23 ответов в этой теме

[lazarevee]

Вот вы не поверите (хотя кое кто говорил..) - 7-ка и та не видит, то что видит 8-ка .Когда такое увидишь.. Это точка НЕвозврата..

[userr]

Вот вы не поверите (хотя кое кто говорил..) - 7-ка и та не видит, то что видит 8-ка .

не должно такого быть. в отдельную тему с примерами, пожалуйста.

[lazarevee]

не должно такого быть. в отдельную тему с примерами, пожалуйста.

Ну почему ? помимо движка есть отличия.. Увы не документировал..

[userr]

не должно такого быть. в отдельную тему с примерами, пожалуйста.

 

Ну почему ? помимо движка есть отличия.. Увы не документировал..

нет тела - нет дела.

[Konstantin Yudin]

Вот вы не поверите (хотя кое кто говорил..) - 7-ка и та не видит, то что видит 8-ка .Когда такое увидишь.. Это точка НЕвозврата..

Не поверю

[lazarevee]

Вот вы не поверите (хотя кое кто говорил..) - 7-ка и та не видит, то что видит 8-ка .Когда такое увидишь.. Это точка НЕвозврата..

Не поверю

А в то,что 6-ая завалила систему (0х00000051) при обработке трупиков ? (действия - удалить -переместить) MEMORY.DMP=0 На ХР. С другой системы реестр не доступен и другие файлы. 8-ка (на 8-ке) нашла вирусы после 6-ой.

 drweb32w.7z   39,17К   2 Скачано раз

 dwscanner.7z   5,72К   1 Скачано раз

p.s. IMHO. антируткит медвежью услугу не оказывает ?

Сообщение было изменено lazarev.ee: 09 Апрель 2013 - 10:15

[userr]

А в то,что 6-ая завалила систему (0х00000051) при обработке трупиков ? (действия - удалить -переместить)

где дампы?

 

8-ка (на 8-ке) нашла вирусы после 6-ой.

к такому заявлению нужен лог, в котором видно, что 6-ка на некий файл говорит "virus.exe - ok", а 8-ка этот файл детектит. где у Вас такое? я пока вижу только следующее, например:

6-ка:

D:\VirusSignList_Free_Aprile\samples\12870.exe является программой взлома Tool.Siggen.8267 - проигнорирован
 

8-ка:

D:\VirusSignList_Free_Aprile\samples\12870.exe - is hacktool program Tool.Siggen.8267
D:\VirusSignList_Free_Aprile\samples\12870.exe - quarantined

неудивительно, что "8-ка нашла после 6-ой" - у Вас в 6-ке стояло для Tool - Игнорировать.

Так что поаккуратнее с выражениями.

кроме того, лог сканера 6-ки не детальный. от сканера в любой версии всегда нужны самые детальные логи.

Сообщение было изменено userr: 09 Апрель 2013 - 10:42

[pig]

А в то,что 6-ая завалила систему (0х00000051) при обработке трупиков ? (действия - удалить -переместить)

где дампы?

Если я правильно понял, то дамп не создался.

[lazarevee]

кроме того, лог сканера 6-ки не детальный. от сканера в любой версии всегда нужны самые детальные логи.

Предположите, что я обычный юзер. 

6-я

>D:\VirusSignList_Free_Aprile\samples\417.exe/data001 - инфицирован Trojan.Siggen.4235
D:\VirusSignList_Free_Aprile\samples\417.exe - архив содержит инфицированные объекты
D:\VirusSignList_Free_Aprile\samples\417.exe -
Для этого почему то нет действия.

8-я
>D:\VirusSignList_Free_Aprile\samples\417.exe is BINARYRES container
D:\VirusSignList_Free_Aprile\samples\417.exe\data001 - infected with Trojan.Siggen.4235
>>D:\VirusSignList_Free_Aprile\samples\417.exe\data002 is JS-HTML container

D:\VirusSignList_Free_Aprile\samples\417.exe - quarantined

[userr]

Для этого почему то нет действия.

это уже интереснее. давайте детальный лог  проверки этого файла сканером 6-ки. и приложите drweb32.ini .

Сообщение было изменено userr: 09 Апрель 2013 - 11:04

[lazarevee]

это уже интереснее. давайте детальный лог  проверки этого файла сканером 6-ки. и приложите drweb32.ini .

Только систему восстановлю (или переустановлю..) самому интересно.

[lazarevee]

(пришлось SYSTEM из C:\WINDOWS\repair восстановить)

В общем ему на лежачий файл требуется перезагрузка. С логами непонятка.

Spoiler

Master Boot Record HDD1 - OK
Active OS/2 or WinNT Boot Sector HDD1 - OK
OS/2 or WinNT Boot Sector HDD1 - OK
OS/2 or WinNT Boot Sector HDD1 - OK
Master Boot Record HDD2 - OK
OS/2 or WinNT Boot Sector HDD2 - OK
Master Boot Record HDD3 - OK
Active Boot Sector HDD3 - OK

[Проверяемый путь] D:\vir
D:\vir\16417.exe инфицирован Trojan.AVKill.11731
D:\vir\2417.exe инфицирован Trojan.DownLoad1.24178
D:\vir\29417.exe инфицирован BackDoor.Slym.1498
D:\vir\417.exe - архив BINARYRES
>D:\vir\417.exe/data001 - инфицирован Trojan.Siggen.4235
>D:\vir\417.exe/data002 - архив JS-HTML
>D:\vir\417.exe/data002 - OK
D:\vir\417.exe - архив содержит инфицированные объекты

-----------------------------------------------------------------------------
Статистика проверки
-----------------------------------------------------------------------------
Объектов проверено: 13
Инфицированных: 4
Инфицированных модификациями: 0
Подозрительных: 0
Рекламных программ: 0
Программ дозвона: 0
Программ-шуток: 0
Потенциально опасных программ: 0
Программ взлома: 0
Исцелено: 0
Удалено: 0
Переименовано: 0
Перемещено: 0
Проигнорировано: 0
Скорость проверки: 1053 Kb/s
Время проверки: 0:00:00
-----------------------------------------------------------------------------

D:\vir\16417.exe - перемещен
D:\vir\2417.exe - перемещен
D:\vir\29417.exe - перемещен
D:\vir\417.exe
D:\vir\417.exe
D:\vir\417.exe
D:\vir\417.exe
D:\vir\417.exe
D:\vir\417.exe - будет удален после рестарта

=============================================================================
Общая статистика сессии
=============================================================================
Объектов проверено: 7550
Инфицированных: 4
Инфицированных модификациями: 0
Подозрительных: 0
Рекламных программ: 0
Программ дозвона: 0
Программ-шуток: 0
Потенциально опасных программ: 0
Программ взлома: 0
Исцелено: 0
Удалено: 1
Переименовано: 0
Перемещено: 3
Проигнорировано: 0
Скорость проверки: 7719 Kb/s
Время проверки: 0:08:28
=============================================================================

Сообщение было изменено lazarev.ee: 09 Апрель 2013 - 13:06

[Konstantin Yudin]

>D:\vir\417.exe

не правильно лечится движком. не закрывается хендл

[lazarevee]

не правильно лечится движком. не закрывается хендл

 dwscanner(w8x86-8ss).log   12,71К   2 Скачано раз    dwscanner(w7x64-7ss).log   12,08К   1 Скачано раз

Вот ,что сказал 8-ой сканер..а 7-ой справился..

D:\vir\5390 (3).exe - decompression error, read error - 60ms, 26588 bytes

Сообщение было изменено lazarev.ee: 10 Апрель 2013 - 14:28

[userr]

lazarev.ee,

А Вы точно сканировали идентичные файлы разными сканерами? глядя только в логи это совершенно неясно.

кроме того, не идентичный набор баз.

[lazarevee]

А Вы точно сканировали идентичные файлы разными сканерами? глядя только в логи это совершенно неясно.
кроме того, не идентичный набор баз.

 

Может на х64 лучше с этим делом ? Ну вот теперь уже и логи не такие   я вам его дам в лс.

[lazarevee]

А в архиве ещё и игнорит.. а хотел показать обратное (всё таки 7-ка...)

>D:\vir\5390.zip is ZIP archive
>>D:\vir\5390.zip\5390.exe - packed by UPACK
D:\vir\5390.zip\5390.exe - decompression error, read error
D:\vir\5390.zip - Ok
D:\vir\5390.zip - ignored, decompression error, read error - 57ms, 26137 bytes

https://www.virustotal.com/ru/file/73bef37299a675c04f60a4bfd322dda8f80e942b1de4d890e8687dc749680905/analysis/1365594992/

Сообщение было изменено lazarev.ee: 10 Апрель 2013 - 14:57

[userr]

lazarev.ee,

странный случай. у меня нет ошибок на 8-ке на этом файле.

обновите 8-ку и попробуйте еще раз. процессоры какие на этих двух машинах?

[lazarevee]

"13 негритят пошли купаться в море, 13 негритят .. один из них задетектили и их осталось     "

Ты не поверишь - 20 копий бьёт по одному за скан..

 dwscanner(1332).zip   16,01К   3 Скачано раз

[lazarevee]

lazarev.ee,
странный случай. у меня нет ошибок на 8-ке на этом файле.
обновите 8-ку и попробуйте еще раз. процессоры какие на этих двух машинах?

А у вас релиз 8-ки ? А то у меня вообще то бета..