Win32.hllw.autoruner.5555
#1
Отправлено 27 Январь 2009 - 19:03
Могут ли как то прокомментировать спецы веба?
#2
Отправлено 27 Январь 2009 - 19:06
Всем доброго. В сети завелся червь, много. Уже много что пробовал, обновления там заплатки курейт. Но у меня вопрос, почему я должен это все делать, а не мой антивир? У меня в сети порядка 300 пользователей, некоторые из них не получали обновления винды. Но я скажу, что к примеру касперовские пользователи даже и не слышали о данном вирусе, я допускаю конечно их некомпетентность( пользователей) в вопросе идентификации вира. Но я бы хотел чтоб веб бил вирус из любых положений при обновленных базах.
Могут ли как то прокомментировать спецы веба?
Здравствуйте, я ехал на машине и впилился в столб. Из-за того, что я не был пристегнут я сильно ударился головой. Вопрос: почему машина сама меня не пристегнула и не увернулась от столба?
Личный сайт по Энкодерам - http://vmartyanov.ru/
#3
Отправлено 27 Январь 2009 - 19:06
#4
Отправлено 27 Январь 2009 - 19:16
Всем доброго. В сети завелся червь, много. Уже много что пробовал, обновления там заплатки курейт. Но у меня вопрос, почему я должен это все делать, а не мой антивир? У меня в сети порядка 300 пользователей, некоторые из них не получали обновления винды. Но я скажу, что к примеру касперовские пользователи даже и не слышали о данном вирусе, я допускаю конечно их некомпетентность( пользователей) в вопросе идентификации вира. Но я бы хотел чтоб веб бил вирус из любых положений при обновленных базах.
Могут ли как то прокомментировать спецы веба?
Здравствуйте, я ехал на машине и впилился в столб. Из-за того, что я не был пристегнут я сильно ударился головой. Вопрос: почему машина сама меня не пристегнула и не увернулась от столба?
Можно и так трактовать. но тогда то, что подушка безопасности не сработала, хотя должна была, будут отвечать производители)
У меня эпидемия и мне нужно лекарство.
#5
Отправлено 27 Январь 2009 - 19:21
Всем доброго. В сети завелся червь, много. Уже много что пробовал, обновления там заплатки курейт. Но у меня вопрос, почему я должен это все делать, а не мой антивир? У меня в сети порядка 300 пользователей, некоторые из них не получали обновления винды. Но я скажу, что к примеру касперовские пользователи даже и не слышали о данном вирусе, я допускаю конечно их некомпетентность( пользователей) в вопросе идентификации вира. Но я бы хотел чтоб веб бил вирус из любых положений при обновленных базах.
Могут ли как то прокомментировать спецы веба?
Здравствуйте, я ехал на машине и впилился в столб. Из-за того, что я не был пристегнут я сильно ударился головой. Вопрос: почему машина сама меня не пристегнула и не увернулась от столба?
Можно и так трактовать. но тогда то, что подушка безопасности не сработала, хотя должна была, будут отвечать производители)
У меня эпидемия и мне нужно лекарство.
Даже сработавшая подушка безопасности не спасет, если падать в воду :-) Нужно ставить заплатки от MS (если бы антивирус начал это делать, думаю, юристы из M$ очень бы порадовались), потом лечить машины. Проблем с 5555-м особых быть не должно при установленных заплатках и сильных паролях. Еще бы автозапуск стоило отключить для всех дисков.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#6
Отправлено 27 Январь 2009 - 19:26
#7
Отправлено 27 Январь 2009 - 19:33
давно отключено. В общем бороться сложно.
Так в чем конкретно проблемы? Заплатки не ставятся? CureIt не запускается? Вирус не находит? Не может его удалить?
Личный сайт по Энкодерам - http://vmartyanov.ru/
#8
Отправлено 27 Январь 2009 - 19:44
Есть одна проблемка, если вирус сел на комп до того как антивирус о нем знал, то ни спайдер, ни энтерпрайз сканер не получат к нему доступа. Видят его GUI сканер, ну и соответсвенно CureIt.Получается , что каждый раз при загрузке системы, энтерпрайз сканер не получает доступ к файлу, находящемуся в систем 32.
Прикол в том , что в консоли ES есть возможность просматривать ошибки доступа к файлам. Посмотрите по статистике ошибок
#9
Отправлено 27 Январь 2009 - 19:45
Не совсем понял о чем тема. Ведь Dr Web успешно борится с этим вирусом, независимо от того есть заплатки на винду или нет. Проблема , что в сети есть зараженные машины - вот их надо найти. Есть ли у вас в сети компы без антивируса, как часто обновляете базы?
Есть одна проблемка, если вирус сел на комп до того как антивирус о нем знал, то ни спайдер, ни энтерпрайз сканер не получат к нему доступа. Видят его GUI сканер, ну и соответсвенно CureIt.Получается , что каждый раз при загрузке системы, энтерпрайз сканер не получает доступ к файлу, находящемуся в систем 32.
Прикол в том , что в консоли ES есть возможность просматривать ошибки доступа к файлам. Посмотрите по статистике ошибок
а создать задание на запуск GUI сканера для всех машин пробовали?
#10
Отправлено 27 Январь 2009 - 20:32
Я и так проблему решил, просто в сети было несколько медленных машин с 2000 виндой , которые не пережили бы установку антивируса, а если и пережили бы , то их пользователи точно нет http://forum.drweb.com/public/style_emoticons/default/rolleyes.gif , приходилось отключать от сети и сканировать при помощи CureIt. Способ запуска GUI сканера по расписанию не пригодился бы, поскольку компы с агентом и так не заражались.а создать задание на запуск GUI сканера для всех машин пробовали?
А благодаря статистике ошибок доступа был найден виновник, им оказался ноутбук одного из сотрудников, который он периодически приносил на работу и на котором стоял ES-агент. Заразился видать с флэшки до того, как базы обновились, а при подключении к сети начал заражать остальных. В статистике консоли это хорошо видно.
#11
Отправлено 27 Январь 2009 - 22:01
Чьих ошибок доступа? Системы или Доктора?Прикол в том , что в консоли ES есть возможность просматривать ошибки доступа к файлам.
Борис А. Чертенко aka Borka.
#12
Отправлено 27 Январь 2009 - 22:26
Я и так проблему решил, просто в сети было несколько медленных машин с 2000 виндой , которые не пережили бы установку антивируса, а если и пережили бы , то их пользователи точно нет http://forum.drweb.com/public/style_emoticons/default/rolleyes.gif , приходилось отключать от сети и сканировать при помощи CureIt.а создать задание на запуск GUI сканера для всех машин пробовали?
да я больше для топикстартера писал
#13
Отправлено 27 Январь 2009 - 22:48
Доктора. К примеру файлы типа sptd.sys или NTUSER.DAT будут отображаться в статистике ошибок при сканировании энтерпрайз сканером.Чьих ошибок доступа? Системы или Доктора?Прикол в том , что в консоли ES есть возможность просматривать ошибки доступа к файлам.
#14
Отправлено 27 Январь 2009 - 23:02
Ага! И Энтерпрайз сканер покажет "read error" на левой DLL. http://forum.drweb.com/public/style_emoticons/default/smile.pngДоктора. К примеру файлы типа sptd.sys или NTUSER.DAT будут отображаться в статистике ошибок при сканировании энтерпрайз сканером.Чьих ошибок доступа? Системы или Доктора?Прикол в том , что в консоли ES есть возможность просматривать ошибки доступа к файлам.
Борис А. Чертенко aka Borka.
#15
Отправлено 28 Январь 2009 - 10:43
#16
Отправлено 28 Январь 2009 - 11:06
Стоял веб с новыми базами. Уже и курейтом лечил в безопасном режиме и без сети. Не помогает. Антивир одно и тоже бьет и бьет.
время перемещаться в "помощь по лечению"
#17
Отправлено 28 Январь 2009 - 11:08
#18
Отправлено 28 Январь 2009 - 11:51
Покажите строку лога сканера, которая показывает удаление файла, а так же покажите кусок лога спайдера, где вирус опять находится.И это все при отключенной сети.
Должно быть что-то типа такой записи в логе спайдера
15-01-2009 12:44:26 [CL] (PID = 0008) C:\WINNT\System32\ritwonz.w - упакован UPX
15-01-2009 12:44:26 [CL] (PID = 0008) C:\WINNT\System32\ritwonz.w - инфицирован Win32.HLLW.Shadow.based
15-01-2009 12:44:26 [CL] (PID = 0008) C:\WINNT\System32\ritwonz.w - исцелен
Обратите внимание на значение PID , кому он принадлежит?
#19
Отправлено 28 Январь 2009 - 14:42
Вы хотите чтобы сам антивирус отключал, скрытые шары, автозапуск, менял пароли адмнистраторов на более стойкие, чтобы по словарю не подбирались? именно такими способами вирь и пролазит когда стоят заплатки. и причем тут антивирус, ответьте?Всем доброго. В сети завелся червь, много. Уже много что пробовал, обновления там заплатки курейт. Но у меня вопрос, почему я должен это все делать, а не мой антивир?
да да конечно..., каспер как обычно непобедим... ложь! они бедняги уже две спец-тулзы выпустили для борьбы с этим вирусом. Наш антивирус отбивает все атаки и проникновение этого вируса, но если пароли слабые вирус так и будет лезть и убиваться вебом, и так по кругу. антивирус делает то для чего он предназначен. дыры в головах админов и ос он не способен затыкать.Но я скажу, что к примеру касперовские пользователи даже и не слышали о данном вирусе, я допускаю конечно их некомпетентность( пользователей) в вопросе идентификации вира. Но я бы хотел чтоб веб бил вирус из любых положений при обновленных базах.
Doctor Web, Ltd.
#20
Отправлено 28 Январь 2009 - 15:28
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых