Ошибка лечения dr web cureit

Естественно «бесплатен» — я этот аспект упомянул. Очень удобная позиция. Я прекрасно понимаю политику Партии — батарейки в комплект не входят.

Тогда поясните мне — каким образом платный пакет, справляется с рядом вирусов, лечение которых необходимо произвести, загрузившись с «внешней» системы, когда даже загрузка в SafeMode не дает требуемого результата ? Какой тогда толк от этого платного пакета, если без средства загрузки под «внешней» системой он абсолютно бесполезен.
Да и не мне вам рассказывать про то, что самый эффективный способ лечения будет с «внешней» системы.

В любом случае я пришел сюда не ругаться, но лишь высказать свою позицию по данному вопросу, причем единожды. Ваше право ее проигнорировать, а мое право перейти на альтернативный антивирусный пакет. Всё предельно ясно.
Хотел лишь добавить, что компания Dr.Web пока еще не Microsoft, чтобы поступать подобным образом — альтернатива имеется.

Тогда поясните мне — каким образом платный пакет, справляется с рядом вирусов, лечение которых необходимо произвести, загрузившись с «внешней» системы, когда даже загрузка в SafeMode не дает требуемого результата ? Какой тогда толк от этого платного пакета, если без средства загрузки под «внешней» системой он абсолютно бесполезен.

Давайте явки, имена, пароли. Для каких вирусов нужно загружаться с внешнего носителя?

Да и не мне вам рассказывать про то, что самый эффективный способ лечения будет с «внешней» системы.

ИНОГДА — это единственный вариант. Но очень иногда. А эффект может быть обратным — от невозможности загрузки оси до краха системы.

В любом случае я пришел сюда не ругаться, но лишь высказать свою позицию по данному вопросу, причем единожды.

Аргументы приветствуются.

Тогда поясните мне — каким образом платный пакет, справляется с рядом вирусов, лечение которых необходимо произвести, загрузившись с «внешней» системы, когда даже загрузка в SafeMode не дает требуемого результата ? Какой тогда толк от этого платного пакета, если без средства загрузки под «внешней» системой он абсолютно бесполезен.

Давайте явки, имена, пароли. Для каких вирусов нужно загружаться с внешнего носителя?

Да и не мне вам рассказывать про то, что самый эффективный способ лечения будет с «внешней» системы.

ИНОГДА — это единственный вариант. Но очень иногда. А эффект может быть обратным — от невозможности загрузки оси до краха системы.

В любом случае я пришел сюда не ругаться, но лишь высказать свою позицию по данному вопросу, причем единожды.

Аргументы приветствуются.

Из последних — Trojan.AuxSpy.137 (по классификации Dr.Web) . Вирус создает в Temp директории файл nryk.bak (в названии могу ошибиться — пишу по памяти), который опознается сканером Dr.Web и перемещается в карантин, но через секунду появляется в Temp снова (режим SafeMode). Причем в SafeMode его можно удалять даже руками и наблюдать моментальную реинкорнацию Хотя при тесте памяти Dr.Web его не находит. Зверя удалось выковырить руками, загрузившись со сторонней Live СD, хотя в этом режиме и Dr.Web прекрасно справился, надо отдать ему должное.

Была еще пара-тройка случаев некоторое время назад, когда приходилось прибегать к подобному методу, но ники зверей уже не помню; но было, поверьте

Относительно обратного эффекта — согласен, но шипованными шинами пользуюсь и не один, тем не менее. А насколько достойно они поведут себя на голом асфальте — уже всецело в руках их создателей (и головы ездуна, разумеется).

Просто «Иногда» может оказаться очень критичным, не смотря на обратную сторону медали, которую все-таки возможно, я надеюсь, сделать таким образом, чтобы был хотя бы выбор — пусть на страх и риск пользователя — с обязательным соответствующим предупреждением со стороны антивирусного пакета о возможных последствиях. Я уже не говорю о классике жанра — бутовых вирусах, например.

Я все-таки очень надеюсь на работоспособный LiveCD от Dr.Web, поскольку менять коней не люблю, даже и не на переправе. С уважением, Виктор.

Из последних — Trojan.AuxSpy.137 (по классификации Dr.Web) . Вирус создает в Temp директории файл nryk.bak (в названии могу ошибиться — пишу по памяти), который опознается сканером Dr.Web и перемещается в карантин, но через секунду появляется в Temp снова (режим SafeMode). Причем в SafeMode его можно удалять даже руками и наблюдать моментальную реинкорнацию Хотя при тесте памяти Dr.Web его не находит. Зверя удалось выковырить руками, загрузившись со сторонней Live СD, хотя в этом режиме и Dr.Web прекрасно справился, надо отдать ему должное.

Правильно ли я понимаю, что после лечения этого файла он снова появлялся?

Из последних — Trojan.AuxSpy.137 (по классификации Dr.Web) . Вирус создает в Temp директории файл nryk.bak (в названии могу ошибиться — пишу по памяти), который опознается сканером Dr.Web и перемещается в карантин, но через секунду появляется в Temp снова (режим SafeMode). Причем в SafeMode его можно удалять даже руками и наблюдать моментальную реинкорнацию Хотя при тесте памяти Dr.Web его не находит. Зверя удалось выковырить руками, загрузившись со сторонней Live СD, хотя в этом режиме и Dr.Web прекрасно справился, надо отдать ему должное.

Правильно ли я понимаю, что после лечения этого файла он снова появлялся?

Да. При полном сканировании, а так же, если через правый клик мышки на данном файле запустить «проверить Dr.Web» (в режиме SafeMode) — файл автоматически перемещался в карантин с соответствующим оповещением (варианта «лечить», как и любого другого, антивирус не предлагал. Было бы что лечить ), но через секунду в директории Temp файл появлялся снова — с тем же именем и расширением, а Сканер уже вовсю шуршал дальше по списку, не оглядываясь назад . Попытки удаления данного файла «руками» заканчивались в этом режиме аналогично — файл прекрасно удалялся, но появлялся снова через секунду. В «обычном» режиме Windows (XP Prof SP3) Spider блокировал (но не удалял) этот файл в папке Temp, выдавая соответствующее сообщение, но после ребута файл был на своем месте. При проверке памяти никаких вирусов Dr.Web найдено не было.

Установлена версия Вебера 6.0 со всеми обновлениями и максимально возможными параноидальными настройками, какие только предоставляет Spider и Сканер. Настройки сканера для зараженного объекта —> Вылечить(Инфицированный), Переместить(Неизлечимый), Информировать(Подозрительный)

Из последних — Trojan.AuxSpy.137 (по классификации Dr.Web) . Вирус создает в Temp директории файл nryk.bak (в названии могу ошибиться — пишу по памяти), который опознается сканером Dr.Web и перемещается в карантин, но через секунду появляется в Temp снова (режим SafeMode). Причем в SafeMode его можно удалять даже руками и наблюдать моментальную реинкорнацию Хотя при тесте памяти Dr.Web его не находит. Зверя удалось выковырить руками, загрузившись со сторонней Live СD, хотя в этом режиме и Dr.Web прекрасно справился, надо отдать ему должное.

Правильно ли я понимаю, что после лечения этого файла он снова появлялся?

Да. При полном сканировании, а так же, если через правый клик мышки на данном файле запустить «проверить Dr.Web» (в режиме SafeMode) — файл автоматически перемещался в карантин с соответствующим оповещением (варианта «лечить», как и любого другого, антивирус не предлагал. Было бы что лечить ), но через секунду в директории Temp файл появлялся снова — с тем же именем и расширением, а Сканер уже вовсю шуршал дальше по списку, не оглядываясь назад . Попытки удаления данного файла «руками» заканчивались в этом режиме аналогично — файл прекрасно удалялся, но появлялся снова через секунду. В «обычном» режиме Windows (XP Prof SP3) Spider блокировал (но не удалял) этот файл в папке Temp, выдавая соответствующее сообщение, но после ребута файл был на своем месте. При проверке памяти никаких вирусов Dr.Web найдено не было.

То есть файл находился и лечился сканером, но тут же появлялся? И только после загрузки с внешнего носителя, удаления этого файла и обычной загрузки он перестал появлятся? Или после перезагрузки его все-таки можно было удалить вручную, и он не появлялся снова? Файл случаем не сохранился?

Возможно будет интересно :

Кроме этого файла никаких других зараженных при сканировании всего дискового пространства обнаружено не было

Никаких сторонних процессов в автозапуске (при просмотре JV16 PowerTools) не было [вполне возможна подмена какого-либо из системных, но я не вдавался в подробности, а детального описания по механизму данного вируса нигде не нашел]

Дополнительно реестр не изучал (Пятница ), но при запуске в SafeMode под резервной учетной записью с правами Администратора, ранее никогда не использовавшейся, — файл появлялся в папке Temp, как и под учеткой, словившей зверя. Учетка была с правами Администратора. В момент заражения SP3 не стоял (там с Интернетом беда — канал узенький совсем ).

После тупого удаления данного файла из-под альтернативной LiveCD руками — файл больше не появлялся ни в каком режиме, как и нечто, со сходным расширением, а по трафику не видно какой-либо активности вируса, хотя, возможно, она и не перманентная в принципе.

То есть файл находился и лечился сканером, но тут же появлялся? И только после загрузки с внешнего носителя, удаления этого файла и обычной загрузки он перестал появлятся? Или после перезагрузки его все-таки можно было удалить вручную, и он не появлялся снова? Файл случаем не сохранился?

Находился и лечился сканером в режиме SafeMode, но тут же появлялся, и только после загрузки с внешнего носителя и удаления этого файла перестал появляться. В «основном режиме Windows» файл удалить руками было нельзя — стояла блокировка, Dr.Web в обычном режиме его тоже удалить не мог.

Файл, к сожалению, не сохранился, а восстановить не смогу, скорее всего — изничтожил бесследно в истерическом припадке, а в конце перетрубаций сделал дефрагментацию диска … Но в Понедельник попробую еще раз пошукать — вдруг опять проявится. Если обнаружу — сразу же телеграфирую.

И еще, пожалуй,- привезли ко мне больного с диагнозом : «перестал у нас что-то обновляться Dr.Web», тогда еще 5.0, (при этом все основные модули Сканер, SG, SMail были активны и работоспособны, но при попытке обновления путем запуска программы обновления — обновление не начиналось, и диалоговое окно не появлялось; в автоматическом режиме, настроенном на интервал в 15 минут — аналогично) + большой паразитный трафик.

Причем даже со старой базой Вебер 5.0 предполагал наличие вируса в папке Temp — «возможно и тд» и предлагал выполнить одно из стандартных действий.

5.0 была деинсталирована полностью — с последующей установкой версии 6.0 (параметры настройки Эксплорера были сброшены перед этим на заводские с полной очисткой истории обзора и тд), после чего процесс обновления баз и модулей возобновился, ну и Винды были полностью обновлены (хоть мёртвые и не потеют).

А вот на Trojan.AuxSpy.137 было бы интересно посмотреть.

I’ll try to do my best, Борис (хоть и не могу обещать, увы ).

ps А на LiveCd от Dr.Web все-таки рассчитываю .

Докладываю, Борис — файл восстановить не удалось после дефрагментации, как и ожидалось.

Остался лишь вот такой лог сканера

[Проверяемый путь] C:
C:Documents and Settingsd500DoctorWebQuarantinenryk.bak инфицирован Trojan.AuxSpy.137 — неизлечим — перемещен
C:TEMPnryk.bak инфицирован Trojan.AuxSpy.137 — неизлечим — перемещен

Несколько вызвал вопрос вот такой момент — куда это он его переместил из папки карантин Вебера, вы не подскажете ? Насколлько я помню — раньше к объектам в папке Каринтин никаких действий сканером не предпринималось.

В реестре имеется вот такая запись по пути

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionDrivers32

Строковый параметр — midi9

Докладываю, Борис — файл восстановить не удалось после дефрагментации, как и ожидалось.

Жаль…

Остался лишь вот такой лог сканера
[Проверяемый путь] C:
C:Documents and Settingsd500DoctorWebQuarantinenryk.bak инфицирован Trojan.AuxSpy.137 — неизлечим — перемещен
C:TEMPnryk.bak инфицирован Trojan.AuxSpy.137 — неизлечим — перемещен
Несколько вызвал вопрос вот такой момент — куда это он его переместил из папки карантин Вебера, вы не подскажете ? Насколлько я помню — раньше к объектам в папке Каринтин никаких действий сканером не предпринималось.

Думаю, в карантин и переместил.
Вопрос: кто проверял — сканер или КуреИт? Если КуреИт, то он не должен проверять свой карантин. Если сканер, то он понятия не имеет про карантин КуреИта. Так что…

В реестре имеется вот такая запись по пути
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionDrivers32

Строковый параметр — midi9
Значение — C:TEMPnryk.bak 2nHAPKGEHD

ПОСЛЕ лечения?

В реестре имеется вот такая запись по пути
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionDrivers32

Строковый параметр — midi9
Значение — C:TEMPnryk.bak 2nHAPKGEHD

ПОСЛЕ лечения?

Да, сейчас удалил руками.

Гложат меня сомнения — деактивирован ли он полностью … На роутере пока не видно никаких попыток соединиться с этого айпи с кем-то из вне

Может это какой-то мутант со сходной сигнатурой с 137-ым ?

У вас есть описание алгоритма работы 137ого — я бы мог проверить некоторые моменты.

зы Какое принципиальное отличие между сканером и корытом ? Я один раз пользовался корытом, но не на этой машине — внешне программы очень сходны. На этой машине пользовался исключительно инсталлированным сканером, который, видимо, при запуске со стороннего Лив ЦД был воспринят в качестве корыта — тогда есть отличная возможность забрать перемещенный файл из карантина корыта, хотя тупой поиск по диску С, единственному в системе, не дал результата по данному названию.

Так же выполнил поиск всех имеющихся баков на компутере и проверил их сканером — вирусов не обнаружено

Проверил папку Систем32 со всеми вложенными — аналогично

Позвонил в удаленный офис и попросил посмотреть на оставшихся рабочих станциях наличие файла в папке Темп — нигде его не обнаружено, если имя уникально. Вирусные базы обновляются без проблем.

В реестре имеется вот такая запись по пути
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionDrivers32
Строковый параметр — midi9
Значение — C:TEMPnryk.bak 2nHAPKGEHD

ПОСЛЕ лечения?

Да, сейчас удалил руками.

ИМХО, бага с лечением. Жаль, что сэмпла нет.

У вас есть описание алгоритма работы 137ого — я бы мог проверить некоторые моменты.

Описания нет.

зы Какое принципиальное отличие между сканером и корытом ? Я один раз пользовался корытом, но не на этой машине — внешне программы очень сходны. На этой машине пользовался исключительно инсталлированным сканером, который, видимо, при запуске со стороннего Лив ЦД был воспринят в качестве корыта — тогда есть отличная возможность забрать перемещенный файл из карантина корыта, хотя тупой поиск по диску С, единственному в системе, не дал результата по данному названию.

КуреИт это и есть сканер с некоторой обвязкой и жестко прошитыми ключами комстроки.

Я понял, а карантин в Документс энд сеттингс и Инфектед в папке Веба — соответственно курыта и сканера ?

Попробую сейчас проверить машину … гммм … сторонним антивирусным пакетом, заслуживающим доверия (но Веб форева, разумеется ) — по результатам отпишусь.

Судя по тому, что обновленной версии ЛивЦД пока еще нет на фтп — парни работают над вопросом

2 borkaОнлайн проверка (максимально возможная) одним из, на мой потребительский взгляд, вполне достойных антивирусных пакетов не дала результата — pretty clean

Завтра (сегодня не получается) выполню проверку в качестве подключенного сетевого ресурса с компьютера, имеющего другой антивирусный пакет; а вот если и он ничего не отыщет — тады ой. Хотя подобная новость, на мой взгляд, будет значительно приятнее, чем найденное для исследований какое-либо тело

Я понял, а карантин в Документс энд сеттингс и Инфектед в папке Веба — соответственно курыта и сканера ?

Да.