ANTISIMIT

наиболее крутые вирусы случаи из жизн

В этой теме 62 сообщений

Лечились такие зловреджные вещи только сканирвоанием из под DOS.

Особенно на разделах NTFS :lol:

А что под NTFS есть проблемы загрузиться Command Line и пролечиться, что сканеров, запускающихся из под командной строки нет что ли?

Подскажите пожалуйста утилиту или драйвер, который позволяет из-под DOS монтировать NTFS-разделы и осуществлять чтение и запись на них. Последние варианты подобного софта, которые мне попадались, были либо readonly, либо очень глючные, может я чего пропустил?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Наиболее сложно на моем опыте удаляются те вирусы, которые сидят в системе как активные процессы (например, различные Trojan'ы или BackDoor'ы). Неоторые антивирусы просто не могут процессы останавливать :(

[skip]

Лечились такие зловреджные вещи только сканирвоанием из под DOS.

На самом деле, я лечил такое либо с помощью "диска спасения" (линуксовая дискета) Либо вынимая винт и вставляя его вторым на заведомо чистую систему

Это все применимо только для отдельного компьютера. Для зараженной корпоративной сети такой подход весьма накладен. Кроме упомянутой ниже проблемы с NTFS-разделами.

Для Trend Micro всю заразу автоматически вычищает специальный сервис (за отдельные деньги) Damage Cleanup Service, который и процесс убъет и реестр почистит и т.п. Лично для нас --- кто пользуется для защиты OfficeScan'ом с активированным DCS --- самый страшный вирус, это который не умеет вычищать DCS. Если мы такой вирус подхватим, то придется отправлять его образец в TrendLabs и подождать, когда они выпустят обновление. Поле этого вирус во всей сети будет уничтожен. Без необходимости создавать дискетки или CD и ходить по компьютерам.

У McAfee, насколько мне известно, все несколько менее автоматизировано, но результат такой же. Вручную загружается с сайта последняя версия stinger.exe и скармливается в ePolicy для запуска на всех системах. После чего можно расслабиться.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Для Trend Micro всю заразу автоматически вычищает специальный сервис (за отдельные деньги) Damage Cleanup Service, который и процесс убъет и реестр почистит и т.п. Лично для нас --- кто пользуется для защиты OfficeScan'ом с активированным DCS --- самый страшный вирус, это который не умеет вычищать DCS. Если мы такой вирус подхватим, то придется отправлять его образец в TrendLabs и подождать, когда они выпустят обновление. Поле этого вирус во всей сети будет уничтожен. Без необходимости создавать дискетки или CD и ходить по компьютерам.

У McAfee, насколько мне известно, все несколько менее автоматизировано, но результат такой же. Вручную загружается с сайта последняя версия stinger.exe и скармливается в ePolicy для запуска на всех системах. После чего можно расслабиться.

Конечно, если в сетка компов на уже чтобы пролечить каждый уйдет куча времени. Что говорить если их 1000 :(

Damage Cleanup Service - интересный сервис, идея очень здравая, жаль только стоит он очень приличных денег.

Кстати, Михаил, можно ли его как-то попробовать до приобретения, есть ли какой-то тестовый период?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Damage Cleanup Service - интересный сервис, идея очень здравая, жаль только стоит он очень приличных денег.

Эксклюзифф, понимашь...

Любопытно, но многие клиенты считают, что подобная функциональность самоочевидна для любого антивируса и не считают спарведливым, что Trend за нее берет дополнительные деньги. Есть и справедливая сторона: DCS существует в трех вариантах

1. Отдельный серверный продукт Damage Cleanup Server. Его можно использовать, если раб. станции и сервера защищены не Trend Micro OfficeScan

2. Сервис в составе Control Manager (централизованное управление). Как и предыдущий продукт здесь очистка работает для Windows NT/2000/XP/2003, если дать продукту реквизиты с администраторскими привелегиями

3. В составе Trend Micro OfficeScan

справедливость в том, что DCS во всех продуктах един в том смысле, что активируется единым кодом, что позволяет произвольно выбирать способ использования.

Кстати, Михаил, можно ли его как-то попробовать до приобретения, есть ли какой-то тестовый период?

Вы будете смеятся, но сама утилита очистки бесплатна и открыто доступна на сайте Trend Micro:

http://www.trendmicro.com/download/dcs.asp

Damage Cleanup Engine / Template - очистка

Sysclean - еще и традиционное сканирование всей системы

Деньги фактически берутся за средства автоматизированной доставки средств очиски до зараженных компьютеров и сбора результатов очиски, что очень важно в корпоративной сети.

Упомянутые выше продукты можно протестировать в течении 30 дней. Для этого есть сайт http://ru.trendmicro-europe.com/enterprise...oducts_down.php

P.S.

У McAfee стингер тоже бесплатен и открыто доступен http://vil.nai.com/vil/stinger/

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В случае уже имеющего заражения, по какому принципу будет работать этот сервис?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Благодарю за интересный и полный ответ.

Как видно для самостоятельного лечения необходим ощутимый набор утилит. Нет ли в сети готового программного пакета, который мог бы все это делать?

Тут важно понимать, что в случае новой заразы Вам надо или на антивирус надеяться или на себя. Если Вы не знаете как бороться с вирусом, и нет связи с антивирусом.. ВОТ ВОПРОС!!!

Я обязательно протестирую предлагаемую утилиту. Но перед автоматизацией любого процесса, обязательно надо знать его алгоритм работы, для мозгов. Калькуляторы в первом классе не дают :)

Одна утилита это очень удобно, наличие сервиса от известного производителя великолепно.. НО в этом случае Ваша работа заключается в том, чтобы запустить сервис :( если он бессилен. что делать если сервис бессилен?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В случае уже имеющего заражения, по какому принципу будет работать этот сервис?

Смотря в каком виде его использовать

1. Скачать с сайта DCE/DCT (Damage Cleanup Engine и Damage Cleanup Template --- фактически два файла tsc.exe и tsc.ptn). Скопировать в какой-нибудь каталог на зараженной машине и запустить tsc.exe

2. Из Damage Cleanup Server или Control Manager. Указать в продукте имя и пароь администратора для зараженной машины (Windows NT/2000/XP/2003) и создать задачу (task) очистки для данной машины (или группы машин). Кликнуть "Run task now".

3. Поставить OfficeScan и активировать в нем DCS. В этом случае ничего дополнительно делать не нужно --- DCS запустится автоматически.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Принцип работы открыт?

DCS ищет известные процессы в памяти и "убивает" их. Удаляет известные ключи в реестре и записи в win.ini и system.ini. Удаляет известные файлы. Может быть еще кое-что.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

т.е только известные разработчикам, а если троян не известен.. то не обнаружит?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
т.е только известные разработчикам, а если троян не известен.. то не обнаружит?

Конечно, нет. Насколько я понял Михаила, DCS не всю заразу может вычищать, возможна такая ситуация, что вирус детектиться, но DCS его не сможет вычистить.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

тогда мои рекомендации в силе и я могу их дополнить, и указать конкретные утилиты.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
т.е только известные разработчикам, а если троян не известен.. то не обнаружит?

Не в обнаружении дело, а в том, что он не просто обнаруживает, но и удаляет. Автоматически. Без всяких перезагрузок.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
тогда мои рекомендации в силе и я могу их дополнить, и указать конкретные утилиты.

Было бы замечательно :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ситуация.

Новый троян-качалка, попадая в сеть, начинает заражать комп, туда подает хлам, с хламом приходят пара новых червей (работающих).

Черви начинают заражать сеть.

Ваша утилита молчит.

Действия защиты:

1. Определить метод заражения и метод размножения

2. Изолировать не заражённые компы.

3. Изобрести лекарство.

4. Начать лечение и вакцинацию.

5. Оценить уровень разрушений, начать восстановление.

Если it sec выделил вредоносный код, послал в тренд микро, через сколько времени утилита будет готова к использованию.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ситуация.

Новый троян-качалка, попадая в сеть, начинает заражать комп, туда подает хлам, с хламом приходят пара новых червей (работающих).

Черви начинают заражать сеть.

Ваша утилита молчит.

Замечу, что отлов в Real-time, это не задача DCS. Для Real-time есть антивирусный монитор, что разуеется не исключает ситуации, описанной вами.

Действия защиты:

1. Определить метод заражения и метод размножения

2. Изолировать не заражённые компы.

3. Изобрести лекарство.

4. Начать лечение и вакцинацию.

5. Оценить уровень разрушений, начать восстановление.

Я не понял, что за список вы привели.

Если it sec выделил вредоносный код, послал в тренд микро, через сколько времени утилита будет готова к использованию.

Разработка обновления к DCS занимает различное время, в зависимости от типа заразы. Кроме определения ее функциональности (определить, что она меняет в системе, качает из Интернета, ...) нужно протестирвоать корректность работы (на всех версиях Windows!), а это требует огромного количества ресурсов. Для экстренных случаев, это занимает 2-4 часа.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я привёл список действий направленных на локализацию вирусной эпидемии внутри локальной сети.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я привёл список действий направленных на локализацию вирусной эпидемии внутри локальной сети.

Действий кого? Людей? Автоматики?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Лечились такие зловреджные вещи только сканирвоанием из под DOS.

Особенно на разделах NTFS :lol:

Простите, на разделах NTFS можно не только читать но и писать :) Просто запускать при этом нужно сканер (без монитора, памяти не хватит). А дрйвер для писания (чтения) - NTFSDOS Pro (нужен конечно ключ, но это не большая проблема).

А вообще-то большинство дисков спасения - из под Linux или Win Lite (соответствующий образ ХР, работающий с CD делал еще года два назад. Ставил на него DrWeb или UNA), а базы для UNA - писал прямо на зараженный комп.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Лечились такие зловреджные вещи только сканирвоанием из под DOS.

Особенно на разделах NTFS :lol:

Простите, на разделах NTFS можно не только читать но и писать :) Просто запускать при этом нужно сканер (без монитора, памяти не хватит). А дрйвер для писания (чтения) - NTFSDOS Pro (нужен конечно ключ, но это не большая проблема).

А вообще-то большинство дисков спасения - из под Linux или Win Lite (соответствующий образ ХР, работающий с CD делал еще года два назад. Ставил на него DrWeb или UNA), а базы для UNA - писал прямо на зараженный комп.

В чём проблема диск снять и подключить к "здоровому" компьютеру такой же ОС, с обновлённым антивирусом?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Иногда вообще-то компьютеры гарантийные опечатывают для соблюдения гарантии

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Дк тогда везите в сервисный центр, если он запломбирован или пусть специалист оттуда приезжает.. или гарантия только на железо?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Дк тогда везите в сервисный центр, если он запломбирован или пусть специалист оттуда приезжает.. или гарантия только на железо?

На железо естественно

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В случае уже имеющего заражения, по какому принципу будет работать этот сервис?

Смотря в каком виде его использовать

1. Скачать с сайта DCE/DCT (Damage Cleanup Engine и Damage Cleanup Template --- фактически два файла tsc.exe и tsc.ptn). Скопировать в какой-нибудь каталог на зараженной машине и запустить tsc.exe

2. Из Damage Cleanup Server или Control Manager. Указать в продукте имя и пароь администратора для зараженной машины (Windows NT/2000/XP/2003) и создать задачу (task) очистки для данной машины (или группы машин). Кликнуть "Run task now".

3. Поставить OfficeScan и активировать в нем DCS. В этом случае ничего дополнительно делать не нужно --- DCS запустится автоматически.

где скачать се утиль?, и еще почему не кто не говорит про россиские утилиты и антивирусы?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Компания «СёрчИнформ» интегрировала технологию экспертизы цифровых изображений Oz PhotoExpert в DLP-систему «КИБ Сёрчинформ». Новый модуль ImageControl в режиме реального времени проверяет изображения на подлинность по заданным условиям и предупреждает о том, что изображение было отредактировано. Читать далее
    • Исследователи обнаружили критическую уязвимость в почтовом клиенте с открытым исходным кодом Roundcube. Она позволяет выполнить произвольные команды на системе, просто отправив электронное письмо. Читать далее
    • Под слежкой американских спецслужб на протяжении более десяти лет находились пассажиры французской авиакомпании Air France. Технические возможности позволяли получать информацию в режиме реального времени, сообщает газета Le Monde со ссылкой на архивные материалы перебежчика Эдварда Сноудена. Читать далее
    • santy exiland-soft.com/ru/organizer-screen0.html   Что же здесь есть полезного ? 1) Пометить цветом  ( чтобы не терять объект  из вида ) ( или цвет объекта будет сопряжён с его статусом )
      2) Включить в группу > Переместить в группу.
      3) Добавить закладку ( повторная работа с образом и т.д )...
      4) Быстрый и детальный сквозной поиск по всем разделам
      Например записи относящиеся к  Tencent  ( они могут быть в разных колонках )
      Колонки: путь к файлу\производитель...
      А так один запрос разом по нескольким колонкам и мы получим полный список где есть Tencent 5) Выделить всё ( работа со всеми выделенными объектами ) - применяем фильтр и после этого все объекты выделяем. ( с возможностью выбора действия по всем выделенным объектам )  
    • На этой неделе Google выпустили набор ежемесячных патчей для Android. В нем исправлены 74 бреши в безопасности, 11 из которых отнесены к категории критических. В этом месяце Google разделили обновления на две части, первая часть 2016-12-01 включает в себя исправление 16 брешей в безопасности (10 высокой степени риска, 6 средней), вторая часть 2016-12-05 включает 58 патчей (11 критических, 33 высокой степени риска и 14 средней степени). Читать далее