» Антивирус Dr.Web (Доктор Веб, Doctor Web, DrWeb antivirus)

Сегодня с утра вот такая байда на всех машинах с разными ключами (и источниками обновлений):

Цитата:

2009-12-28, 10:35:33 drweb32.lst.lzma принят
2009-12-28, 10:35:33 Поиск drw50005.txt.lzma...
2009-12-28, 10:35:33 Принимаем drw50005.txt.lzma...
2009-12-28, 10:35:34 drw50005.txt.lzma принят
2009-12-28, 10:35:34 drw50005.txt - неправильная контрольная сумма
2009-12-28, 10:35:34 Связь прервана
2009-12-28, 10:35:34 Отключены

Взятый с офсайта drw50005.zip проблем никаких не имеет.
Да, и из-за этой ошибки остальная часть обновления тоже не идёт...

UnYura
На официальном форуме народ тоже начал жаловаться
Ждем пока подтянутся ответственные люди.

UnYura
у меня нормально
[more]
2009-12-28, 11:00:33 Подключаемся к хосту: http://update.msk7.drweb.com/500/windows/ (87.242.75.131)
2009-12-28, 11:00:33 Поиск drweb32.flg...
2009-12-28, 11:00:33 Поиск drweb32.lst.lzma...
2009-12-28, 11:00:34 Принимаем drweb32.lst.lzma...
2009-12-28, 11:00:34 drweb32.lst.lzma принят
2009-12-28, 11:00:34 Поиск timestamp.patch_7e9569ea_4d7bd3bb...
2009-12-28, 11:00:34 Поиск timestamp.lzma...
2009-12-28, 11:00:34 Поиск timestamp...
2009-12-28, 11:00:34 Принимаем timestamp...
2009-12-28, 11:00:34 timestamp принят
2009-12-28, 11:00:36 Поиск drw50005.vdb.lzma...
2009-12-28, 11:00:36 Поиск drw50005.vdb...
2009-12-28, 11:00:38 Принимаем drw50005.vdb...
2009-12-28, 11:00:41 drw50005.vdb принят
2009-12-28, 11:00:41 Поиск drw50005.txt.lzma...
2009-12-28, 11:00:42 Принимаем drw50005.txt.lzma...
2009-12-28, 11:00:42 drw50005.txt.lzma принят
2009-12-28, 11:00:42 Поиск drwtoday.txt.patch_28cb463e_8031df5f...
2009-12-28, 11:00:42 Поиск drwtoday.txt.lzma...
2009-12-28, 11:00:42 Принимаем drwtoday.txt.lzma...
2009-12-28, 11:00:42 drwtoday.txt.lzma принят
2009-12-28, 11:00:42 Поиск drwdaily.vdb.patch_27568311_3fc75e0c...
2009-12-28, 11:00:42 Поиск drwdaily.vdb.lzma...
2009-12-28, 11:00:42 Поиск drwdaily.vdb...
2009-12-28, 11:00:42 Принимаем drwdaily.vdb...
2009-12-28, 11:00:42 drwdaily.vdb принят
2009-12-28, 11:00:42 Поиск drwdaily.txt.patch_b562715c_78addc73...
2009-12-28, 11:00:43 Поиск drwdaily.txt.lzma...
2009-12-28, 11:00:43 Принимаем drwdaily.txt.lzma...
2009-12-28, 11:00:43 drwdaily.txt.lzma принят
2009-12-28, 11:00:43 Поиск dwrtoday.vdb.patch_7920e037_57c94e0e...
2009-12-28, 11:00:43 Поиск dwrtoday.vdb.lzma...
2009-12-28, 11:00:43 Поиск dwrtoday.vdb...
2009-12-28, 11:00:43 Принимаем dwrtoday.vdb...
2009-12-28, 11:00:43 dwrtoday.vdb принят
2009-12-28, 11:00:43 Поиск dwrtoday.txt.patch_3126e33e_ddc5d11e...
2009-12-28, 11:00:43 Поиск dwrtoday.txt.lzma...
2009-12-28, 11:00:43 Принимаем dwrtoday.txt.lzma...
2009-12-28, 11:00:43 dwrtoday.txt.lzma принят
2009-12-28, 11:00:43 Поиск dwn50000.vdb.lzma...
2009-12-28, 11:00:44 Поиск dwn50000.vdb...
2009-12-28, 11:00:44 Принимаем dwn50000.vdb...
2009-12-28, 11:00:44 dwn50000.vdb принят
2009-12-28, 11:00:44 Поиск dwn50000.txt.lzma...
2009-12-28, 11:00:45 Принимаем dwn50000.txt.lzma...
2009-12-28, 11:00:45 dwn50000.txt.lzma принят
2009-12-28, 11:00:45 Поиск dwntoday.txt.patch_476ed7e1_cb4ee496...
2009-12-28, 11:00:45 Поиск dwntoday.txt.lzma...
2009-12-28, 11:00:45 Принимаем dwntoday.txt.lzma...
2009-12-28, 11:00:45 dwntoday.txt.lzma принят
2009-12-28, 11:00:45 Поиск dwntoday.vdb.patch_1715978e_1757e9b9...
2009-12-28, 11:00:45 Поиск dwntoday.vdb.lzma...
2009-12-28, 11:00:45 Поиск dwntoday.vdb...
2009-12-28, 11:00:45 Принимаем dwntoday.vdb...
2009-12-28, 11:00:45 dwntoday.vdb принят
2009-12-28, 11:00:46 Поиск drwtoday.vdb.patch_46c6c94b_e2eddf2a...
2009-12-28, 11:00:47 Поиск drwtoday.vdb.lzma...
2009-12-28, 11:00:47 Поиск drwtoday.vdb...
2009-12-28, 11:00:47 Принимаем drwtoday.vdb...
2009-12-28, 11:00:47 drwtoday.vdb принят
2009-12-28, 11:00:47 Файлы приняты[/more]

Добавлено:
скорость плохая на серверах обновления, поэтому бывают ошибки...

Обновление произошло с трудом, но нормально
Посмотрел, что в BASE, А там файлик dwntoday.ne$, размером 10494, от 18.06.2009
Что за зверь

Vigorous

Цитата:

у меня нормально

у меня уже тоже нормально. Видать, "ответственные люди" подтянулись...
okur

Цитата:

файлик dwntoday.ne$

нету у меня такого

andrew1692

Цитата:

После установки NIS2010 вместо веба, было выявлено около сотни вредоносных прог

А чего ж не 1000? Лог покажи, а так много можно наговорить.

Panzer

Цитата:

А чего ж не 1000? Лог покажи, а так много можно наговорить.

кроме того что написал, доказательств нет
ну вот, к примеру, 1 ссылка в гугле
http://antimalware.ru/tests_results
там тоже логов нет
Тест провален     
F-Secure Internet Security 2009
McAfee Internet Security Suite 13
Outpost Security Suite 2009
Panda Internet Security 2010
BitDefender Internet Security 2009
Dr.Web Security Space 5.0

Подскажите как посмотреть результаты обработки тикета номер #1105348 в вирлабе?
Уверен, что вирус (многие антивирусы определили). но почему-то не опредеяется до сих пор drWeb
сам файл тут, пароль virus.
посмотрите, если есть желание. Интересно узнать, чья правда будет.


Добавлено:
UnYura
Спасибо, помогла установка Windows Script 5.7 for Windows XP. После чего DrWeb установился без проблем.

andrew1692

Цитата:

ну вот, к примеру, 1 ссылка в гугле

во-первых, этот сайт очень тесно связан с фирмой Касперского и о независимости результатов трудно говорить,
во-вторых ты бы хоть почитал, что и как тестировалось. Ты говоришь о сигнатурном детекте, а тест совсем про другое.

Народ, а каким то образом можно по сети не отключая самозащиту заставить Dr.WEB 5 версии схавать новый ключ?
Цель - провести обновление ключей в сети с доменом сразу на множество компов, а не бегать к каждому и под админом с менеджером лицензий возиться. Думаю есть какой то механизм чтоб вместе с обновлением баз из сетевой папки закачивался новый ключ, а найти не могу...

tippmann
если обновляется с шары - то добавить ключ в drweb32.lst и положить его в шару:

[DrWebUpdateList]
[500]
+new_key.key, 9391e3eb
+timestamp, B1439432
+update.drl, F5963593
.......

tippmann
А вообще, для таких сетей Dr.Web ES придумали. Штука весьма удобная, внедряю где только возможно.

UnYura
СПБ, снес его, криминала не обнаружено
меня смутило его расширение

Цитата:

файлик dwntoday.ne$

и откуда этот гад выплодился
Однако как и положено в такие дни, пожелать тебе получать меньше дурацких вопросов ну и конечно



Добавлено:
#

lizun
Файлик твой точно вирус, только доктором пока не определяется. Так что ждем пока добавят. Или отпиши на официальный форум в ветку по необработанным тикетам.

P.S. Добавили, скоро в базы приедет. Угроза: Trojan.PWS.LDPinch.6057.

подскажите ссылку , как правильно запускать консольный сканер для Windows, не могу найти спасиба!

Добавлено:
кстати на той неделе этот файлик (mhgpec.еxe) DrWeb еще не ловил, NOD и AVAST ловили.

GoreIVa

Цитата:

подскажите ссылку , как правильно запускать консольный сканер для Windows, не могу найти спасиба!

клик-клик на drwebwcl.exe

если серьёзно, то смотря что хочешь проверить. ключи ком. строки сканеров подробно описаны в помощи, у тебя в каком виде Доктор стоит, ru-drweb.chm есть ?

maxic

Цитата:

Файлик твой точно вирус, только доктором пока не определяется. Так что ждем пока добавят. Или отпиши на официальный форум в ветку по необработанным тикетам.
P.S. Добавили, скоро в базы приедет. Угроза: Trojan.PWS.LDPinch.6057.

Спасибо!
А саму ветку не укажите? я там плохо ориентируюсь
тикет был создан 24 декабря, сегодня 29 уже, слава Богу, стал детектить...
И ещё: вчера ежечасно обновляемый DrWeb пропустил winlock на ноуте отца:

CureIt скачать удалось лишь на другом компе (ибо это окно занимало большую часть экрана) и после лечения им, загрузившись в infraCD 6.4, вирус был удален, надеюсь. По крайней мере ноутбук больше не блокировался пока что.
К чему это я... Извините, но, народ, не рекламы ради, а защиты для, посоветуйте что ли что-то более надежное взамен или как дополнение к DrWeb. А то ведь работать невозможно становится. Чувствую, пропадает совсем моя уверенность в защищенности

lizun
Этих винлоков как собак нерезаных, каждый день появляются новые и новые модификации. Причем ладно были б однотипные, так нет, встречаются весьма изощренные экземпляры, которые нужно еще расковырять. Видимо, очень удобный способ заработка.

Win7 x64 + работа под юзером + доктор снимают очень много головной боли. Мое мнение.

Можно еще попробовать бету: вчера приехали новые фичи, которые не позволяют заразе типа винлока писать себя в автозапуск. Ну или подождать пока после обкатки пойдет в релиз.

Снял 181 файл *.dll из папки windows\system32 оторые по очереди прописывают друг друга в автозагрузку. Размер у всех 145 Кб, CRC у всех A77704D0. Рисуют баннер на экран, лочат таскман регедит и тп. Дрвеб не реагирует, проверка на сайте дрвеба говорит файл чистый. Отака фуйня.
Отправил в https://vms.drweb.com/sendvirus/

alexsht
Засылай в вирлаб.
Глянь в ветку по лечению - все этими винлоками забито

В бету ночью пришло интересное обновление: блокировка некоторых записей автозагрузки реестра, которыми в основном эти вирусы и пользуются. Посмотрим на эффективность.

С той же машинки на которой я снял *.dll сообщения в событиях:
Доступ к "C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe был ограничен Администратором по расположению правилом политики {2a7896cf-b9b1-4ac6-8c99-0e5051499ba8}, расположенной в C:\Program Files\Common Files\Doctor Web"
Блин. Не запускается монитор дрвеба.

alexsht
Угу... круто. Похоже, целенаправленно доктора блокируют. Сходи лучше http://forum.drweb.com/index.php?showforum=35
Там есть квалифицированные "помогальщики".

Уже нашел там
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths]
было три записи на три пути в которых дрвеб лежит.
Кстати тот файл что я закидывал на вирлаб уже распознается как Trojan.Winlock.649

alexsht
Оперативно.

К сожалению, бета не блокирует полиси для записи. Видимо, нельзя. О таком способе блокировки антивируса уже упоминалось на форуме. Довольно изощренно.

Я главным противоядием вижу таки работу из ограниченной учетки, оттуда вирус такой гадости натворить не может.

Panzer спасиба чота затупил, почитал ru-drweb.chm информации придостаточно

Лимит страниц. Продолжаем здесь.