на практике - поверю только с логами, как уже писал. Пока никаких доказательств не было.
Возможен, конечно, случай, когда не в меру шустрый юзер сам отключил защиту через капчу.

[zbugz]

После зарожения троян ... удаляет все программы только из Run, ну соответственно после перезагрузки антивирус отключон.

вирус отключил нормально установленный 5.0? Теоретически всё возможно, на практике - поверю только с логами, как уже писал. Пока никаких доказательств не было.
Возможен, конечно, случай, когда не в меру шустрый юзер сам отключил защиту через капчу.

Не, никто ниче не отключал, это 100%, троян не отключил напрямую веба, он просто удалил его из автозагрузки из Run и после перезагрузки все и понеслось. И Веб не лечит этот вирус полностью и вообще не запускаеться все что в Run. Причем что 5-я версия, что 4.44, ведут себя однотипно с этим трояном, сначала попустят, потом не запускаються автоматом. А если антивирус удалить, то уже не ставиться он, выше написал че пишет.

З.Ы. Сеня еду за вирусом

[Borka]

он просто удалил его из автозагрузки из Run и после перезагрузки все и понеслось.

И это со включенным Защитником!?

[pig]

он просто удалил его из автозагрузки из Run и после перезагрузки все и понеслось.

И это со включенным Защитником!?

А что, ядрёному драверу это не под силу?

[Borka]

он просто удалил его из автозагрузки из Run и после перезагрузки все и понеслось.

И это со включенным Защитником!?

А что, ядрёному драверу это не под силу?

А кстати, да. Если из ядра, то это может быть мимо него...

[zbugz]

он просто удалил его из автозагрузки из Run и после перезагрузки все и понеслось.

И это со включенным Защитником!?

Конечно, я же об этом и писал тоже

[zbugz]

Все, поймал вирус, вот ссылка xxxxxxxxxxxx, пароль на архив: 123
Народ, надеюсь тут программисты обитают, надеюсь что заберут вирус. А если нет, то киньте кто нить на баг трекер.

Опять пришлось ставить касперского, он все перебил

[Borka]

Все, поймал вирус, вот ссылка xxxxxxxxxxxxxxxxxxx
Опять пришлось ставить касперского, он все перебил

Что-то я не понял - во-первых, они все с расширением, которое дает спайдер при перемещении. Во-вторых, Ваш лог спайдера потверждает, что все трояны ловятся. То есть "пятерка" прекрасно их всех знает. В-третьих, зачем каспер, если и Доктор с известными троянами справляется?

[Konstantin Yudin]

Все, поймал вирус, вот ссылка xxxxxxxxxxxx, пароль на архив: 123
Народ, надеюсь тут программисты обитают, надеюсь что заберут вирус. А если нет, то киньте кто нить на баг трекер.

Опять пришлось ставить касперского, он все перебил

дававать в открытую ссылки на вирусы запрещено. пользуйтесь PM. следующий раз будет предупреждение.

[zbugz]

Все, поймал вирус, вот ссылка xxxxxxxxxxxxxxxxxxx
Опять пришлось ставить касперского, он все перебил

Что-то я не понял - во-первых, они все с расширением, которое дает спайдер при перемещении. Во-вторых, Ваш лог спайдера потверждает, что все трояны ловятся. То есть "пятерка" прекрасно их всех знает. В-третьих, зачем каспер, если и Доктор с известными троянами справляется?

Ну все верно, я ж их в карантин наловил, вот они и переименованны.
Он их ловит, торлько не вылавливает до конца, он при перезагрузке живет прекрасно и расмножаеться, а его спайдер блокирует. И каждые 5-10 секунд пишет что он поймал вирус и так до посинения. А касперски пуф-паф и больше его нету.

[zbugz]

дававать в открытую ссылки на вирусы запрещено. пользуйтесь PM. следующий раз будет предупреждение.

Передупреждать надо
А кому послать ее, в чей приват то ? Я же написал, что бы мне помогли его запостить на багтрекер или если есть тут представители веба, что что бы забрали, а Вы....

[Borka]

Он их ловит, торлько не вылавливает до конца, он при перезагрузке живет прекрасно и расмножаеться, а его спайдер блокирует. И каждые 5-10 секунд пишет что он поймал вирус и так до посинения.

Значит, неизвестный активный дроппер жил в системе.

[zbugz]

Он их ловит, торлько не вылавливает до конца, он при перезагрузке живет прекрасно и расмножаеться, а его спайдер блокирует. И каждые 5-10 секунд пишет что он поймал вирус и так до посинения.

Значит, неизвестный активный дроппер жил в системе.

А можно я тебе пошлю ссылку на вирусы, а ты его в баг трекер ?

[Konstantin Yudin]

Все, поймал вирус, вот ссылка xxxxxxxxxxxxxxxxxxx
Опять пришлось ставить касперского, он все перебил

Что-то я не понял - во-первых, они все с расширением, которое дает спайдер при перемещении. Во-вторых, Ваш лог спайдера потверждает, что все трояны ловятся. То есть "пятерка" прекрасно их всех знает. В-третьих, зачем каспер, если и Доктор с известными троянами справляется?

Ну все верно, я ж их в карантин наловил, вот они и переименованны.
Он их ловит, торлько не вылавливает до конца, он при перезагрузке живет прекрасно и расмножаеться, а его спайдер блокирует. И каждые 5-10 секунд пишет что он поймал вирус и так до посинения. А касперски пуф-паф и больше его нету.

дело в том что нам скорее всего не известен вирус родитель, который постояно востанавливает. это не баг, нужно его вычислить и добавить в базы.

[Konstantin Yudin]

дававать в открытую ссылки на вирусы запрещено. пользуйтесь PM. следующий раз будет предупреждение.

Передупреждать надо
А кому послать ее, в чей приват то ? Я же написал, что бы мне помогли его запостить на багтрекер или если есть тут представители веба, что что бы забрали, а Вы....

мне послать. но судя по постам это нам мало поможет, все что в этом архиве мы знаем и ловим.

[zbugz]

дававать в открытую ссылки на вирусы запрещено. пользуйтесь PM. следующий раз будет предупреждение.

Передупреждать надо
А кому послать ее, в чей приват то ? Я же написал, что бы мне помогли его запостить на багтрекер или если есть тут представители веба, что что бы забрали, а Вы....

мне послать. но судя по постам это нам мало поможет, все что в этом архиве мы знаем и ловим.

Ниче не понял Ловим то ловим, а толку то.... Но я послал http://forum.drweb.com/public/style_emoticons/default/tongue.png Нужно все таки че то сделать, а то уйду к Касперскому
Кто не верит мне, может проверить на себе

[Malex]

zbugz, тут идея в чём. Есть так называемый дроппер - хвостик вируса, основная задача которого всеми мыслимыми и немыслимыми способами восстанавливать вирус, который ты присылал и который успешно ловится и удаляется дрвеб-ом. Это дроппер надёжно сидит где-то в системе и дрвеб его пока ещё не знает. Задача - узнать дроппер, вычислить его, деактировать, упаковать, отправить разработчикам на анализ, указав в комментариях, всё что ты о нём знаешь.

Касперски в данном случае знает и вирус и дроппер и, если ты им лечил систему, после которой всё вновь работало без проблем, то полезным будет покопаться в отчётах касперского и выснить, что же он всё-таки сделал, какие он дополнительные файлы нашёл\удалил и т.д. Те файлы, которые будут отсутствовать в списке отправленных тобой скорей всего и будут дропперами, но это уже задача вирусных аналитиков определить, что из них что