Заблокирован Regedit
#1
Отправлено 28 Март 2009 - 13:24
В Касперском при установке и ее завершение он всегда проверяет заблокирован ли реестр и regedit и фалй hosts на наличие каких то блокировок и не верных записей. Это очень удобно. DrWeb этого никогда не делал, это ужасно не удобно, когда ставишь DrWebyи зараженную машину или частично зараженную, которую еще можно спасти.
Сей троян, причем я не знаю какой именно, там их тьма была, разбираться было лень, был прибит, но DLL который был загружен системой и блокировал RegEdit Drweb не распазнает как опасность даже в эвристическом анализе.
В итоге ни при установке ниче не делает, ни после удаления троянов тоже ниче не делает, получаеться вроде все и работает, только через попу...
Так же он блокирует обновлялку касперского и DrWeb, т.е. запускаю обновить, ниче не происходит, запускаю файл в ручную, тоже самое, тишина. Короче он подовляет запуск обновлялок.
Ну пожелания разработчикам, пусть при установке или при запуске DrWeb проверяет эти три вещи, я думаю сложного в этом ниче нету.
З.Ы. Если доберусь до той машины еще раз, скину логи и этот DLL
#2
Отправлено 28 Март 2009 - 17:28
Когда как.В Касперском при установке и ее завершение он всегда проверяет заблокирован ли реестр и regedit и фалй hosts на наличие каких то блокировок и не верных записей. Это очень удобно.
Блокировка запуска делается политиками, а их кроме троянов сисадмины используют. Я бы даже сказал, что чаще и больше В hosts записи тоже могут быть внесены теми же сисадминами и вполне даже странные. Такшта-а-а...
#3
Отправлено 28 Март 2009 - 17:46
Когда как.В Касперском при установке и ее завершение он всегда проверяет заблокирован ли реестр и regedit и фалй hosts на наличие каких то блокировок и не верных записей. Это очень удобно.
Блокировка запуска делается политиками, а их кроме троянов сисадмины используют. Я бы даже сказал, что чаще и больше В hosts записи тоже могут быть внесены теми же сисадминами и вполне даже странные. Такшта-а-а...
А я бы хотел галочку в антивирусе-Сообщать об изменении политик/настроек.
Во время работы выскакивает сообщение что "Запрещен запуск *.exe" изменение в такой-то ветке реестра.
Я как сам сибе админ очень удивлюсь
Есть куча мест в системе у простого пользователя(да и админы вон на форум прибегают) которые редактируются/изменяются трояном...
Например отработав в текущей конфигурации после перезагрузки антивирус мне сообщит что изменилось в конфигурации то-то ...
#4
Отправлено 28 Март 2009 - 19:24
P.S. Для лечения последствий будет Шарк. А пока его нет, можно пользоваться, извините, AVZ.
#5
Отправлено 30 Март 2009 - 18:53
Ну поводу Hosts тут просто, как в касперском просто тупо спросить: "исправить его или нет"Когда как.В Касперском при установке и ее завершение он всегда проверяет заблокирован ли реестр и regedit и фалй hosts на наличие каких то блокировок и не верных записей. Это очень удобно.
Блокировка запуска делается политиками, а их кроме троянов сисадмины используют. Я бы даже сказал, что чаще и больше В hosts записи тоже могут быть внесены теми же сисадминами и вполне даже странные. Такшта-а-а...
А по поводу регедит тоже можно и спросить или проверять групповую политику, если там запрещенно, то фиг с ней, а если разрешенно, как в моем случае, но что то его лочит, то дать запрос на разблокировку, ну а там пусть админ думает.
Причем проблема то в основном даже не в регедитах и т.д., самое главное что бы сам антивирусный монитор мониторил свою обновлялку, потому что она то не работает тоже, ее что то глушит. Она не заражена, CRC32 и MD5 одинаковы с анологичной не зараженной машины, а она не запускаеться вообще. Вот это бы точно учесть надо. Это просто достаточно, просто прибивать любые процессы которые ломиться к нему, кроме антивирусного модуля. Это помойму пустяк, это я как Delphi программист говорю
#6
Отправлено 30 Март 2009 - 19:14
Delphi не авторитетНу поводу Hostsnen просто, как в касперском просто тупо спросить: "исправить его или нет"
А по поводу регедит тоже можно и спросить или проверять групповую политику, если там запрещенно, то фиг с ней, а если разрешенно, как в моем случае, но что то его лочит, то дать запрос на разблокировку, ну а там пусть админ думает.
.....
Это помойму пустяк, это я как Delphi программист говорю
Откуда антивирус будет знать Вы заблокировали запуск редактора реестра(дисп.задач) или вирус?
А если удалить вообще regedit.exe?
Постоянная проблема -анализ логов (смотрим PID),а потом ковыряем кто и кого дропает.
#7
Отправлено 30 Март 2009 - 22:10
А откуда пользователю знать кто именно внёс запись в hosts и с какой целью???Ну поводу Hostsnen просто, как в касперском просто тупо спросить: "исправить его или нет"
Ещё раз. Механизм блокировки одинаковый - политики. И опять-таки, вопрос - кто задал политики? Админ или вирус?А по поводу регедит тоже можно и спросить или проверять групповую политику, если там запрещенно, то фиг с ней, а если разрешенно, как в моем случае, но что то его лочит, то дать запрос на разблокировку, ну а там пусть админ думает.
#8
Отправлено 31 Март 2009 - 07:22
Давайте не будем тут начинать...Delphi не авторитет
Блокировка чего либо может быть вызвана различными факторами админ, вирус, криворукий пользователь. И вноситься они могут как через реестр так и через политики.
Если же антивирус начнет сбивать настройки по дефолту (которые еще в образ винды вбиты) то мне кажется что администраторы откажутся от такого антивируса.
После установки ХП студентам мы столкнулись с кучей проблем в том числе получение доступа к админу локальной машины (все прям хакеры куда бы деться), с 98 таких проблем не было, ограничил доступ через реестр и не думаешь о том что-то не так будет. А если антивир разблокирует regedit и прочее что заблокировано, то там такое начнеться.
#9
Отправлено 31 Март 2009 - 14:05
С каких это пор ?!Delphi не авторитет
Ну зрасте, лочиние файла проверить легко, даже на бэйсике, это раз. Во вторых DRWeb имеет драйвер, и он исполняет функции самозащиты, так почему же он не защищает свою обновлялку ?! Это уже кривость полная. Потому что нужно всего две вещи, разрешить планировщику его запускать и все, все остальные прооцессы припивать на корню. Это вообще то самая распространенная политика безопасности при разработке программы.Откуда антивирус будет знать Вы заблокировали запуск редактора реестра(дисп.задач) или вирус?
Просто можно выдать сообщение, что его нету, или ниче не выдавать. Тут впринципе не сколько регедит нужен, сколько проверка на блокировку реестра не политиками админа, а вирусами. А сообщение об этом никто не отменял, дмин сам решит, так ли это или нет.А если удалить вообще regedit.exe?
#10
Отправлено 31 Март 2009 - 14:08
Ну так сообщение выводить об этом, в чем проблема то ? Касперский так и делает. Хошь лечи, хошь нет.А откуда пользователю знать кто именно внёс запись в hosts и с какой целью???
Опять же, сообщение.Ещё раз. Механизм блокировки одинаковый - политики. И опять-таки, вопрос - кто задал политики? Админ или вирус?
НУ вот пусть и думает, для этого есть MessageBoxБлокировка чего либо может быть вызвана различными факторами админ, вирус, криворукий пользователь. И вноситься они могут как через реестр так и через политики.
Если же антивирус начнет сбивать настройки по дефолту (которые еще в образ винды вбиты) то мне кажется что администраторы откажутся от такого антивируса.
#11
Отправлено 31 Март 2009 - 17:11
Зачем усложнять что и так прекрасно работает, обычно это не к чему хорошему ни приводит.
А вообще за этим всем добром фарвол следит Agnitum к примеру. А регулярные сканы AVZ с включенной галочкой на исправление проблем поможет многих проблем избежать) (мастер Ёда был тут)
#12
Отправлено 31 Март 2009 - 17:28
Причем тут только студенты ? Это касаеться всех и даже админов. У меня бывает не всегда под рукой что то есть, приходиться сносить Веба, ставить Касперского, сканировать им, сносить его и ставить Веба обратно, потому что он ничего не умеет. Да к тому же в последнее время часто заразу пропускает, причем 4.44 меньше в разы, а 5-й дырявый по самые не болуй. Я уже тему даже давно создавал, когда еще 5-я версия бэтой была, так особо ниче не изменилось. Особеннно огорчает, что стоит 5-я версия, нахватает вирусов, сканирую, вылечело часть, сношу его, ставлю 4.44 в 10 раз точно больше поймает, причем других еще кучу. А могу при рабочей 5-й версии запустить Курит, так еще выловит в 10 раз больше, чем стандартный сканер.А нафига тем же студентам знать где и что поменялось? их и вирусы не должны касаться.. их должно касаться крипторектальное наказание за принесенные вирусы =))
Какие усложнения ?! Поставь касперсокго на зараженную таким образом машину, всего три запроса и все. Хошь лечи, хошь нет. Причем там то умно сделанно, когда касперский знает что работает под юзером с ограниченными правами, он не орет, а когда он знает что это админ, а в итоге получаеться что админ кастрирован, он тогда тока и орет.Зачем усложнять что и так прекрасно работает, обычно это не к чему хорошему ни приводит.
Ну тут с этими продуктами пользователю вообще не разобраться, тут проще на три вопроса ответить.А вообще за этим всем добром фарвол следит Agnitum к примеру. А регулярные сканы AVZ с включенной галочкой на исправление проблем поможет многих проблем избежать) (мастер Ёда был тут)
З.Ы. Кстати, всегда огорчало то, что поймает Веб трояна, грохнет, а реестр не трогает. Ставишь касперского, он поймает этого же трояна и разблокирует реест. Потому что в ихней лаборатории вирус\троян тестируют по полной, отсюда знает что тот троян делает это и это и лечат соответственно, а Веб так не делает. А это надо, я кстати тему про реестр и установку Веба уже создавал, там все четко написанно. Надеюсь уже пофиксили хотя бы это.
#13
Отправлено 31 Март 2009 - 17:36
* -- следует учесть, что антивирус Dr.Web® производит только безусловно необходимые для функционирования операционной системы изменения в реестре, например, убирает запись вируса из автозагрузки, снимает перенаправление открытия файлов с вирусного файла и т.д. Такие изменения, как запрет на запуск "Диспетчера задач", редактора системного реестра или отображение скрытых файлов и пр., антивирусом не модифицируются, по причине невозможности достоверно определить произведены ли эти изменения вирусом или самим пользователем (к примеру, системным администратором предприятия). Если вы обсолютно уверены, что самостоятельно ни каких манипуляций с реестром ОС вы не проводили, для окончательной очистки системы обратитесь к статье Если что-то отключено или в службу тех. поддержки компании «Доктор Веб».З.Ы. Кстати, всегда огорчало то, что поймает Веб трояна, грохнет, а реестр не трогает. Ставишь касперского, он поймает этого же трояна и разблокирует реест. Потому что в ихней лаборатории вирус\троян тестируют по полной, отсюда знает что тот троян делает это и это и лечат соответственно, а Веб так не делает. А это надо, я кстати тему про реестр и установку Веба уже создавал, там все четко написанно. Надеюсь уже пофиксили хотя бы это.
#14
Отправлено 31 Март 2009 - 17:45
Без логов это только слова.Да к тому же в последнее время часто заразу пропускает, причем 4.44 меньше в разы, а 5-й дырявый по самые не болуй. Я уже тему даже давно создавал, когда еще 5-я версия бэтой была, так особо ниче не изменилось. Особеннно огорчает, что стоит 5-я версия, нахватает вирусов, сканирую, вылечело часть, сношу его, ставлю 4.44 в 10 раз точно больше поймает, причем других еще кучу. А могу при рабочей 5-й версии запустить Курит, так еще выловит в 10 раз больше, чем стандартный сканер.
#16
Отправлено 31 Март 2009 - 19:30
Настройки одинаковые, я всегда настраиваю по одному сценарию.Да однозначно кривые настройки. CureIt - та же пятёрка, только настройки у неё правильные
#17
Отправлено 31 Март 2009 - 19:31
Я же написал выше, что уже тему создавал и там логи и т.д. были, че спорить то ?Без логов это только слова.Да к тому же в последнее время часто заразу пропускает, причем 4.44 меньше в разы, а 5-й дырявый по самые не болуй. Я уже тему даже давно создавал, когда еще 5-я версия бэтой была, так особо ниче не изменилось. Особеннно огорчает, что стоит 5-я версия, нахватает вирусов, сканирую, вылечело часть, сношу его, ставлю 4.44 в 10 раз точно больше поймает, причем других еще кучу. А могу при рабочей 5-й версии запустить Курит, так еще выловит в 10 раз больше, чем стандартный сканер.
#18
Отправлено 31 Март 2009 - 19:37
Вот именно, очем и речь. Я уже не впервый раз сталкиваюсь стакими лучаеми. И последний случай тот же. Т.е. вирусы прибил и сканером и кюритом, а в итоге ниче не пашет. Это уже 3-й раз такой за последне время. Опять повторюсь, я тему создавал уже (логи, файлы и т.д. выкладывал), там тажа ситуация, вирус грохнут, а реестр блокирован. В итоге только касперский и спас, всмысле по быстрому, под рукой кроме двух антивирусов ниче не было.* -- следует учесть, что антивирус Dr.Web® производит только безусловно необходимые для функционирования операционной системы изменения в реестре, например, убирает запись вируса из автозагрузки, снимает перенаправление открытия файлов с вирусного файла и т.д.
Ну так запрос задавать можно жеТакие изменения, как запрет на запуск "Диспетчера задач", редактора системного реестра или отображение скрытых файлов и пр., антивирусом не модифицируются, по причине невозможности достоверно определить произведены ли эти изменения вирусом или самим пользователем (к примеру, системным администратором предприятия). Если вы обсолютно уверены, что самостоятельно ни каких манипуляций с реестром ОС вы не проводили, для окончательной очистки системы обратитесь к статье Если что-то отключено или в службу тех. поддержки компании «Доктор Веб».
Но еще раз повторю, фиг сним, а свою обновлялку то ДрВэба то почему не мониторите ? Вот щас столкнулся с трояном, хз каким, ниче не сохранял, полез в инет, а там написанно, что 5 штук DLL блокируют ее автозапуск. В чем проблема, имея драйвер и сервис, залочить файл обновлялки от любых вторжений ,Это же элементарно
#19
Отправлено 31 Март 2009 - 19:38
#20
Отправлено 31 Март 2009 - 19:42
Ура, нашел пролистыванием страниц Вот ссылка про заблокированный реестр и установку. Я кстати с тех пор не тестировал, но я думаю уже исправили. И это только одна проблема, а еще проблема обновления, невозможности зайти в реестр. И все это из одной оперы.Модератору А почему при просмотре моего профиля, я не вижу своих тем, созданных ранее. А то ребятам даже ссылку кинуть не могу на нее...
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых