62 ответов в этой теме

[zbugz]

Всем привет. Поймал тут очередной троян. Он заблокировал regedit и regedt32 на запуск. Ну с помощью сторонрих ютилит то залезть в реестр можно, но суть не в этом.
В Касперском при установке и ее завершение он всегда проверяет заблокирован ли реестр и regedit и фалй hosts на наличие каких то блокировок и не верных записей. Это очень удобно. DrWeb этого никогда не делал, это ужасно не удобно, когда ставишь DrWebyи зараженную машину или частично зараженную, которую еще можно спасти.
Сей троян, причем я не знаю какой именно, там их тьма была, разбираться было лень, был прибит, но DLL который был загружен системой и блокировал RegEdit Drweb не распазнает как опасность даже в эвристическом анализе.
В итоге ни при установке ниче не делает, ни после удаления троянов тоже ниче не делает, получаеться вроде все и работает, только через попу...
Так же он блокирует обновлялку касперского и DrWeb, т.е. запускаю обновить, ниче не происходит, запускаю файл в ручную, тоже самое, тишина. Короче он подовляет запуск обновлялок.

Ну пожелания разработчикам, пусть при установке или при запуске DrWeb проверяет эти три вещи, я думаю сложного в этом ниче нету.

З.Ы. Если доберусь до той машины еще раз, скину логи и этот DLL

[basid]

В Касперском при установке и ее завершение он всегда проверяет заблокирован ли реестр и regedit и фалй hosts на наличие каких то блокировок и не верных записей. Это очень удобно.

Когда как.
Блокировка запуска делается политиками, а их кроме троянов сисадмины используют. Я бы даже сказал, что чаще и больше В hosts записи тоже могут быть внесены теми же сисадминами и вполне даже странные. Такшта-а-а...

[mrbelyash]

В Касперском при установке и ее завершение он всегда проверяет заблокирован ли реестр и regedit и фалй hosts на наличие каких то блокировок и не верных записей. Это очень удобно.

Когда как.
Блокировка запуска делается политиками, а их кроме троянов сисадмины используют. Я бы даже сказал, что чаще и больше В hosts записи тоже могут быть внесены теми же сисадминами и вполне даже странные. Такшта-а-а...

А я бы хотел галочку в антивирусе-Сообщать об изменении политик/настроек.
Во время работы выскакивает сообщение что "Запрещен запуск *.exe" изменение в такой-то ветке реестра.
Я как сам сибе админ очень удивлюсь
Есть куча мест в системе у простого пользователя(да и админы вон на форум прибегают) которые редактируются/изменяются трояном...

Например отработав в текущей конфигурации после перезагрузки антивирус мне сообщит что изменилось в конфигурации то-то ...

[pig]

Хранить слепок конфигурации и мониторить? В принципе, это можно отнести к фнкциям родительского контроля - считаем, что речь идёт о персональной версии, а там, где админы с политиками, нехай ES работает.

P.S. Для лечения последствий будет Шарк. А пока его нет, можно пользоваться, извините, AVZ.

[zbugz]

В Касперском при установке и ее завершение он всегда проверяет заблокирован ли реестр и regedit и фалй hosts на наличие каких то блокировок и не верных записей. Это очень удобно.

Когда как.
Блокировка запуска делается политиками, а их кроме троянов сисадмины используют. Я бы даже сказал, что чаще и больше В hosts записи тоже могут быть внесены теми же сисадминами и вполне даже странные. Такшта-а-а...

Ну поводу Hosts тут просто, как в касперском просто тупо спросить: "исправить его или нет"
А по поводу регедит тоже можно и спросить или проверять групповую политику, если там запрещенно, то фиг с ней, а если разрешенно, как в моем случае, но что то его лочит, то дать запрос на разблокировку, ну а там пусть админ думает.
Причем проблема то в основном даже не в регедитах и т.д., самое главное что бы сам антивирусный монитор мониторил свою обновлялку, потому что она то не работает тоже, ее что то глушит. Она не заражена, CRC32 и MD5 одинаковы с анологичной не зараженной машины, а она не запускаеться вообще. Вот это бы точно учесть надо. Это просто достаточно, просто прибивать любые процессы которые ломиться к нему, кроме антивирусного модуля. Это помойму пустяк, это я как Delphi программист говорю

[BAHTYC]

Ну поводу Hostsnen просто, как в касперском просто тупо спросить: "исправить его или нет"
А по поводу регедит тоже можно и спросить или проверять групповую политику, если там запрещенно, то фиг с ней, а если разрешенно, как в моем случае, но что то его лочит, то дать запрос на разблокировку, ну а там пусть админ думает.
.....

Это помойму пустяк, это я как Delphi программист говорю

Delphi не авторитет 
Откуда антивирус будет знать Вы заблокировали запуск редактора реестра(дисп.задач) или вирус?


А если удалить вообще regedit.exe?

Постоянная проблема -анализ логов (смотрим PID),а потом ковыряем кто и кого дропает.

[basid]

Ну поводу Hostsnen просто, как в касперском просто тупо спросить: "исправить его или нет"

А откуда пользователю знать кто именно внёс запись в hosts и с какой целью???

А по поводу регедит тоже можно и спросить или проверять групповую политику, если там запрещенно, то фиг с ней, а если разрешенно, как в моем случае, но что то его лочит, то дать запрос на разблокировку, ну а там пусть админ думает.

Ещё раз. Механизм блокировки одинаковый - политики. И опять-таки, вопрос - кто задал политики? Админ или вирус?

[Gnostis]

Delphi не авторитет

Давайте не будем тут начинать...

Блокировка чего либо может быть вызвана различными факторами админ, вирус, криворукий пользователь. И вноситься они могут как через реестр так и через политики.
Если же антивирус начнет сбивать настройки по дефолту (которые еще в образ винды вбиты) то мне кажется что администраторы откажутся от такого антивируса.

После установки ХП студентам мы столкнулись с кучей проблем в том числе получение доступа к админу локальной машины (все прям хакеры куда бы деться), с 98 таких проблем не было, ограничил доступ через реестр и не думаешь о том что-то не так будет. А если антивир разблокирует regedit и прочее что заблокировано, то там такое начнеться.

[zbugz]

Delphi не авторитет 

С каких это пор ?!

Откуда антивирус будет знать Вы заблокировали запуск редактора реестра(дисп.задач) или вирус?

Ну зрасте, лочиние файла проверить легко, даже на бэйсике, это раз. Во вторых DRWeb имеет драйвер, и он исполняет функции самозащиты, так почему же он не защищает свою обновлялку ?! Это уже кривость полная. Потому что нужно всего две вещи, разрешить планировщику его запускать и все, все остальные прооцессы припивать на корню. Это вообще то самая распространенная политика безопасности при разработке программы.

А если удалить вообще regedit.exe?

Просто можно выдать сообщение, что его нету, или ниче не выдавать. Тут впринципе не сколько регедит нужен, сколько проверка на блокировку реестра не политиками админа, а вирусами. А сообщение об этом никто не отменял, дмин сам решит, так ли это или нет.

[zbugz]

А откуда пользователю знать кто именно внёс запись в hosts и с какой целью???

Ну так сообщение выводить об этом, в чем проблема то ? Касперский так и делает. Хошь лечи, хошь нет.

Ещё раз. Механизм блокировки одинаковый - политики. И опять-таки, вопрос - кто задал политики? Админ или вирус?

Опять же, сообщение.

Блокировка чего либо может быть вызвана различными факторами админ, вирус, криворукий пользователь. И вноситься они могут как через реестр так и через политики.
Если же антивирус начнет сбивать настройки по дефолту (которые еще в образ винды вбиты) то мне кажется что администраторы откажутся от такого антивируса.

НУ вот пусть и думает, для этого есть MessageBox

[Gnostis]

А нафига тем же студентам знать где и что поменялось? их и вирусы не должны касаться.. их должно касаться крипторектальное наказание за принесенные вирусы =))
Зачем усложнять что и так прекрасно работает, обычно это не к чему хорошему ни приводит.

А вообще за этим всем добром фарвол следит Agnitum к примеру. А регулярные сканы AVZ с включенной галочкой на исправление проблем поможет многих проблем избежать) (мастер Ёда был тут)

[zbugz]

А нафига тем же студентам знать где и что поменялось? их и вирусы не должны касаться.. их должно касаться крипторектальное наказание за принесенные вирусы =))

Причем тут только студенты ? Это касаеться всех и даже админов. У меня бывает не всегда под рукой что то есть, приходиться сносить Веба, ставить Касперского, сканировать им, сносить его и ставить Веба обратно, потому что он ничего не умеет. Да к тому же в последнее время часто заразу пропускает, причем 4.44 меньше в разы, а 5-й дырявый по самые не болуй. Я уже тему даже давно создавал, когда еще 5-я версия бэтой была, так особо ниче не изменилось. Особеннно огорчает, что стоит 5-я версия, нахватает вирусов, сканирую, вылечело часть, сношу его, ставлю 4.44 в 10 раз точно больше поймает, причем других еще кучу. А могу при рабочей 5-й версии запустить Курит, так еще выловит в 10 раз больше, чем стандартный сканер.

Зачем усложнять что и так прекрасно работает, обычно это не к чему хорошему ни приводит.

Какие усложнения ?! Поставь касперсокго на зараженную таким образом машину, всего три запроса и все. Хошь лечи, хошь нет. Причем там то умно сделанно, когда касперский знает что работает под юзером с ограниченными правами, он не орет, а когда он знает что это админ, а в итоге получаеться что админ кастрирован, он тогда тока и орет.

А вообще за этим всем добром фарвол следит Agnitum к примеру. А регулярные сканы AVZ с включенной галочкой на исправление проблем поможет многих проблем избежать) (мастер Ёда был тут)

Ну тут с этими продуктами пользователю вообще не разобраться, тут проще на три вопроса ответить.


З.Ы. Кстати, всегда огорчало то, что поймает Веб трояна, грохнет, а реестр не трогает. Ставишь касперского, он поймает этого же трояна и разблокирует реест. Потому что в ихней лаборатории вирус\троян тестируют по полной, отсюда знает что тот троян делает это и это и лечат соответственно, а Веб так не делает. А это надо, я кстати тему про реестр и установку Веба уже создавал, там все четко написанно. Надеюсь уже пофиксили хотя бы это.

[Pavel Plotnikov]

З.Ы. Кстати, всегда огорчало то, что поймает Веб трояна, грохнет, а реестр не трогает. Ставишь касперского, он поймает этого же трояна и разблокирует реест. Потому что в ихней лаборатории вирус\троян тестируют по полной, отсюда знает что тот троян делает это и это и лечат соответственно, а Веб так не делает. А это надо, я кстати тему про реестр и установку Веба уже создавал, там все четко написанно. Надеюсь уже пофиксили хотя бы это.

* -- следует учесть, что антивирус Dr.Web® производит только безусловно необходимые для функционирования операционной системы изменения в реестре, например, убирает запись вируса из автозагрузки, снимает перенаправление открытия файлов с вирусного файла и т.д. Такие изменения, как запрет на запуск "Диспетчера задач", редактора системного реестра или отображение скрытых файлов и пр., антивирусом не модифицируются, по причине невозможности достоверно определить произведены ли эти изменения вирусом или самим пользователем (к примеру, системным администратором предприятия). Если вы обсолютно уверены, что самостоятельно ни каких манипуляций с реестром ОС вы не проводили, для окончательной очистки системы обратитесь к статье Если что-то отключено или в службу тех. поддержки компании «Доктор Веб».

[YVS]

Да к тому же в последнее время часто заразу пропускает, причем 4.44 меньше в разы, а 5-й дырявый по самые не болуй. Я уже тему даже давно создавал, когда еще 5-я версия бэтой была, так особо ниче не изменилось. Особеннно огорчает, что стоит 5-я версия, нахватает вирусов, сканирую, вылечело часть, сношу его, ставлю 4.44 в 10 раз точно больше поймает, причем других еще кучу. А могу при рабочей 5-й версии запустить Курит, так еще выловит в 10 раз больше, чем стандартный сканер.

Без логов это только слова.

[pig]

Да однозначно кривые настройки. CureIt - та же пятёрка, только настройки у неё правильные

[zbugz]

Да однозначно кривые настройки. CureIt - та же пятёрка, только настройки у неё правильные

Настройки одинаковые, я всегда настраиваю по одному сценарию.

[zbugz]

Да к тому же в последнее время часто заразу пропускает, причем 4.44 меньше в разы, а 5-й дырявый по самые не болуй. Я уже тему даже давно создавал, когда еще 5-я версия бэтой была, так особо ниче не изменилось. Особеннно огорчает, что стоит 5-я версия, нахватает вирусов, сканирую, вылечело часть, сношу его, ставлю 4.44 в 10 раз точно больше поймает, причем других еще кучу. А могу при рабочей 5-й версии запустить Курит, так еще выловит в 10 раз больше, чем стандартный сканер.

Без логов это только слова.

Я же написал выше, что уже тему создавал и там логи и т.д. были, че спорить то ?

[zbugz]

* -- следует учесть, что антивирус Dr.Web® производит только безусловно необходимые для функционирования операционной системы изменения в реестре, например, убирает запись вируса из автозагрузки, снимает перенаправление открытия файлов с вирусного файла и т.д.

Вот именно, очем и речь. Я уже не впервый раз сталкиваюсь стакими лучаеми. И последний случай тот же. Т.е. вирусы прибил и сканером и кюритом, а в итоге ниче не пашет. Это уже 3-й раз такой за последне время. Опять повторюсь, я тему создавал уже (логи, файлы и т.д. выкладывал), там тажа ситуация, вирус грохнут, а реестр блокирован. В итоге только касперский и спас, всмысле по быстрому, под рукой кроме двух антивирусов ниче не было.

Такие изменения, как запрет на запуск "Диспетчера задач", редактора системного реестра или отображение скрытых файлов и пр., антивирусом не модифицируются, по причине невозможности достоверно определить произведены ли эти изменения вирусом или самим пользователем (к примеру, системным администратором предприятия). Если вы обсолютно уверены, что самостоятельно ни каких манипуляций с реестром ОС вы не проводили, для окончательной очистки системы обратитесь к статье Если что-то отключено или в службу тех. поддержки компании «Доктор Веб».

Ну так запрос задавать можно же

Но еще раз повторю, фиг сним, а свою обновлялку то ДрВэба то почему не мониторите ? Вот щас столкнулся с трояном, хз каким, ниче не сохранял, полез в инет, а там написанно, что 5 штук DLL блокируют ее автозапуск. В чем проблема, имея драйвер и сервис, залочить файл обновлялки от любых вторжений ,Это же элементарно

[zbugz]

Модератору А почему при просмотре моего профиля, я не вижу своих тем, созданных ранее. А то ребятам даже ссылку кинуть не могу на нее...

[zbugz]

Модератору А почему при просмотре моего профиля, я не вижу своих тем, созданных ранее. А то ребятам даже ссылку кинуть не могу на нее...

Ура, нашел пролистыванием страниц Вот ссылка про заблокированный реестр и установку. Я кстати с тех пор не тестировал, но я думаю уже исправили. И это только одна проблема, а еще проблема обновления, невозможности зайти в реестр. И все это из одной оперы.