» Антивирус Dr.Web (Доктор Веб, Doctor Web, DrWeb antivirus)

Эпохальное событие !

Сегодняшним обновлением бета-версии предпринята попытка избавиться от ступора системы во время обновления антивирусных баз.

Цитата:

реализован инкрементальный апдейт баз. теперь при апдейтах перезагружаются только изменившиеся базы. что сущетсвенно снижает нагрузку на систему

okur, я поделился личной статистикой. Если у Вас есть другая, Вы тоже можете поделиться. Я знаю цену антиспама. Без него работа с моей личной почтой превратилась бы в ад. Не стоит брызгать слюной без аргументов.

ValeryLedovskoy
del

okur, я не использую здесь какие либо лички. Я здесь для того, чтобы иногда отвечать на вопросы пользователей наших продуктов. По собственному желанию. Шифроваться здесь у меня времени нет. Непонятно, зачем обсуждать в личке Ваши попытки оппонировать моему мнению, высказанному публично. Мне это не интересно.

По поводу удалённого Вами флуда. У меня есть личный почтовый ящик имени моего... имени. Очень красивый. И я его администрирую, как и свой сайт. И наш антиспам тоже использую для фильтрации спама, идущего на мой почтовый ящик. И тоже весьма эффективно.

И если Вы ничего не хотите писать - не пишите. А если пишете, то аргументируйте. Иначе неинтересно. Да, желательно сначала протрезветь, если ещё не.

ValeryLedovskoy
del

okur, а, понял, флуд остаётся.
Антиспам в Dr.Web устроен так, что 80% спама отсеивается уже на этапе анализа заголовков писем, ещё до лингвистического анализа собственно текстов. Это позволяет отсеивать разного рода графический спам и противодействовать другим приёмам. Если не хотите флудить, протестируйте наш антиспам на собственном спаме и скажите свой процент. Вот за ночь у меня отсеялось 120 писем. Пролезло 5. 5/120*100=4,16%. Более 95% спама отсеялось. Рассказывайте про лингвистический анализ дальше.

ValeryLedovskoy
Хотелось бы услышать от работника компании, почему не всегда анонсируются изменения. Например, буквально только что приплыло обновление сканера, а на офсайте - традиционный уже молчок. Аналогичный молчок часто бывает при перевыпуске баз.
Вот кусочек из лога:

Цитата:

Принимаем drweb32w.exe.patch_a20b275b_c8383722...
drweb32w.exe.patch_a20b275b_c8383722 принят

UnYura, новость о сканере была:
http://news.drweb.com/show/?i=745&c=5&p=0
Не всё то, что сегодня было опубликовано, поместилось на главной странице. Все новости можно смотреть здесь:
http://news.drweb.com/
Лучше, конечно, подписаться на интересующие темы:
http://news.drweb.com/news/subscribe/

О перевыпуске вирусных баз сообщается обычно в разделе новостей "Новости об обновлениях". Но нормальным считается автоматическое получение обновлений.
http://news.drweb.com/list/?c=8

Даже если обновление проводится вручную, рекомендуется проводить его через создание локального зеркала:
http://wiki.drweb.com/index.php/Обновление_вручную

Т.е. лучше создать процедуру обновления, при которой нет необходимости отслеживать перевыпуски баз. Для любой ситуации можно придумать такую схему.

(конечно, если Вы не хотите быть умнее "жадных" разработчиков - в этом случае действуют другие правила)

Ахтунг!!!
новая зараза пошла - ubest netspeed pro
http://search.otvet.mail.ru/?q=ubest+netspeed+pro
рецепта нет, клиенты сегодня нахватали, завтра на амбразуры придётся ложиться...

dirnola, вчера несколько часов потратил на то, чтобы с одного заражённого компьютера dll добыть. Сейчас должны детектировать. Нашему сканеру запускаться даёт. А вот при попытке запустить многие утилиты, которые могут помочь в деле выковыривания этих сэмплов, они либо не запускались, либо компьютер отправлялся в шатдаун.
Вообще, особенностей много, это основная.
AVZ не запускается ни обычный, ни полиморфный. Hijackthis запускается переименованный, но если нажать кнопку, которая сканирует и показывает лог в Блокноте, то система после сканирования отправляется в шатдаун. Если провести только сканирование, можно видеть строчку типа такой:
O20: AppInit_DLLs: c:\Windows\system32\абракадабра.dll
Фиксить с помощью хайджека это не получается - при очередном сканировании видно, что прописывается новая dll (с новым сгенерированным именем).
Так что качайте свежий Dr.Web CureIt! и сканируйте. Если это то, что я думаю, там окно должно быть не на весь экран, а на тех полях, что остаются, вполне можно сканером рулить.
Этот вчерашний геморрой аналитики добавили как Trojan.Winlock.514.
Был добавлен вчера около 17 вечера.
Если будет новая модификация, надеюсь, доступно объяснил, что делать.
Да, если у кого-то есть дроппер, выложите где-нить и дайте ссылку в личку. Ну, или дайте ссылку на страницу, откуда раздаётся. Если пострадавших много, может, кто-нибудь вспомнит, после какого сайта начало появляться окно. Спасибо.

ValeryLedovskoy

Цитата:

новость о сканере была:

да, прошу прощения, действительно, проглядел в общем потоке новостей...
но у меня было ощущение, что на момент написания мной сообщения её там ещё не было. Поскольку полез сразу именно туда.

UnYura, точно не скажу, возможно, новость была выпущена спустя непродолжительное время после выпуска сканера. Главное - возможность лечения новых вирусов, причём как можно скорее. А новость может долго проходить согласование.

CureIt все файлы вируса нашел, все удалил.
И сразу после этого винда просто перестала загружаться. Вместо рабочего стола - черный экран. Даже курсора нет.
В бзопасном режиме - такая же история.

Dreggs, когда скачивали CureIt!?
Лог проверки можете куда-нибудь выложить?

ValeryLedovskoy
к сожалению лог не сохранился.
CureIт скачал сегодня где-то в половине девятого по Москве.
Он нашел три файла с Trojan.Winlock.514. все в папке system32.

Dreggs, систему не переустанавливали? Тогда загрузитесь с любого LiveCD, например, с этого:
http://www.freedrweb.com/livecd/
И посмотрите, есть ли какие-либо необычные файлы (exe) в корневике на системном диске. Если есть, скопируйте на флешку и выложите куда-нибудь.
Так же можно и лог CureIt! найти.

ValeryLedovskoy систему переставлять не хочется, после столь долгой возни с этим трояном.
У меня два харда, на одном ХР (пораженная), на другом Виста - чистая. Сижу из-под нее, CureIt запускал тоже на висте, указав для сканирования другой хард.
Файлов в корневом каталоге не видно (как и лога я тоже не вижу). Но тут следует заметить, что утром я сидя на ХР обнаружил-таки в корневом каталоге странные ехе файлы, абракадабра в названии и значки касперского (у меня этого антивиря сроду не было).
Недолго думая, я их удалил через shift+del.

Dreggs
ValeryLedovskoy
Черный экран вместо рабочего стола - верный признак того, что что-то не так в строке запуска userinit.exe.
С помощью Offline NT Registry Editor посмотрите, что за значение у параметра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit, должно быть вот такое: C:\WINDOWS\system32\userinit.exe,
где C:\WINDOWS - путь к вашей винде

З.Ы.: Если есть рабочая Виста - можете из ее РЕГЕДИТа подцепить ХРшный реестр, поменять значение, отключить реестр.

Цитата:

в корневом каталоге странные ехе файлы, абракадабра в названии и значки касперского

Подтверждаю, был такой файл на зараженном компе в корне, размер где-то 128 Кб.

Dreggs, Pasha_ZZZ, т.е. CureIt! запускался из другой системы, то вполне может быть, что при лечении реестр _той_ системы не очистился. Поэтому и не грузится.

Попробуйте сделать то, что рекомендует Pasha_ZZZ.

Известно, что на заражённой системе CureIt! не запускается. Как и не запускается сканер, если уже Dr.Web с включённой самозащитой не установлен. Разработчики в курсе, работа будет вестись.

Если компьютер в сети, то можно порекомендовать CureNet!, но его нужно покупать...


Цитата:

Но тут следует заметить, что утром я сидя на ХР обнаружил-таки в корневом каталоге странные ехе файлы, абракадабра в названии и значки касперского (у меня этого антивиря сроду не было).

Жаль. Хотя скорее всего это то, что уже известно. Это и был дроппер (установщик), сейчас изучается. CureIt! качался, когда дроппера в базе ещё не было.

ValeryLedovskoy

Цитата:

Известно, что на заражённой системе CureIt! не запускается

Замечательно запускался (по крайней мере вчера), только ничего не находил. В обычном режиме черный рабочий стол с указателем мыши, в сэйф-моде загружался, только не запускалить никакие антивирусные/антируткитные проги (кроме КуреИта), и файл-менеджеры (фар, тотал). Также вылетали все программы, которые пытались получить список процессов или файлов автозагрузки (списки служб и драйверов получали нормально, это были CacheMan и WinXP Manager).

Pasha_ZZZ, спасибо за информацию. Будем думать и смотреть.

ValeryLedovskoy ну вот я добрался до клиентской машины... крепка, блин, зараза... консоль не доступна... диспетчер не доступен... отдаю должное в/писателям... гы, +5 баллов им за недоступность файлменеджеров... как без рук...
о грустном... ну запустил я в безопасном режиме ещё вчерашний CureIt, ну нашёл он system32\rgwf.dll как Trojan.Winlock.514... не спасло...
взял вчерашний livecd с ftp.drweb.com... имхо, всегда считал, что слабоват как livecd... линукс хорошо, но функций мизер... я им обычно и не пользуюсь... обычно CureIt по жизни хватает... единственное, что пригодился для чистки Documents and Settings\User\Local Settings\Temp... там была куча разномастных папок и большая куча разномастных *.dll-ек... хотя имели они отношение к сабжу - не знаю... почистил и папку windows/temp... хотя ничего предосудительного особо там не было...
насчёт http://search.otvet.mail.ru/?q=ubest+netspeed+pro ...никаких типа pmyda.dll, pmd.dll и т.п. в system32 нет... файла весом 88608 байт тож... ждать, когда пройдёт 2часа 57 минут этого грёбаного uBest'а и что дальше, времени нет...
пробовал Malwarebytes Anti-Malware... результата нет...
имхо, гнус изворачивается, при попытке запуска MAB'а или любимого CureIt несколько раз выкидывалась ошибка памяти какой-то хрени как xxxXP.exe, где xxxx - цифробуквы... потом антивирусы всёж с задержкой стартовали...
---------------------------

Цитата:

обновляйте базы антивирусов!
вчера отправил в DrWeb и Kaspersky экземпляры вируса.
они добавили его в базы и мне подтвердили.
последняя версия Dr.Web CureIT! его находит.
NOD и Avast пока ничего не ответили.

высказываю ой большое сомнение по этому бодрому рапортованию... скачал щас свежайший CureIT... пустил в безопаске сразу на полную... жду... но сомнение гложет...
----------------------------
ещё немножко поколдую... буду ось переставлять... иначе времени нет.

dirnola, возможно, у Вас не только этот Winlock, судя по описанию.
Рекомендую обратиться сюда:
http://forum.drweb.com/index.php?showforum=35
К сожалению, борьба с вирусами - не моё основное направление деятельности.
Подробно писал по этому вредоносу только лишь потому что столкнулся лично, пришлось человеку помочь.

ValeryLedovskoy спасибо за участие... да у меня без проблем... гы, этож всё клиенты... не привыкать... акронисом пподниму
Winlock'ов этих щас как грязи... вернее щас рулёззз именно этот самый "М21720009 на номер 8353"... бу-га-га, сводки с урожайных полей:

Цитата:

Чтобы получить код активации отправьте смс
М21720009 на номер 8353
Как избавиться ото этого???
НЕ помогает:
-перезагрузка
-отправка sms
-на сайте http://news.drweb.com/show/?i=304&c=5 нет именно такого вируса
-список автозагрузок пуст
-когда время заканчивается – иконка исчезает, но любые программы НЕ запускаются
-в безопасном режиме тоже ничего НЕ запускается

Цитата:

НЕ ПОСЫЛАЙ СМС ЛИШИШЬСЯ 600РУБ

Цитата:

Вирус просто отличный 8-)
что делал и ответы вируса
1Вирус отключил диспетчер задач,при том он выключил его вовсе(может удалил,пока не знаю) а не выскакивает окно ,что запрещенно администратором,просто ничего не происходит
2 Отключенно действие regedit и rpdit
3 Отключено восстановление и откат системы из безопасного режима,тут мы и получили ответ"запрещенно групповой политикой"
4 Отключенна консоль восстановления при помощи загрузочного диска,выдает ошибку.(у меня лицензионая версия,а не абы какая)
5 Антивирусы ,которые без установки CureIT и AVZ приводят к перезагрузке системы
6 Ни ОДИН из СВЕЖИХ антивирусов ставится не захотел,а именно НОД,ПАНДА,ДОКТОР ВЕБ,КАСПЕР,НОРТОН.Либо опять перезагрузка,либо прерывание установки.
7 Когда в браузере ищешь антивирус,либо заходишь на сайт антивируса,браузер сразу закрывается.
8 Ни одна программа не работает кроме 1С,наверное недоработка автора 8-)
9 Пропустил в систему, у меня, его НОДик
10 Подсоединил новый винчестер,поставил на него винду и антивирус.Потом соответственно вернул старый.Вирус на новую систему не лезет.Сегодня просканил его СВЕЖИМИ CureIT ,AVZ, Каспером,Нортоном.Пока ничего не нашел.Вот буду завтра опять биться.

etc.

Как снести его.... Я через лайвСД пытаюсь подключиться к реесру, пишет "Редактирование реестра запрещенно для данного пользователя" ,CuerIT нашел какие-то файлы и снёс, результат "0", окно осталось.

ValeryLedovskoy

Не, мужик, так просто не отмажешся!
Раз ты сюда пришел, тем более, как представитель известной фирмы, и, тем более, что нигде более об этой заразе упоминаний нет иначе как с твоим именем, значит, ты для нас звезда и давай-ка помогай!!!

Ситуация та же, что и у предидущего оратора.
Полез в HKLM\LOCAL_MACHINE\и т.д. до Winlogon.
Проверил параметр userinit - там была указивка на svcnost.exe, который лежал в Program Files\Internet Explorer. Почикал его, загрузившись с Winternals ERD.
Думал - все. Не тут то было!
У поп-ап окна пропала морда, остальное все осталось, как и было.
Скачал три часа назад Cure It!, вынул HDD, воткнул через USB в другой комп, 2 часа молотит - конца-края не видно. И ошибок немало. Например, часть файлов Vodafone Mobile Connect опознал за контейнеры вирусов, FathZIP.dll - тоже. Но это лирика.
Нашел кое-чего за 2 часа, но другого. И сомнительно, что другое имеет отношение к данной проблеме.
Дальнейшие рекомендации?
Это был служебный ноут, софт ставили и настраивали в США, включая доступ к корпоративному САПу. Так что перестановка винды не канает.
Help! SOS!

ValeryLedovskoy
Цитата:

Рекомендую обратиться сюда:
http://forum.drweb.com/index.php?showforum=35

забыл сказать, что форум пользителен, но вот это в данной ситуации:

Цитата:

Перед созданием темы в этом разделе необходимо выполнить все требования,
указанные в Правилах раздела "Помощь по лечению".
Если эти требования не будут выполнены - тема будет удалена без оказания помощи и без предупреждения!

сам понимаешь, какой геморой снять логи с "М21720009 на номер 8353"... времени нет, я пасс, мне легче клиенту ось поставить... дешевле встанет... хотя лечилово то всем потом пригодится... гы, рано или поздно
alexeySTP разделяю твой Help! SOS! ...с другой стороны, ValeryLedovskoy не волшебник и находится здесь не по приказу и не в служебной командировке...
для спасения штатовского чуда надобыть исполнять Требования, обязательные к исполнению и выкладывать на http://forum.drweb.com/index.php?showforum=35

Цитата:

Как снести его.... Я через лайвСД пытаюсь подключиться к реесру, пишет "Редактирование реестра запрещенно для данного пользователя" ,CuerIT нашел какие-то файлы и снёс, результат "0", окно осталось.

Кое-какие - это не описание проблемы. So, http://forum.drweb.com/index.php?showforum=35.


Цитата:

Скачал три часа назад Cure It!, вынул HDD, воткнул через USB в другой комп, 2 часа молотит - конца-края не видно.

Полная проверка? Я думаю, было бы достаточно "быстрой".

Все ложняки - сюда:
https://vms.drweb.com/sendvirus


Цитата:

Нашел кое-чего за 2 часа, но другого. И сомнительно, что другое имеет отношение к данной проблеме.

Что именно и где?


Цитата:

Ситуация та же, что и у предидущего оратора.

Уверены, что та же модификация, а не более новая или старая или совсем другая? Снимок экрана какой-нибудь с окном, требующим отправки SMS есть?
При быстром сканировании интересно, найдены ли были в system32 dll-ки, которые определяются как Winlock.

Если нет, то есть ли в system32 какие-либо скрытые dll-ки?

Добавлено:

Цитата:

сам понимаешь, какой геморой снять логи с "М21720009 на номер 8353"... времени нет

Я думаю, что в случае, когда это невозможно сделать (утилиты не запускаются или шатдаунится при этом компьютер), можно об этом просто написать. И это будет являться соблюдением правил

ValeryLedovskoy да ладно тебе... не трать время на комментарии цитат... цитаты-то не мои... я их надёргал с http://search.otvet.mail.ru/?q=ubest+netspeed+pro&sf=0
хотя вирусок "М21720009 на номер 8353" и последствия (regedit, rpdit и т.д.) один и тот же...
а screen надобыть выложить... люблю картинки...
и на форум... с твоего благословения

dirnola, на самом деле никого благословлять не буду. Кто может поделиться дополнительной инфой - пожалуйста. Я чем смогу - тоже помогу (куда денусь, у меня совесть есть)


Цитата:

http://search.otvet.mail.ru/?q=ubest+netspeed+pro&sf=0

Я здесь тоже сегодня лазил. Много интересного почерпнул.