21 ответов в этой теме

[admin-sochi]

Во время установки антивируса на сервер Windows Server 2003, на котором стоял dr.web 4.44, но с устаревшими базами, антивирус Dr.Web 5.0 для файловых серверов проверяет систему на наличие вирусов. Находит один не значительный троян, фаил csrcs.exe. После предлагает перезагрузиться. До перезагрузки время "последнего обновления" верное (например 09.09.2009) и "Всего вирусных записей" (например 654777). Это показывает SpiderAgent. Но после перезагрузки, SpiderGuard - отключен, "Последние обновление" - 01.01.1970, а "Всего вирусных записей"- 0 (ноль). Модуль самозащиты не выключается, хоть и вводишь правильный код (Ошибка - "Не удалось отключить Самозащит"). Скриншоты прилагаются.
Если же закрыть SpiderAgent и запустить его с флешки (взят с рабочей машины), то самозащиту можно отключить, код нормально воспринимает. Так хотя бы можно антивирус удалить, иначе он не хочет удаляться, так как опять таки ругается на невернный код Самозащиты.
Кстати, с такой же проблемой столкнулся ещё на одной машине, но уже это не серверная версия ОС, а обычный Professional XP. Но всё тоже самое происходит.
Ключ лицензионный. Для фалового сервера и 15 рабочих станций.

Получается вирус может легко снести антивирусную программу?
Не ужели прийдется переустанавливать ОС?

Прикрепленные файлы:

•  bad_modul.jpg   102,12К   95 Скачано раз
•  bad_time.jpg   118,5К   89 Скачано раз

[YVS]

Не ужели прийдется переустанавливать ОС?

Это сааамое крайнее средство
Для начала сделайте логи по правилам раздела "Помощь по лечению".

[admin-sochi]

Вот логи с помощью
hijack
RkU
логи с помощью DrWeb не готовы, так как много инфы на сервере проверка длится не один день

Прикрепленные файлы:

•  Report_RkU_28_09_09.rar   19,7К   50 Скачано раз
•  hijackthis_28_09_09.rar   2,32К   58 Скачано раз

[userr]

логи с помощью DrWeb не готовы, так как много инфы на сервере проверка длится не один день

Не верится, что логи с помощью DrWeb по правилам делаются так долго. У Вас не просят лог Полной проверки

[YVS]

admin-sochi
Отправьте файл
%WINDOWS%\system32\drivers\aliserv3.sys
в вирлаб

Обычным способом его, скорее всего не видно.
Для копирования используйте скрытые процессы (либо LiveCD).

Не верится, что логи с помощью DrWeb по правилам делаются так долго. У Вас не просят лог Полной проверки

+1

И сделайте еще лог GMER.

[admin-sochi]

"...распакуйте в C:\TEST все файлы, запустите cureit-scan.bat - запустится CureIt. Все найденное - лечить, неизлечимое - перемещать." "Если будут найдены вирусы и запрошена перезагрузка - соглашайтесь. После перезагрузки снова запускайте cureit-scan.bat - пока не перестанет находить вирусы."
У меня ночь проверяло, потом днем в обед прихожу, а там только 46% проверено. И найдено 2 трояна. ВОТ ЖДУ, ПОКА ПОЛНАЯ ПРОВЕРКА ПРОЙДЕТ!

Может мне ещё помимо кучи логов, надо написать какой-нибудь модул сопрежения для DrWeb, на С++, или прийдется ковырятся в коде SpiderAgenta, чтобы тот в конце-концов заработал????

По правде говоря порой проблемы возникающие с DrWEB заставляют задуматься о его смене, на другие аналоги. Я наверное перешел бы на Каспера, если бы не 2 НО:

- Каспер тормозит
- Для судов общей юрисдикции была куплена лицензия именно на DrWeb, а так как всё компьютерное хозяйство нашего суда лежит на моих плечах, приходится мирится с этой программой.

Единственное что радует, что данный программный продукт развивается.
Я частенько советую друзьям ставить данный антивирусный продукт отговаривая их от всяких (NOD32, avast! и т.д.) и они зачастую прислушиваются к моему мнению. К примеру одна фирма, которой я помогаю, решил купить 25 лицензионных копий.
Надеюсь они внесут свой в клад в развития данного антивирусного продукта и вскоре у него даже будет форум на русском языке (ведь живем мы в РФ).

Прикрепленные файлы:

•  GMER_30_09_09.rar   2,35К   49 Скачано раз

[mrbelyash]

В вирлаб
C:\WINDOWS\system32\drivers\rotscxqqaklrlo.sys
C:\WINDOWS\system32\drivers\aliserv3.sys (на вирустотал...наверное не троян)-------


Возможен конфликт с sis.sys 

Сообщение было изменено mrbelyash: 30 Сентябрь 2009 - 13:18

[Borka]

C:\WINDOWS\system32\drivers\aliserv3.sys (на вирустотал...наверное не троян)-------

Троян-троян.

[v.martyanov]

C:\WINDOWS\system32\drivers\aliserv3.sys (на вирустотал...наверное не троян)-------

Троян-троян.

Ога, TDSS

[YVS]

Ога, TDSS

В компании с Msliksur-ом

Этот файл тоже в вирлаб
C:\WINDOWS\system32\alil.dll

[v.martyanov]

Ога, TDSS

В компании с Msliksur-ом

Этот файл тоже в вирлаб
C:\WINDOWS\system32\alil.dll

А Msliksur и Aliserv - это все TDSS. Просто тогда еще не знали о близком родстве :-)

[Black Angel]

Надеюсь они внесут свой в клад в развития данного антивирусного продукта и вскоре у него даже будет форум на русском языке (ведь живем мы в РФ).

О каком форуме Вы говорите? Форум Dr.Web на русском языке.

[YVS]

А Msliksur и Aliserv - это все TDSS. Просто тогда еще не знали о близком родстве :-)

Вон оно что, то-то я смотрю они парой "ходят"

[headliner]

А что за зверь этот TDSS? Что он делает, и чем занимается?

[Borka]

Надеюсь они внесут свой в клад в развития данного антивирусного продукта и вскоре у него даже будет форум на русском языке (ведь живем мы в РФ).

О каком форуме Вы говорите? Форум Dr.Web на русском языке.

Об этом. По умолчанию настройки на английском.

[v.martyanov]

А что за зверь этот TDSS? Что он делает, и чем занимается?

Составляет крупнейший бот-нет :-) Судя по всему, система модульная. Видел спамботы, Autoruner'ы и кликеры. Суровый руткит у них...

[YVS]

А что за зверь этот TDSS? Что он делает, и чем занимается?

Вот нашел мартовскую новость. На почитать

[mrbelyash]

Вот оно чо, Михалыч!

2admin-sochi

Анука киньте лог сканера...Посмотрим чо там с антируткитом

Сообщение было изменено mrbelyash: 30 Сентябрь 2009 - 13:58

[admin-sochi]

C:\WINDOWS\system32\drivers\aliserv3.sys (на вирустотал...наверное не троян)-------

Троян-троян.

Ура! http://forum.drweb.com/public/style_emoticons/default/rolleyes.gif aliserv3.sys BackDoor. Удалил. Перезагрузил. Всё запустилось.

Надеюсь они внесут свой в клад в развития данного антивирусного продукта и вскоре у него даже будет форум на русском языке (ведь живем мы в РФ).

О каком форуме Вы говорите? Форум Dr.Web на русском языке.

Об этом. По умолчанию настройки на английском.

Сорри. Теперь всё увидел. И в правду английский стоит по дефолту. А я мучился.


Всем спасибо!

Как вы думаете надо ли мне ещё другие фаил которые здесь перечислины проверять или отправлять? Или раз всё заработало, то всё в порядке[ sensored ]

[Borka]

Как вы думаете надо ли мне ещё другие фаил которые здесь перечислины проверять или отправлять? Или раз всё заработало, то всё в порядке???

Проверить не помешает.