44 ответов в этой теме

[sheff]

Собственно ситуация.

На компе установлен drweb, и в памяти живут два вируса:
Win32.HLLW.Autoruner.17766 (файл syitm.exe 49152 байта)
BackDoor.IRC.Bot.896 (файл ecleaner.exe 53248 байт)

Оба вируса находятся сканерами установленного drweb и свежескаченного cureit, кроме того, эти файлы убиваются автоматически во время операции с ними, когда они, например, копируются.

Однако вирусы присутствуют в памяти, т.е. постоянно восстанавливают в реестре пути к себе, копируют себя в разные каталоги, не пускают на некоторые сайты и тормозят машину, короче все как полагается.

Сразу скажу, что я вирус убил стандартным путем ручками - загрузился с диска с виндой, почистил темпа и все вирусы-файлы, которые они записали в самые разные места, ну для красоты реестр почистил.

Так чего же я волнуюсь?
А дело вот в чем. Я это уже делаю второй раз. Вирус откуда-то приходит.
Так как я не знаю, откуда, то мне очень бы хотелось, чтобы drweb удалял их из памяти, когда он придет в очередной раз.

Как это можно сделать? Кого попросить, кому написать?

Компьютер сечас чист, заражать его мне очень не хочется.
Файлы-вирусы я сохранил.

Мои действия?

[v.martyanov]

Обновления на ОС ставьте, отключайте автозапуск, закрывайте шары и ставьте сильные пароли для начала.

[userr]

sheff,
1. сделайте логи по Правилам.
2. Файлы-вирусы проверьте там http://vms.drweb.com/online/ , покажите ссылки на результат (кнопка Ссылка)

[sheff]

Уважаемый Модератор!

Подскажите, можно ли обойтись без сознательного заражения компьютера для решения моей проблемы?
Предложенное Вами выполнить невозможно, так как компьютер чист.

[sheff]

Пардон, первый пунк выполнить невозможно, а второй я сейчас проверю, но смысл? cureit и стационарный дрвеб вирусы видят...

[userr]

Подскажите, можно ли обойтись без сознательного заражения компьютера для решения моей проблемы?

разумеется не надо ничего заражать!

Предложенное Вами выполнить невозможно, так как компьютер чист.

Может чист, а может и нет. Посмотрим.
Предложенное мною выполнить можно и нужно. Не будет логов - закрою тему.

[sheff]

Ну да, проверка дала ожидаемый результат:
=====================================
Проверка: ecleaner.exe
Версия антивирусного ядра: 5.0.2.3300
Вирусных записей: 2690382
Размер файла: 52.00 КБ
MD5 файла: 67bf9881d8b84af468a3cb22e5f59e01

ecleaner.exe infected with BackDoor.IRC.Bot.896

Проверка: syitm.exe
Версия антивирусного ядра: 5.0.2.3300
Вирусных записей: 2690382
Размер файла: 48.00 КБ
MD5 файла: 33c01a2304373e77cbc05f6958c47ce6

syitm.exe infected with Win32.HLLW.Autoruner.17766
=====================================

[sheff]

Может чист, а может и нет. Посмотрим.
Предложенное мною выполнить можно и нужно. Не будет логов - закрою тему.

Жестко.

Давайте я попробую сделать еще одну попытку поддержать дискуссию без выкладывания логов, а потом вы решите, что делать, закрывать или нет.


Я продаю антивирусы достаточно давно и хочу, чтобы мои клиенты были счастливы, и по возможности на меня не обижались.
Компьютер моего клиента стал тормозить. Я пришел, определил наличие вредоносной деятельности, посоветовал снести бесплатный антивирус и установить платный и продал им доктора веба, коробочку на две персоны.

Они оплатили антивирус, но он не нашел на компьютере вирусов. Для порядка скажу, что вирус не обнаружили и лечилки других производителей.
Я послал инфицированные файлы вам и касперскому, и они были добавлены в базу.
Вирус был удален мною ручками, и люди проработали пару дней нормально, а потом началась такая же котовасия.

Сразу скажу, компьютеров два. Мои клиенты заразили один компьютер, а другой - нет. Оба в одной сети.
Но это я так, для поддержания разговора.

Я обратился по какой проблеме?
Продукт DrWeb не ловит в оперативной памяти те вирусы, которые он же ловит на жестком диске и в файловом мониторе.
Хотя по идее, он должен либо их убивать, либо выполнять определенные действия с перезагрузкой для их нейтрализации.

Вируса на компьютере нет. Ни одного ни другого.
По следующим причинам.
Во первых, cureit знает этот вирус в виде файла, и полный скан убивает их. Комп клиента чист.
Во вторых, я вредоносные файлы послал и касперскому, он их тоже включил в базу и лечилка их тоже убивает. И скан компьютера клиента ничего не дает - комп чист.
В третьих вирус имеет четкие симптомы - резкое падение производительности компьютера, постояннные внесения себя в реестр, постоянные копирования себя в определенную группу каталогов. Деятельность легко видна через AVZ4 и autoruns. И ручное удаление вируса убирает эти симптомы напрочь.
В четверных, компьютера было два, повторно заразился один, следовательно это было вследствие действий, а не из-за того, что недолечили.

К клиенту я идти не хочу - я итак к нему зачастил, отвлекаю от работы. ЗАЧЕМ?
Надо уважать своих клиентов. Они купили антивирус, а я только и делаю, что прихожу и говорю:
"простите, можно я поищу вирусы на Вашем компьютере?"

Поймите, Уважаемый Модератор, мне не важно, что с этим компьютером, я знаю что с ним все нормально, мне важно, чтобы повторный приход вируса не застал в расплох этот компьютер, соседний компьютер и другие компьютеры с drweb.


Впрочем, конечно, есть еще вариант, что вследствие того, что может например, у клиента повреждена винда, и поэтому, возможно, именно на этом компе с этой копией виндов дрвеб и кюреит не могут удалить вирус из памяти, а на всех остальных они это делают без проблем, однако, сдается мне, что это не так. К тому же я уж точно не пойду на осознанное заражение компьютера клиента.


В связи с вышеозвученным вопрос - Вы все еще настаиваете на логах?

[userr]

В связи с вышеозвученным вопрос - Вы все еще настаиваете на логах?

Разумеется. В этом разделе должны быть представлены логи - прочтите Правила!
Сколь бы длинные письма Вы не писали, одних только слов недостаточно, без логов невозможно понять и решить проблему.
полезно будет прочитать это http://forum.drweb.com/index.php?showtopic=293874

[sheff]

Хорошо. Что-нибудь попытаюсь сделать.

[sheff]

Выбралась минутка, попытаюсь сделать логи.
На машину клиента, разумеется, не пойду, откопал свободный системник, сейчас заражу и пришлю логи.

ВОПРОС:
Так как моя проблема называется "файлы видит, а в памяти нет", то получится ситуация, когда drweb-scan.bat найдет через cureit вирусы, убъет их, потребует перезагрузиться, я перезагружусь, вирус не удален, снова drweb-scan.bat, снова нахождение вирусов, снова перезагрузка... и так по кругу до бесконечности. (если следовать букве правил)

Как наиболее правильно поступить, чтобы нарушить наименьшее число правил форума?

[userr]

Выбралась минутка, попытаюсь сделать логи.
На машину клиента, разумеется, не пойду, откопал свободный системник, сейчас заражу и пришлю логи.

Как же Вам хочется заразить что-нибудь... Для точного ответа по проблемной машине логи нужны именно с неё.
Но хотите экспериментировать - пожалуйста.

Так как моя проблема называется "файлы видит, а в памяти нет", то получится ситуация, когда drweb-scan.bat найдет через cureit вирусы, убъет их, потребует перезагрузиться, я перезагружусь, вирус не удален

Ну это мы еще посмотрим. Пока только слова. если будете использовать cureit, то в Правилах говорится про cureit-scan.bat . Двух циклов по Правилам будет вполне достаточно.
Сделайте уже хоть что-нибудь. И не забудьте остальные логи по Правилам.

[sheff]

Похоже, Уважаемый Модератор, Вы были правы.
По всей видимости, это проблема одной конкретной машины.

Зараженный мною компьютер cureit пролечила во время выполнения cureit_scan, и после перезагрузки вирусы не появились.

Нет, конечно, это не чистый эксперимент, и cureit на пару дней посвежее, и cureit_scan запускает cureit с какими-то ключами, и компьютер клиента я не отключал от интернет при лечении, но все же предположение, что виноват именно отдельный компьютер с отдельной виндой наиболее реалистично.

Меня ввело в заблуждение (да и сейчас вводит), что drweb при сканировании памяти не пишет, что он нашел тот или иной вирус.
Из-за отсутсвия этого сообщения я предположил, что drweb их не видит в оперативной памяти, и как следствие, это причина того что вирус не деактивируется.

Вот например AVZ. Запускаю его, затем "мастер поиска и устранения проблем", находит "подмена диспечера задач".
Нажимаю "исправить отмеченные проблемы" и сразу же снова жму на поиск.
И что же вы думаете? Снова находится "подмена диспечера задач".
(и такое происходит при включенном drweb, не лечилке, а установленном продукте)
Или начинаю копировать файлы из RECYCLER например на флешку.
Установленный в системе drweb убивает их, и на флешке и в папке RECYCLER, откуда, собственно, я и копировал.
И через несколько секунд в RECYCLER снова появляются файлы.

Т.е. картина ясная и прозрачная - монитор drweb вирус не видит, а с файлами борется успешно.

Но вот ПОЧЕМУ на моей тестовой машине тот же программный продукт - лечилка cureit смогла так убить файлы на диске и изменить реестр, при этов промолчав при сканировании памяти, что в оперативке что-то есть, и при этом ни записи вируса в реестр не восстановились, ни файлы вируса заново не записались - это загадка...

Завтра попробую проинсталлировать drweb на тестовую машину, и если он справится, то клиент попал под переустановку винды.

Спасибо за помощь.

Тему по возможности не закрывайте на несколько дней, так как для понимания процесса мне надо запустить на машине клиента тот же cureit-scan что я запустил сегодня на тестовой машине. И от результата запуска возможно тема продолжится.

[mrbelyash]

Вот например AVZ. Запускаю его, затем "мастер поиска и устранения проблем", находит "подмена диспечера задач".
Нажимаю "исправить отмеченные проблемы" и сразу же снова жму на поиск.
И что же вы думаете? Снова находится "подмена диспечера задач".

Если активна зараза,то применять твикалку бессмысленно.
Нужно сначала убить ее,а потом твикать

[sheff]

дык это понятно, это я привожу как доказательство наличия вируса в памяти, его активности, и его живучести против файлово-реестровой чистки.
Непомятно другое, почему монитор не блокирует заразу, а сканер - блокирует, каким-то образом не давая вирусу восстановить файлы и записи в реестр в промежутке между сообщением о том, что комп надо перегрузить и собственно перезагрузкой.

Вот в чем вопрос то.

Или если переформулировать: как сделать так, чтобы при попадании в оперативную память процесса-вируса, имеющегося в базе дрвеб, монитор дрвеб избавлялся от него.
Или по другому: если компьютер заразился известным дрвебу вирусом, нельзя ли, чтобы при перезагрузке этот вирус был бы убит автоматическим быстрым сканированием, ведь как выяснилось, дрвеб зает этот вирус и вручную может его убить.

Теперь бы автоматики добавить...

[mrbelyash]

дык это понятно, это я привожу как доказательство наличия вируса в памяти, его активности, и его живучести против файлово-реестровой чистки.
Непомятно другое, почему монитор не блокирует заразу, а сканер - блокирует, каким-то образом не давая вирусу восстановить файлы и записи в реестр в промежутке между сообщением о том, что комп надо перегрузить и собственно перезагрузкой.

Вот в чем вопрос то.

Или если переформулировать: как сделать так, чтобы при попадании в оперативную память процесса-вируса, имеющегося в базе дрвеб, монитор дрвеб избавлялся от него.
Или по другому: если компьютер заразился известным дрвебу вирусом, нельзя ли, чтобы при перезагрузке этот вирус был бы убит автоматическим быстрым сканированием, ведь как выяснилось, дрвеб зает этот вирус и вручную может его убить.

Теперь бы автоматики добавить...

В 7 версии говорят это будет допилено и работать через антируткит

[sheff]

опаньки... когда я создавал тему, то думал, что со всеми вирусами он так поступает и только эти два исключение...
Да собственно... я же своими глазами видел как drweb, еще пятерка, ловил в оперативной памяти вирус!!!
Т.е. комп грузился, была автоматическая быстрая проверка, вирус находлся в памяти, убивался и пользователь спокойно работал...

Ну не приснилось же мне это!

[mrbelyash]

в 6 (в куреите) неделю назад была проблема (в базах)....ее исправили...и стал нормально обезвреживать в памяти

[pig]

Файловый монитор никогда в оперативной памяти ничего не ловил и не искал. Это фишка исключительно сканера.

[Borka]

Файловый монитор никогда в оперативной памяти ничего не ловил и не искал. Это фишка исключительно сканера.

А как же рескан ака фоновое сканирование?