» Антивирус Dr.Web (Доктор Веб, Doctor Web, DrWeb antivirus)

ValeryLedovskoy видать я плохо сформулировал вопрос...

Цитата:

вопрос по реализации проверки hosts... в котором мною прописана местная сетка... отключать проверку hosts не хочется, но если воспользоваться услугами SS, то получаешь пустой hosts! а где же мой рабочий?

поэтому и получил слишком элементарные ответы типа отключи проверку... извлеки из инфектед... и т.д. ...попробую ещё раз:
1. то, что ввели проверку hosts - это есть правильно! гы, на злобу дня!
2. но почему эталоном служит именно пустой hosts?! необходимо усовершенствовать этот процесс... как-то ввести в программу возможность указания частного эталонного hosts (в котором к примеру мною прописаны нюансы местной ЛВС)
3. сейчас для меня вилы:
- не отключаю проверку - клиенты в испуге позволяют DrWeb править hosts в нули!
- отключаю проверку - получаю кучу дерьма в hosts (опять же спасибо клиентам)...
4. плиз, вопрос: куда обратиться к аффтарам, чтоб учли такое настоятельное пожелание (если это, конечно, реально программно)?

dirnola
Тема на официальном форуме DrWeb: http://forum.drweb.com/index.php?showtopic=283127&st=0&start=0

ValeryLedovskoy да, текст сообщения. Просто не всегда полный текст нужен. Типа "Отправь слово ЧЕ и имена на номер <какой-то там> и узнайте вашу совместимость" (просто первое что вспомнил из рекламы. И тогда скорее всего агрегатор номера обрабатывает вот это "ЧЕ" и приравнивает его к владельцу, а последующий текст сам владелец обрабатывает, если желает. Вот почему и назвал "префиксом". У того же смскоста есть свой смс-сервис и вряд ли полностью ему принадлежит короткий номер 1121. Например в Челябиске этот номер фигурирует для других целей (http://www.chel.usi.ru/press/news/2009/1999561/). Есть и другие сервисы, с данным номером.
Но все это только мое личное мнение. И огромнейше прошу прощения за оффтоп.

Aleksandr_SHCH да, что надо... отписал там свои 100 грамм... thanx

Уважаемые форумчане, я у вас человек новый и потому вопрос.
С некоторых пор в базах присутствует файл timestamp. Что в нем зашифровано? Время создания последних обновлений баз?
Если вопрос обсуждался, то дайте ссылку на страницу. Просмотреть все страницы я физически не могу.
Спасибо.

Caravelli

Цитата:

Просмотреть все страницы я физически не могу

Используй версию для печати
http://forum.drweb.com/index.php?showtopic=284726

Pasha_ZZZ, не совсем въехал в фразу "Используй версию для печати", но это не беда.
Но вот
Цитата:

sergeyko: Он нужен нам, мы будем на него ориентироваться. Не обращайте внимания, вам он не помешает.

наводит на смутные сомнения.
Вот руткит, например, может получать зашифрованную инструкцию в виде "случайного" набора цифр или символов.
И почему я не должен на это обращать внимание?
О-о-о! Здесь какая-то тайна!

Цитата:

О-о-о! Здесь какая-то тайна!

А как жишь. Тайна называется производственная.
Если б Вы знали, сколько тайн в dwprot.sys или dwshield.sys...

Не могу победить вирус.
Окно на экране "Внимание! Вынарушили лицензионное соглашение програмного продукта iMax Download Manager Для продолжения необходимо активировать копию! Осталось времени хх:хх:хх Чтобы получить код активации отправте SMS 1.Укажите страну проживания 2. Отправте СМС с кодом М20371100 на номер 3649 Стоимость 10 руб"
Есть на нескольких компах. Под любым пользователем и в режиме защиты от сбоев заблокированы regedit taskmgr и много других. При перезагрузке с сд Дрвеб ничего не находит. Перелил образ диска, подтянул профиль с сервера, через некоторо время опять заблокированы regedit taskmgr толи из профиля толи по локалке.
Помогите плз
PS извиняюсь за панику, просто вместе с профилем подтянулся покоцанный реестр с заблокированными regedit taskmgr. Подредактировал и проблеммы не стало.

alexsht, обратитесь с этим сюда - помогут оперативно:
http://forum.drweb.com/index.php?showforum=35
Сюда можете ссылку на на свою тему дать.
Конечно, придётся логи по правилам сделать, но без этого никуда.

Цитата:

ValeryLedovskoy:Если б Вы знали, сколько тайн в dwprot.sys или dwshield.sys...

О, сколько нам открытий чудных...))
Чё ж вы засветили скрытые ресурсы доктора. Вот народ начнет ковыряться - что да как.
А вирусы-то, как показывает практика, на 99% двуногие)) и двукриворукие)).
Ну и ладно, тайна так тайна.

ValeryLedovskoy
Впервые столкнулся с проблемой. Новая система (ноутбук). Установил Доктора. При наведении курсора на иконку в трее явно пытается показать всплывающее окно, но не показывает, как будто что-то в последний момент мешает. Иконки других программ при наведении курсора всплывающие подсказки показывают исправно. Где копать?

Цитата:

Чё ж вы засветили скрытые ресурсы доктора.

Это не секретная информация. Названия драйверов - это не секрет. Тем более, что некоторые из них устанавливаются под случайными именами в систему А вот функционал - это другое.


Цитата:

Впервые столкнулся с проблемой. Новая система (ноутбук). Установил Доктора. При наведении курсора на иконку в трее явно пытается показать всплывающее окно, но не показывает, как будто что-то в последний момент мешает. Иконки других программ при наведении курсора всплывающие подсказки показывают исправно. Где копать?

Возможно, ошибка в программе. Возможно, вирусное заражение.
Лучше всего обратиться в техподдержку:
https://support.drweb.com/new/tech

UnYura
в трее у дрвеба всплывает не хинт, а баллон. может они у вас отключены ?

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"EnableBalloonTips"=dword:00000001

Добрый день! Подскажите пож. раньше пользовался версией 4.44 + журнальные ключи, которые обновлял копированием нового ключа в корневой каталог. Таким же образом закидывал и обновление антивирусных баз. Сейчас перешел на 7 -ку (Win 7) Др веб 4.44 работать в ней отказывается. Установил версию 5 для win 7 - так вот обновиь ключ , путем замены его на актуальный теперь не получается, выдает ошибку, точно так же и при ручном обновлении баз. Теперь при истечении срока ключа Приходится полностью удалять программу и ставить заново. Есть ли более гуманный способ замены ключа и обновления баз в 5-ке?

KPavelA, в 5.0 есть менеджер лицензий. Правая кнопка по агенту в трее - Инструменты - Менеджер лицензий.

dirnola

Цитата:

4. плиз, вопрос: куда обратиться к аффтарам, чтоб учли такое настоятельное пожелание (если это, конечно, реально программно)?

если напрямую то ко мне. мне кажется это уже избыточно для антивирусного сканера. шаблоны хостов..., это уже через чур. фича сделана не для админов а для простых смертных, у них с вероятностью 98% детект хостс будет верным и востанавливать им ориг. хост самый верный вариант. практика это подверждает. вот такое наше мнение.


Добавлено:
Caravelli

Цитата:

С некоторых пор в базах присутствует файл timestamp. Что в нем зашифровано? Время создания последних обновлений баз?

именно так. unix timestamp. нужен чтобы не качать модули и базы старее чем у пользователя, не делать даунгрейд при залипании некоторых серверов обновления. бывает что с одного сервера приезжает новое, а при след. апдейте опять старое закачивается. это плохо.

devon

Цитата:

именно так. unix timestamp. нужен чтобы не качать модули и базы старее чем у пользователя

Базы и раньше закачивались без тех сложностей, которые вы описали.
ИМХО, достаточно было и drweb32.lst
Заметьте, timestamp ложится не в базы, а в защищенную папку DrWeb.
Как я и сказал, тут что-то другое.

И еще. Может ткнете, что-то не вижу log обновления баз.

Caravelli

Цитата:

Базы и раньше закачивались без тех сложностей, которые вы описали.

неа. схема с таймстемпом еще не до конца сделана так что можете убедится сами например при очередном крупном апдейте модулей, могут модули то приезжать то откатываться.

Цитата:

Заметьте, timestamp ложится не в базы, а в защищенную папку DrWeb.

а не важно, главное его скачать. даже не задумывались куда его ложить.

Цитата:

Как я и сказал, тут что-то другое.

ну если разработчикам не верить то я тут пас

devon
Пока вы на связи))) Может ткнете, что-то не вижу log обновления баз.

EDantes

Цитата:

баллон. может они у вас отключены ?

всё включено, ведь подсказки (баллоны) от других иконок работают!

Caravelli

Цитата:

Может ткнете, что-то не вижу log обновления баз.

"c:\Program Files\DrWeb\drwebupw.log"

Цитата:

"c:\Program Files\DrWeb\drwebupw.log"

Это лог для автоматического обновления. Если обновление запускается вручную, то лог сохраняется здесь:
C:\Documents and Settings\[имя пользователя]\DoctorWeb\drwebupw.log

так заметки на полях
беда с винлоком 514 (вы нарушили лиц.соглашение подукта sNet SpeedBest Lite для продолжения работы отравьте смс на номер 8353 с кодом М21720010)
ничего делать недаёт, от доктора веба лайв сиди не работает (Cannot find CD ), встроеный в лайв сиди веб детектит винлок, удаляет но зловред лезет снова, к сети не подключен
с флехи куреит работает пару минут и вырубается
авп тул, этот также
с ним вообще не понятно
он же должен установиться
как я понимаю он ставиться по умолчанию на системный диск
т.к пробовали на флешку..не идёт
на диск С не идёт
только на рам диск B
поработает пару минут
что ТО выловит и отрубается
удалит даже , но потом зараза востанавливается
cclener вычищали темпы
всё равно лезет

один вариант загрузка с лайвсиди
а дальше какие шаги, если учесть ,что проблемы запуска утилит описаны выше

tahirg, лучше к нам на форум - там будет быстрее, поверьте.
http://forum.drweb.com/index.php?showforum=35

я про---я с похожей заразой сутки не хочет подпускать к своим файлом все заблокировано....но я ее добью...дела принципа....
Вредоносное ПО также выполняет следующие действия:

1) препятствует запуску Диспетчера задач и Редактора реестра
2) навязчиво отображает баннер или перезагружает ОС при попытке запуска каких-либо приложений
3) препятствует загрузке ОС в безопасном режиме
4) противодействует запуску антивирусных инструментов
5) дезактивирует Восстановление системы Windows

Состав вредоносной программы:
Вредоносное ПО iMax Download Manager (Packed.Win32.Krap.w) состоит из нескольких библиотек (DLL) со случайным именем, размещающихся в папке %system32%, размером 133 664 байт. По косвенным данным, в системе может присутствовать также исполняемый файл %system32%\sdra64.exe.

Рекомендации в случае заражения:
Если ваш ПК заражен вредоносным ПО iMax Download Manager (Packed.Win32.Krap.w), то Антивирусный портал VirusInfo настоятельно рекомендует вам ни в коем случае не следовать указаниям мошенников и не отправлять никаких SMS-сообщений на указанный ими номер.

Так как имя вредоносных компонентов формируется случайным образом, а основные антивирусные инструменты не запускаются, скрипт AVZ для удаления типичного представителя данного ВПО не может быть сформирован. В большинстве случаев уничтожение основных составляющих iMax Download Manager (Packed.Win32.Krap.w) возможно при помощи представленной ниже последовательности действий:

* * *

1) Загрузить и сохранить на диск установочный пакет антивирусной лечащей утилиты AVPTool от Лаборатории Касперского (описание см. здесь:
Скрытый текст
http://support.kaspersky.ru/viruses/avptool2010?level=2
, ссылка для загрузки:
Скрытый текст
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
);
2) Подготовить загрузочный компакт-диск, позволяющий загружать ПК с обход ОС Windows и запускать лечащие утилиты (подробнее о создании и использовании LiveCD , или попытаться войти в пораженную ОС при помощи другой учетной записи;
3) Запустить утилиту AVPTool и провести полное сканирование ПК;
4) Перезагрузить компьютер.

хотя по поводу запуска AVPTool в безопасном режиме не получилось установить.....может кому удастся

maksimichks, угу про AVPTool тут в самый раз по теме
Тем более, что она прибивается.


Цитата:

авп тул, этот также
с ним вообще не понятно
он же должен установиться
как я понимаю он ставиться по умолчанию на системный диск
т.к пробовали на флешку..не идёт
на диск С не идёт
только на рам диск B
поработает пару минут
что ТО выловит и отрубается
удалит даже , но потом зараза востанавливается

Если действительно проблемы, то вместо рекламы с сайта ЛК (virusinfo.info) идите к нам на форум тоже:
http://forum.drweb.com/index.php?showforum=35
Там помогут.

да..человек устал биться
даже больше из за того, что невозможно что либо запустить, чтобы снять хоть какие логи
формат С и всё.
Поговорил я с ним по телефону и на совет пойти на офсайт веба и просить помощи он ответил
"да как я выполню их правила, если НИЧЕГО не запускается!"
пытался говорит запустить авз с лайвсиди..вышел тёмный (совсем чёрный) интерфейс проги и куда жать?
также все остальные АВ ..срываются по дороги проверки
правда он сохранил весь диск как данные на другой винчестер
после установки винды прогонит заражённый винт, что нароет раскажет
такие вот пироги..грусно однако...

Цитата:

Поговорил я с ним по телефону и на совет пойти на офсайт веба и просить помощи он ответил
"да как я выполню их правила, если НИЧЕГО не запускается!"

Я думаю, что если человек напишет, что запустить что-то не может, то ему подскажут, что сделать. Например, часто помогает переименование используемых утилит в абракадабру. Или есть какие-то косвенные способы определить месторасположение вредоносных файлов по описанию. Правила обязательны к выполнению в тех случаях, когда это возможно.

ValeryLedovskoy

вопрос наверно не к вам, но раз вы здесь
пожалуйста узнайте у ваших спецов
почему в онлайн форме разблокировки нет кодов и скринов для винлоков 5xx
народ измучен "нарзаном"...
при наличии кодов можно было без гимороя разлочить машинку и провести комплексную уборку.