234 ответов в этой теме

[Agnik]

Онлайновая проверка не показывает вирус, вирус показывает спайдер гвард ЕS-5,0.
Базы обновляются каждые 2 часа, пресинхронизация баз расхождений не выявила.

Показывайте логи, где видна загрузка баз.

drwupgrade.log этот как я понимаю?

Прикрепленные файлы:

•  drwupgrade.log   837,86К   25 Скачано раз
•  drwagntd.log   2,9Мб   42 Скачано раз

[lach]

У нас тоже массовое ложное срабатывание.
Господа, не помещало бы в ES консоль добавить возможность группового восстановления из карантина...

[Borka]

Онлайновая проверка не показывает вирус, вирус показывает спайдер гвард ЕS-5,0.
Базы обновляются каждые 2 часа, пресинхронизация баз расхождений не выявила.

Показывайте логи, где видна загрузка баз.

drwupgrade.log этот как я понимаю?

В логе апгрейдера:
20100301.104904.87 ntc [ 208] noname RexxOut: [files] move&check <C:\Program Files\DrWeb Enterprise Suite/cache/10-drwbases/common/drw50014.vdb> to <C:\Program Files\DrWeb Enterprise Suite\drw50014.vdb> length 619174 digest edef2766297490b254cb797307e8ca3a
20100301.104904.96 ntc [ 208] noname RexxOut: [files] move&check <C:\Program Files\DrWeb Enterprise Suite/cache/10-drwbases/common/drwdaily.vdb> to <C:\Program Files\DrWeb Enterprise Suite\drwdaily.vdb> length 1462 digest 4f34b1331aaefeaa73b88248ab4859b2
20100301.104905.41 ntc [ 208] noname RexxOut: [files] move&check <C:\Program Files\DrWeb Enterprise Suite/cache/10-drwbases/common/dwn50006.vdb> to <C:\Program Files\DrWeb Enterprise Suite\dwn50006.vdb> length 103654 digest d0c86aa199efaee5cdf88b70f124d0f1
20100301.104905.41 ntc [ 208] noname RexxOut: [files] move&check <C:\Program Files\DrWeb Enterprise Suite/cache/10-drwbases/common/dwntoday.vdb> to <C:\Program Files\DrWeb Enterprise Suite\dwntoday.vdb> length 1424 digest e1a82304fadf8447d7d426bfc2d55fbd
20100301.104905.68 ntc [ 208] noname RexxOut: [files] move&check <C:\Program Files\DrWeb Enterprise Suite/cache/10-drwbases/common/dwrtoday.vdb> to <C:\Program Files\DrWeb Enterprise Suite\dwrtoday.vdb> length 46700 digest cdf23b8a3a4a1e3ee1750dc170a0829c

Недельные базы получены, теперь нужно смотреть лог спайдера.

[Agnik]

Вот лог спайдера:

Кажется я понял, эта машина получила обновления после проверки, в 10-40, хотя включилась в 8-40
а перед этим обновления 25-02 были в 17 с мелочью

Прикрепленные файлы:

•  SpIDer.log   1Мб   89 Скачано раз

[Borka]

Вот лог спайдера:

Сжать религия не позволила?

[Agnik]

Сжать религия не позволила?

Есть такое :\ Каюсь.

[Borka]

Вот обновление баз:
01-03-2010 10:49:12 Обновление вирусных баз и поискового модуля Dr.Web...
01-03-2010 10:49:12
01-03-2010 10:49:15 [Вирусная база] C:\Program Files\DrWeb Enterprise Suite\drwtoday.vdb (01-03-2010, 07:16) - 355 вирусных записей
01-03-2010 10:49:15 [Вирусная база] C:\Program Files\DrWeb Enterprise Suite\drwdaily.vdb (01-03-2010, 06:15) - 1 вирусных записей
01-03-2010 10:49:15 [Вирусная база] C:\Program Files\DrWeb Enterprise Suite\drw50014.vdb (01-03-2010, 06:15) - 18381 вирусных записей
01-03-2010 10:49:16 [Вирусная база] C:\Program Files\DrWeb Enterprise Suite\drw50013.vdb (22-02-2010, 05:57) - 19562 вирусных записей

Хотелось бы увидеть результат проверки сабжа ПОСЛЕ этого обновления.

[Borka]

Кажется я понял, эта машина получила обновления после проверки, в 10-40, хотя включилась в 8-40
а перед этим обновления 25-02 были в 17 с мелочью

Апгрейдер притащил новые базы в 20100301.104904.87.

[Agnik]

01-03-2010 14:37:28 [CL] (PID = 0004) C:\WINDOWS\system32\ctfmon.exe - Ok
01-03-2010 14:37:30 [CL] (PID = 0624) C:\WINDOWS\system32\ctfmon.exe.new - Ok
01-03-2010 14:37:30 [CL] (PID = 1096) C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb - Ok
01-03-2010 14:37:30 [CL] (PID = 1096) C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb - Ok
01-03-2010 14:37:35 [CL] (PID = 0624) C:\WINDOWS\system32\dllcache\ctfmon.exe.new - Ok
01-03-2010 14:37:35 [CL] (PID = 0624) C:\WINDOWS\system32\dllcache\ctfmon.exe.new - Ok
01-03-2010 14:37:35 [CL] (PID = 0624) C:\WINDOWS\system32\dllcache\ctfmon.exe.new - Ok
01-03-2010 14:37:35 [CL] (PID = 0624) C:\WINDOWS\system32\dllcache\ctfmon.exe.new - Ok
01-03-2010 14:37:35 [CL] (PID = 0624) C:\WINDOWS\system32\dllcache\ctfmon.exe.new - Ok
01-03-2010 14:37:38 [CL] (PID = 1096) C:\WINDOWS\system32\CatRoot2\edb.chk - Ok
01-03-2010 14:37:40 [CL] (PID = 1096) C:\WINDOWS\system32\WBEM\Logs\wbemcore.log - Ok
01-03-2010 14:37:42 [BG] (PID = 0624) C:\WINDOWS\system32\ctfmon.exe - Ok
01-03-2010 14:37:42 [BG] (PID = 0624) C:\WINDOWS\system32\dllcache\ctfmon.exe - Ok

Вроде съело, спасибо
Теперь осталось оббежать 4 с небольшим сотни машин и разложить ctfmon по местам

[userr]

Вот лог спайдера:

Кажется я понял, эта машина получила обновления после проверки, в 10-40, хотя включилась в 8-40
а перед этим обновления 25-02 были в 17 с мелочью

даже раньше.

01-03-2010 08:42:17 [PS] (PID = 1256) C:\WINDOWS\system32\ctfmon.exe - инфицирован Trojan.MulDrop1.3316
01-03-2010 08:42:18 C:\WINDOWS\system32\ctfmon.exe - инфицирован Trojan.MulDrop1.3316 и не может быть исцелен
01-03-2010 08:42:18 [PS] (PID = 1256) C:\WINDOWS\system32\ctfmon.exe - перемещен как 'C:\Program Files\DrWeb Enterprise Suite\Infected.!!!\ctfmon.exe.531A2E27'
...
01-03-2010 08:43:43 Обновление вирусных баз и поискового модуля Dr.Web...
01-03-2010 08:43:43
01-03-2010 08:43:47 [Вирусная база] C:\Program Files\DrWeb Enterprise Suite\drwtoday.vdb (01-03-2010, 03:26) - 3614 вирусных записей

всего полторы минуты...


lach

У нас тоже массовое ложное срабатывание.

сегодня ??

[Eugeny Gladkih]

У нас тоже массовое ложное срабатывание.
Господа, не помещало бы в ES консоль добавить возможность группового восстановления из карантина...

в 6.0 имеется

[cadet-ua]

в 6.0 имеется

А нам сейчас бы не помешало...

[Полимер]

В свете этих событий есть предложение: сделать рассинхронизацию релизной и бета областей.
Т.е. бета область получает базы на час раньше.

[userr]

sta-crimea.gov.ua
переехали - http://forum.drweb.com/index.php?showtopic=289817

[sta-crimea]

И даже никто официально не извинился на официальном сайте по поводу ложных срабатываний "ctfmon.exe".

[sniper]

Читайте пост №20 от Константина Юдина....
В последнем подкасте тоже приносят извинения.

[sta-crimea]

sniper Вам наверное тоже религия не позволяет читать все слова сообщения одно за другим?
на официальном сайте НЕ БЫЛО ИЗВИНЕНИЙ -НЕ БЫЛО.
Были извинения на ФОРУМЕ!!!
Есть разница? С тем же успехом могли бы и на livejournal-ле написать, что "ой сорри".
Официально не признал свою ошибку "DrWeb"!!! а тихо скрыл...
Почему все указывают на посты форума, "мол читай это наши соболезнования"...

[sniper]

на официальном сайте НЕ БЫЛО ИЗВИНЕНИЙ -НЕ БЫЛО.

На оф.сайте и сообщения даже о фолсе не было...за это уже писали,но вы видно так же плохо читали,в частности я писал за долго раньше вас.
И оставьте в покое мою религию,а то и до греха не далеко.

[МаксЪ]

А где 6 версию можно скачать?

[Agnik]

Даааа ребят, добавили вы работки.

У меня Enterprise на 25 машин. У всех этот файлик был "успешно вылечен" доктором. Хотите сказать, что проблема не раздута?? Как тут советовали, мол, у каждого лиц. пользователя есть диск с виндой - всё восстанавливается. Вы хотите, чтобы я ходил по всем компам с этим диском? А если у компа нет СД_РОМа? В общем, этот совет - в топку.

Теперь вопрос: как малой кровью всё это дело восстановить?? Реестр был подчищен докторм тоже. Предлагаете сходить за каждый комп, выйти из под текущего пользователя, зайти под админом, скопировать оригинальный экзешник в нужную папку, добавить запись в реестр, перезагрузиться.

И сколько, по-вашему, уйдет времени на АНТИлечение 20-ти, 30-ти... компов?

Проблема раздута? Ну-ну.... Я вообще чисто случайно зашел на форум (по другой проблеме, на которую мне тех. поддержка не отвечает до сих пор. Кому в личку номер скинуть? ).

Счастливчик... у меня в сети 400+ машин, все внешние носители отключены, с понедельника фтыкай - захожу - копирую, по 6 этажам бегать еще и бегать..