Тикет [drweb.com #5574187]
Файл появляется при открытии чертежа, а сам файл чертёжа вроде бы как исчезает, при открытии имеет такой вид:
http://s020.radikal.ru/i713/1504/34/f32a740b9f35.png
Он уже акад заразил я так понимаю?
Отправлено 23 Апрель 2015 - 16:20
Тикет [drweb.com #5574187]
Файл появляется при открытии чертежа, а сам файл чертёжа вроде бы как исчезает, при открытии имеет такой вид:
http://s020.radikal.ru/i713/1504/34/f32a740b9f35.png
Он уже акад заразил я так понимаю?
Отправлено 23 Апрель 2015 - 16:20
Отправлено 23 Апрель 2015 - 18:14
Что-то очень редкое...
Отправлено 25 Апрель 2015 - 01:20
Можно как нибудь ускорить диагностику и очистку файлов от этой заразы? Она расползается очень и очень быстро. Может ключ регистрации нужно куда приложить или создать с ним дополнительный тикет?
Отправлено 25 Апрель 2015 - 07:44
Про червя - https://www.f-secure.com/v-descs/worm_acad_kenilfe_a.shtml. Заражает через внешние накопители. сделайте логи, и вам помогут.
Отправлено 25 Апрель 2015 - 11:09
http://forum.drweb.com/index.php?showforum=49Можно как нибудь ускорить диагностику и очистку файлов от этой заразы? Она расползается очень и очень быстро. Может ключ регистрации нужно куда приложить или создать с ним дополнительный тикет?
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Отправлено 25 Апрель 2015 - 23:20
Про червя - https://www.f-secure.com/v-descs/worm_acad_kenilfe_a.shtml. Заражает через внешние накопители. сделайте логи, и вам помогут.
Смысл делать логи если есть тело? Сейчас он уже внутри и десяток машин заражены, эпидемия нарастает.
Отправлено 26 Апрель 2015 - 10:37
Добавил в базу.
Отправлено 27 Апрель 2015 - 09:26
Что-то очень редкое...
Вообще-то нет) Видел такое сплошь и рядом. Спасает только бэкап, ибо даже запуск автокада с параметром "acadlspasdoc=0" не спасает...
Добавил в базу.
Спасибо
Отправлено 27 Апрель 2015 - 18:41
Добавил в базу.
Cпасибо, определяет. Но маленькая проблема: зараженный файл при активном и обновленном антивирусе можно открыть и на редактирование и на просмотр - и при этом никакой реакции на файл нет, реагирует при создании нового тела.
Наверное это связано с тем что не под все действия и не под все типы файлов идёт проверка на открытие и редактирование?
А этот файл квазиисполняемый, он загружается вместе с чертежом при старте любого чертежа из текущей директории...
Как утверждает уважаемый brisyo не спасает и отключение автозагрузки...
Вобщем, при настройках по умолчанию имеющиеся тела не обнаруживает, что ведёт к неизлечению машины, а садится он много куда... Можно конечно провести полную проверку, но уж очень большие трудозатраты и времени тоже немало...
Можно ли внести в базу исполняемых файлов у антивируса следующие самозагружающиеся расширения, чтобы их и при открытие на чтение проверяло?
*.VLX
*.FAS
*.LSP
Отправлено 27 Апрель 2015 - 20:10
Добавил в базу.
Cпасибо, определяет. Но маленькая проблема: зараженный файл при активном и обновленном антивирусе можно открыть и на редактирование и на просмотр - и при этом никакой реакции на файл нет, реагирует при создании нового тела.
Наверное это связано с тем что не под все действия и не под все типы файлов идёт проверка на открытие и редактирование?
А этот файл квазиисполняемый, он загружается вместе с чертежом при старте любого чертежа из текущей директории...
Как утверждает уважаемый brisyo не спасает и отключение автозагрузки...
Вобщем, при настройках по умолчанию имеющиеся тела не обнаруживает, что ведёт к неизлечению машины, а садится он много куда... Можно конечно провести полную проверку, но уж очень большие трудозатраты и времени тоже немало...
Можно ли внести в базу исполняемых файлов у антивируса следующие самозагружающиеся расширения, чтобы их и при открытие на чтение проверяло?
*.VLX
*.FAS
*.LSP
Я думаю, тут это не поможет. Мы поступаем следующим образом:
даем доступ только на чтение этим файлам автокада (acadlsp, acaddoc, acad2013...), в самом автокаде прописываем (в модулях) единственный путь к этим файлам (потому что по умолчанию автокад смотрит кучу папок с данным параметром). Другими словами, он не будет "дергать" левые кадовские "лиспы" (lsp).
А еще просите пользователей сначала открывать автокад, а потом уже конечный файл.
Сообщение было изменено brisyo: 27 Апрель 2015 - 20:12
Отправлено 27 Апрель 2015 - 20:19
Я думаю, тут это не поможет. Мы поступаем следующим образом:
даем доступ только на чтение этим файлам автокада (acadlsp, acaddoc, acad2013...), в самом автокаде прописываем (в модулях) единственный путь к этим файлам (потому что по умолчанию автокад смотрит кучу папок с данным параметром). Другими словами, он не будет "дергать" левые кадовские "лиспы" (lsp).
А еще просите пользователей сначала открывать автокад, а потом уже конечный файл.
Непонятно, как это "доступ только на чтение"? Какими средствами? Для каких файлов? У них имена постоянно меняются, единое только расширение.
Потом, как прописывать единственный путь?
Вот этот, который я поймал, суёт свои копии везде, в програмфайлы, в каталоги пользователей, рабочие каталоги профилей - до 5 мест, проверяется доктором это всё очень долго, там проверяемых +50тыщ файлов, потому что он каждую хтмл "помощи" разбирает на запчасти и проверяет и указывает как отдельный файл...
Сегодня оказалось что заразились практически все без исключения, работать без постоянной заразы почти невозможно, активные лиспы в каталогах куда установлен акад не удаляются... Да, она уже не распространяется, на флешки, по сети, но открываешь чертёж - и "15 тел обнаружено"...
Отправлено 27 Апрель 2015 - 20:19
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
Отправлено 27 Апрель 2015 - 20:27
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
Отправлено 27 Апрель 2015 - 20:30
Я думаю, тут это не поможет. Мы поступаем следующим образом:
даем доступ только на чтение этим файлам автокада (acadlsp, acaddoc, acad2013...), в самом автокаде прописываем (в модулях) единственный путь к этим файлам (потому что по умолчанию автокад смотрит кучу папок с данным параметром). Другими словами, он не будет "дергать" левые кадовские "лиспы" (lsp).
А еще просите пользователей сначала открывать автокад, а потом уже конечный файл.
Непонятно, как это "доступ только на чтение"? Какими средствами? Для каких файлов? У них имена постоянно меняются, единое только расширение.
Потом, как прописывать единственный путь?
Вот этот, который я поймал, суёт свои копии везде, в програмфайлы, в каталоги пользователей, рабочие каталоги профилей - до 5 мест, проверяется доктором это всё очень долго, там проверяемых +50тыщ файлов, потому что он каждую хтмл "помощи" разбирает на запчасти и проверяет и указывает как отдельный файл...
Сегодня оказалось что заразились практически все без исключения, работать без постоянной заразы почти невозможно, активные лиспы в каталогах куда установлен акад не удаляются... Да, она уже не распространяется, на флешки, по сети, но открываешь чертёж - и "15 тел обнаружено"...
Не, имеется в виду оставить путь в автокаде для оригинальных файлов.
Момент, найду.....а то все на работе осталось)
Отправлено 27 Апрель 2015 - 20:32
на wiki есть,что и как
Отправлено 27 Апрель 2015 - 20:38
В общем,
http://adn-cis.org/posledovatelnost-zagruzki-prilozhenij-v-autocad.html
http://autolisp.ru/2015/02/26/clear-lisp-virus/
Только не советую на последнем ресурсе применять чистилку...
Насчет где прописывать единственный путь в автокаде на исполняемые файлы спрошу завтра у нашего отдела САПР.
Отправлено 27 Апрель 2015 - 20:40
САПР компас,бикад,автокад,плораб/плобан?
--
ага автокад..
а номер версии подскажите
Сообщение было изменено mrbelyash: 27 Апрель 2015 - 20:42
Отправлено 27 Апрель 2015 - 20:40
Вот этот, который я поймал, суёт свои копии везде, в програмфайлы, в каталоги пользователей, рабочие каталоги профилей - до 5 мест, проверяется доктором это всё очень долго, там проверяемых +50тыщ файлов, потому что он каждую хтмл "помощи" разбирает на запчасти и проверяет и указывает как отдельный файл...
Посмотрите в сторону ключей командной строки для сканера.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Отправлено 27 Апрель 2015 - 20:59
Вот этот, который я поймал, суёт свои копии везде, в програмфайлы, в каталоги пользователей, рабочие каталоги профилей - до 5 мест, проверяется доктором это всё очень долго, там проверяемых +50тыщ файлов, потому что он каждую хтмл "помощи" разбирает на запчасти и проверяет и указывает как отдельный файл...
Посмотрите в сторону ключей командной строки для сканера.
Проблема глобальнее: каждый неизвестный вирус будет сначала распространяться, а потом его придётся "ключами командной строки". Хотелось бы "у целом", чтобы когда его считывает кад - смывало сразу....
ps
А распространяются они со скоростью ветра, гораздо быстрее чем обычные вирусы: текущие чертежи в работе у нескольких человек, а у каждого из них - свой список чертежей, которыми пользуются другие - получается плотная сеть.
Сообщение было изменено Guest346: 27 Апрель 2015 - 21:02
0 пользователей, 0 гостей, 0 скрытых