» Антивирус Dr.Web (Доктор Веб, Doctor Web, DrWeb antivirus)

AnTul
Надеюсь, хотя бы в safe mode проверял? Молчу уже о DrWeb LiveCD.

Цитата:

Надеюсь, хотя бы в safe mode проверял?

- нет. Не слишком доверяю этому режиму. Я загрузился с пластинки с поддержкой NTFS и проверял из под ДОСа. Это понадежнее, чем safe mode.

AnTul

Цитата:

ДрВеб у меня свежий - раз в два дня обновляю.

И версии drweb32.dll, drweb32w.exe - как указаны в шапке ?

Цитата:

Но вот того гада, что этот вирус кидает на флэшку - не видит ни один, ни другой. Т.е. запускаю на ноутбуке ДрВеб и AVZ - все чисто! Вставляю в ноутбук флэшку - тут же заражена.

Вот специально для отлова неизвестной заразы и заточен AVZ. Смотри _http://virusinfo.info/showthread.php?t=1235 и AVZ help, ищи заразу по логам AVZ. Если сам не сможешь, либо обратись к спецам virusinfo, либо выложи логи в Инет, мы здесь тоже не валенки, поможем .

Так логи пустые. Т.е. он ругается на Пунто Свитчер и еще на что-то безобидное, но ничего подозрительного не находит. Настраивал по максимуму - только проверку на уровне ядра не включал.

Цитата:

И версии drweb32.dll, drweb32w.exe - как указаны в шапке ?

- не проверял, но думаю, что да. У меня лицензионный ДрВеб - он обновляет все, а не только базы (т.е. я не утилитами пользуюсь, а апдейтером ДрВеба). Посмотрю завтра shell в реестре, как мне здесь посоветовали. А так и не знаю, что делать. Слышал краем уха, что эту гадость НОД недавно научился отлавливать, только после его лечения пришлось ХР переустанавливать (у меня диск брали).

AnTul

Цитата:

Так логи пустые.

крайне мало зловредов могут спрятаться от AVZ, если правильно его использовать. Ты или сам решай свои проблемы, или делай, что тебя просят. Ссылка на virusinfo не зря дана, телепаты в отпуске.

Цитата:

- не проверял, но думаю, что да.

проверь.

Цитата:

Т.е. запускаю на ноутбуке ДрВеб и AVZ - все чисто! Вставляю в ноутбук флэшку - тут же заражена. Запускаю тут же на нотебуке любой из этих антивирусов - ругаются, что флэшка заражена. Ясно?

Не ясно. Спайдер работает на ноуте ? Точная версия ? Приведи точные имена зловредов по drweb и AVZ. Вставил флэшку, проверил сканером, убил зловредов. Тут же снова проверил - есть вирусы ?

AnTul

Цитата:

Т.е. ноутбук чистый (по докладу антивирусов), но флэшку тут же кто-то заражает, стоит ее только вставить. И кто-то никак не дает настройки изменить просмотра файлов в проводнике.

У меня была подобная ситуация. решил полным форматированием флешки. зловред прятался на ней как оказалось. после форматирования ни каких вирусов.

Цитата:

крайне мало зловредов могут спрятаться от AVZ, если правильно его использовать. Ты или сам решай свои проблемы, или делай, что тебя просят. Ссылка на virusinfo не зря дана, телепаты в отпуске.

- поверь, у меня хватит ума в 5-ти строчках лога разглядеть предупреждения о вирусе. Не груби мне. Понты про телепатов уже не модны. В любом случае комп на работе, а я сейчас дома. И еще - "не делайте из еды культа". Я в свое время тоже считал, что крайне мало зловредов могут спрятаться от эвристики ДрВеба. Потом убедился - не так уж и крайне и не так уж и мало.
Вот что появляется на флэшке:
usdeiect.com
autorun.inf
Вот что прописано в авторане:
[AutoRun]
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
open=usdeiect.com
shell\open\Command=usdeiect.com
shell\open\Default=1
shell\explore\Command=usdeiect.com


Цитата:

Спайдер работает на ноуте ?

- да.

Цитата:

Точная версия ?

- еще раз - та, что закачиваю каждые два дня вместе с обновлениями антивируса. Апдейтер ДрВеба качает помимо баз и обновленные файлы тоже (если таковые имеются).

Цитата:

Вставил флэшку, проверил сканером, убил зловредов. Тут же снова проверил - есть вирусы ?

- нет. Вот если вытащу флэшку и снова ее воткну - вот тогда тут же появляются. Читай, плиз внимательно, что я писал раньше. Телепатия здесь не нужна, нужно просто уметь читать. На моем рабочем или домашнем компе автозапуск отключен, поэтому я на них на флэшке вижу вирус, на эти машины он не прыгает. А вот на ноуте он включен.


Цитата:

решил полным форматированием флешки. зловред прятался на ней как оказалось.

- не тот случай. На флэшке у меня никто не прячется, флэшки легко лечатся и другие компы не заражают. Да и форматировали некоторые флэшки (нас 16 человек - половина свои флэхи втыкали в этот ноутбук).

AnTul

Цитата:

поверь, у меня хватит ума в 5-ти строчках лога разглядеть предупреждения о вирусе.

Цитата:

Я в свое время тоже считал, что крайне мало зловредов могут спрятаться от эвристики ДрВеба. Потом убедился - не так уж и крайне и не так уж и мало.

Логи, сделанные по правилам _http://virusinfo.info/showthread.php?t=1235, - это много больше 5 строчек. И предупреждений о вирусах там не будет. AVZ и hijack проанализируют систему и покажут все, что в ней происходит. В этом их отличие от антивирусов, которые среагируют только на то, что есть в базах. И специалист по логам AVZ и hijack без особого труда отловит подозрительное. Ты просто не в теме.

Цитата:

еще раз - та, что закачиваю каждые два дня вместе с обновлениями антивируса.

еще раз - приведи точную версию. Апдейт мог сломаться. У вас на работе может быть Dr.Web Enterprise Suite 4.33 .
Без правильных логов AVZ и hijack, без точных имен зловредов по drweb и AVZ, без точных версий компонентов drweb разговора не будет. На _http://virusinfo.info/forumdisplay.php?f=46 помогли тысяче людей, но без правильных логов там разговор даже не начался бы.

Цитата:

Они сказали, что ДрВеб давно этот вирус знает. Но! Того вируса, который висит в памяти и генерирует авторановый - ДрВеб не лечит. Не видит вообще. Скажите, может, его кто отловил руками? Где он лежит и кем он висит? Кто сталкивался - сразу узнает - он не дает в опциях папки сделать системные и скрытые файлы видимыми. Только нажимаешь ОК, снова заходишь в свойства папки - опять галочка "Показывать скрытые файлы" снята.

ищи файлы amvo в system32 и *.inf в корне, грузись чего нить (например ERD сщьфтвук) и удаляй файлы, они естественно скрытые. Кто нибудь подскажите как настроить Drweb чтобы обновление было из локальной папки на сервере, пробовал путь прописать на сервер и папку там создал, пишет связь прервана, чего то нехватает?

kolka

Цитата:

Кто нибудь подскажите как настроить Drweb чтобы обновление было из локальной папки на сервере

http://www.drweb.ru/faq/26/

Вчера я оказывается вылечил какую-то часть вируса свежим ДрВебом - флэшки уже не заражаются. Но системные файлы все-равно не показывает. Сейчас позвонил сотрудник - он свою домашнюю машину заразил, скачал свежий ДрВеб (только что - т.е. последний), обновил его и точно так же - флэшки не заражаются, но системные файлы не показывает. И случайно при перезагрузке компа увидел, что закрывается процесс shownottome (как-то так - я по телефону четко не расслышал, но он хорошо название запомнил). Вот сейчас он эту гадость найдет в реестре и я его попросил завтра на работу принести. Скину в саппорт ДрВеба. Shell у меня чистый - грузится только Explorer. Разные утилиты запускал - и авторан от Руссиновича, и мой любимый Стартер, и другие от nirsoft - никто мне этот процесс не показал. Будем надеяться, что удастся его отловить. Неприятно, что ДрВеб так лажанулся. Я уважаю эту программу со времен ДОСа. Каспер всегда лечил файлы так, что они потом не запускались, а ДрВеб очень корректно. Он чуть позже Каспера начал выходить и сразу в него была встроена эвристика, про которую никто еще не слышал до этого. И очень часто ДрВеб предупреждал о вирусах, даже если в базе его не было. Причем - редко ошибался. А тут такая лажа - уже месяца полтора не могут этот вирус победить. На работе знают, что я приверженец ДрВеба (не фанат, но считаю, что несмотря на все недостатки - он лучший на рынке) - проходу не дают, подкалывают. Жаль, что его хваленая эвристика даже не чихнула.

Цитата:

Жаль, что его хваленая эвристика даже не чихнула.

Чето меня вся статья не убедила, AVZ врядли это пропустил бы, и основные настройки AVZ поиск руткитов плюс ручной полный анализ изучения системы хотя бы самим.
Идеальной защиты как известно несуществует попробуй от каспера утилиту бесплатную хотя наврядли поможет.
Цитата:

DrWeb LiveCD

Рекоменую попробовать и с него проверить

Цитата:

он лучший на рынке) - проходу не дают, подкалывают

конечно смотря чем контора занимается, но я бы на такое вобще необратил внимания

Добавлено:

Цитата:

Без правильных логов AVZ и hijack, без точных имен зловредов по drweb и AVZ, без точных версий компонентов drweb разговора не будет. На _http://virusinfo.info/forumdisplay.php?f=46 помогли тысяче людей, но без правильных логов там разговор даже не начался бы.

Слишком мало данных в основном недовольство одно
Цитата:

Слышал краем уха, что эту гадость НОД недавно научился отлавливать, только после его лечения пришлось ХР переустанавливать

легче сразу систему грохнуть быстрее и проще, чем че-либо лечить

Цитата:

легче сразу систему грохнуть быстрее и проще, чем че-либо лечить

Офф-топ конечно, но может кому поможет.
1.Втыкаем все флеш-накопители, флеш-плееры и.т.д. в комп.
2.Грузимся с помощью ERD commander.
3.Смотрим в корень всех флеш накопителей и локальных дисков, ищем файлы: ntde1tect.com, m1t8ta.com, autorun.inf, autoran.wsh, nideiect.com, nudeiect.com, help[1].exe или с похожими названиями, если нашли удаляем.
4. Далее заходим в \WINDOWS\system32 ищем там файлы avpo0.exe, avpo1.dll, amvo0.exe, amvo1.dll или с похожими названиями, гл. признак они скрытые + дата создания = как перестали откр. скрытые файлы + рядом с exe такой же dll, как нашли удаляем.
5. Далее заходим в Documents and Settings -> Local Settings -> и удаляем всё из Temp и Temporary Internet Files -> Content IE. Это проделываем для каждой папки всех учетных записей.
6.Далее из System Volume Information все RP
7. С помощью Administrative tools в ERD commander удаляем из атозапуска amva.exe и avpa.exe. help[1].exe и.т.д. если они там есть.
8. Там же с помощью редактора реестра ищем все ссылки на вышеперечисленные файлы и удаляем.
9. Загружаем Windows и с помощью regedit.exe находим ключ:
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL - Удаляем параметр CheckedValue в правом окне. Щёлкаем правой кнопкой мыши в этом же окне и выбраем создать -> параметр DWORD. Называем его CheckedValue и ставим его значение - 1.
После этого прогоняем DrWeb-Ом весь комп., всё должно быть нормально.

сабж выдает месагу smtpdrv.sys - троян такой-то и т.д.
что удалять, что лечить пробовал - после новой загрузки винды месага повторяется...

как это вылечить ?

GAD_DND

Цитата:

сабж выдает месагу smtpdrv.sys - троян такой-то и т.д.

Приведи точную цитату из лога. ОС какая ?

Цитата:

как это вылечить ?

Если у тебя не свежий drweb (Актуальные версии в шапке), то скачай cureit _ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe и проверься в обычном, потом в безопасном режиме.

Подскажите где взят ключ для устаногвки Антивирус Dr.Web

NORVEGETS
На счет лечения идем в Варезник.
Тебе туда и не путай темы!

Panzer
4.44, обновляется каждый день

а где лог посмотреть можно ?

Disk:\Program Files\DrWeb\spidernt.log

Добавлено:
лог не понадобился, оно опять вылезло..

GAD_DND
проверку сканером в обычном, потом в безопасном режиме, делал? ОС какая ?

Цитата:

сабж выдает месагу smtpdrv.sys - троян такой-то и т.д

надо полагать общее сканирование (полным функционалом) не проводилось.
вот посмотри http://forum.drweb.com/viewtopic.php?t=5354 - по всей видимости вирус у тебя не в единственном числе (+ startdrv.exe и т.п.). для начала можно просканировать только папку WINDOWS

Panzer, в обычном делал, но только диска С.
WinXP SP2

vview, и папку винды, и отдельно систем32, и ещё всяко-разно я сканировал уже много раз


Добавлено:

Цитата:

вот посмотри http://forum.drweb.com/viewtopic.php?t=5354 - по всей видимости вирус у тебя не в единственном числе (+ startdrv.exe и т.п.).

получается у меня тож самое, только другой файл все время выскакивает ?

только я не понял как их удалить то раз и навсегда ?

GAD_DND

Цитата:

только я не понял как их удалить то раз и навсегда ?

грузись с какого-нибуть диска с WinPE, например, и просканируй ВСЕ диски которые есть на компе.
Заодно и флэшки желательно проверить.

GAD_DND

Цитата:

Panzer, в обычном делал, но только диска С.

Ay! Тук-тук! Дома кто есть ?

Цитата:

проверку сканером в обычном, потом в безопасном режиме, делал?

Проверку делай всего и свежим cureit. Отключи восстановление системы. Не хочется долго выяснять, текущая у тебя версия Доктора или нет. Сам сравни с версиями файлов в шапке.

в безопасном режиме просканировал весь комп

нашел несколько вирусов
в том числе и Trojan.NtRootKit.360 на С, который при перезагрузке видимо и выдает потом все время sntpdrv.sys, всё удалил и думал что теперь все, а нифига.. при загрузке снова sntpdrv.sys полез

Добавлено:
Panzer, я видел, просто на полную тогда времени не было, токо щас сделал.

щас ещё этим попробую, cureit.. им тоже в безопасном делать чтоль ?



Добавлено:
вот такое щас обнаружил.. причем процессов IE гораздо больше, чем на скрине, там их ниже ещё штук 30...
первый раз такое вижу !

http://ipicture.ru/uploads/080121/CNtnINSuS1.jpg

что-то я не понял, чем отличается обычный dr.web от cureit
всё тоже самое

GAD_DND
Cureit - только сканер без монитора и всего остально который еще и не проверяет архивы, cureit работает без установки и на диске оставляет только логи если надо

GAD_DND
-отключаешься от Инета
-отключаешь восстановление системы
-отключаешь спайдер
-проверяешь cureit всё. пишешь здесь, что найдено и что сделано.
-грузишься в безопасный режим.
-проверяешь cureit всё. пишешь здесь, что найдено и что сделано.
- еще раз проверяешь cureit всё. пишешь здесь, что найдено и что сделано.
-грузишься в обычный режим. проверяешь cureit всё. пишешь здесь, что найдено и что сделано.

Логи cureit в "C:\Documents and Settings\(имя)\DoctorWeb"

GAD_DND

Цитата:

вот такое щас обнаружил.. причем процессов IE гораздо больше, чем на скрине, там их ниже ещё штук 30...
первый раз такое вижу !

имхо здесь не поможет сканирование в безопасном режиме
только отдельно винчестер сканить