наиболее крутые вирусы случаи из жизн

[mikka 0]

Лечились такие зловреджные вещи только сканирвоанием из под DOS.

Особенно на разделах NTFS

А что под NTFS есть проблемы загрузиться Command Line и пролечиться, что сканеров, запускающихся из под командной строки нет что ли?

Подскажите пожалуйста утилиту или драйвер, который позволяет из-под DOS монтировать NTFS-разделы и осуществлять чтение и запись на них. Последние варианты подобного софта, которые мне попадались, были либо readonly, либо очень глючные, может я чего пропустил?

[Михаил Кондрашин 55]

Наиболее сложно на моем опыте удаляются те вирусы, которые сидят в системе как активные процессы (например, различные Trojan'ы или BackDoor'ы). Неоторые антивирусы просто не могут процессы останавливать

[skip]

Лечились такие зловреджные вещи только сканирвоанием из под DOS.

На самом деле, я лечил такое либо с помощью "диска спасения" (линуксовая дискета) Либо вынимая винт и вставляя его вторым на заведомо чистую систему

Это все применимо только для отдельного компьютера. Для зараженной корпоративной сети такой подход весьма накладен. Кроме упомянутой ниже проблемы с NTFS-разделами.

Для Trend Micro всю заразу автоматически вычищает специальный сервис (за отдельные деньги) Damage Cleanup Service, который и процесс убъет и реестр почистит и т.п. Лично для нас --- кто пользуется для защиты OfficeScan'ом с активированным DCS --- самый страшный вирус, это который не умеет вычищать DCS. Если мы такой вирус подхватим, то придется отправлять его образец в TrendLabs и подождать, когда они выпустят обновление. Поле этого вирус во всей сети будет уничтожен. Без необходимости создавать дискетки или CD и ходить по компьютерам.

У McAfee, насколько мне известно, все несколько менее автоматизировано, но результат такой же. Вручную загружается с сайта последняя версия stinger.exe и скармливается в ePolicy для запуска на всех системах. После чего можно расслабиться.

[Сергей Ильин 1538]

Для Trend Micro всю заразу автоматически вычищает специальный сервис (за отдельные деньги) Damage Cleanup Service, который и процесс убъет и реестр почистит и т.п. Лично для нас --- кто пользуется для защиты OfficeScan'ом с активированным DCS --- самый страшный вирус, это который не умеет вычищать DCS. Если мы такой вирус подхватим, то придется отправлять его образец в TrendLabs и подождать, когда они выпустят обновление. Поле этого вирус во всей сети будет уничтожен. Без необходимости создавать дискетки или CD и ходить по компьютерам.

У McAfee, насколько мне известно, все несколько менее автоматизировано, но результат такой же. Вручную загружается с сайта последняя версия stinger.exe и скармливается в ePolicy для запуска на всех системах. После чего можно расслабиться.

Конечно, если в сетка компов на уже чтобы пролечить каждый уйдет куча времени. Что говорить если их 1000

Damage Cleanup Service - интересный сервис, идея очень здравая, жаль только стоит он очень приличных денег.

Кстати, Михаил, можно ли его как-то попробовать до приобретения, есть ли какой-то тестовый период?

[Михаил Кондрашин 55]

Damage Cleanup Service - интересный сервис, идея очень здравая, жаль только стоит он очень приличных денег.

Эксклюзифф, понимашь...

Любопытно, но многие клиенты считают, что подобная функциональность самоочевидна для любого антивируса и не считают спарведливым, что Trend за нее берет дополнительные деньги. Есть и справедливая сторона: DCS существует в трех вариантах

1. Отдельный серверный продукт Damage Cleanup Server. Его можно использовать, если раб. станции и сервера защищены не Trend Micro OfficeScan

2. Сервис в составе Control Manager (централизованное управление). Как и предыдущий продукт здесь очистка работает для Windows NT/2000/XP/2003, если дать продукту реквизиты с администраторскими привелегиями

3. В составе Trend Micro OfficeScan

справедливость в том, что DCS во всех продуктах един в том смысле, что активируется единым кодом, что позволяет произвольно выбирать способ использования.

Кстати, Михаил, можно ли его как-то попробовать до приобретения, есть ли какой-то тестовый период?

Вы будете смеятся, но сама утилита очистки бесплатна и открыто доступна на сайте Trend Micro:

http://www.trendmicro.com/download/dcs.asp

Damage Cleanup Engine / Template - очистка

Sysclean - еще и традиционное сканирование всей системы

Деньги фактически берутся за средства автоматизированной доставки средств очиски до зараженных компьютеров и сбора результатов очиски, что очень важно в корпоративной сети.

Упомянутые выше продукты можно протестировать в течении 30 дней. Для этого есть сайт http://ru.trendmicro-europe.com/enterprise...oducts_down.php

P.S.

У McAfee стингер тоже бесплатен и открыто доступен http://vil.nai.com/vil/stinger/

[broker 30]

В случае уже имеющего заражения, по какому принципу будет работать этот сервис?

[broker 30]

Благодарю за интересный и полный ответ.

Как видно для самостоятельного лечения необходим ощутимый набор утилит. Нет ли в сети готового программного пакета, который мог бы все это делать?

Тут важно понимать, что в случае новой заразы Вам надо или на антивирус надеяться или на себя. Если Вы не знаете как бороться с вирусом, и нет связи с антивирусом.. ВОТ ВОПРОС!!!

Я обязательно протестирую предлагаемую утилиту. Но перед автоматизацией любого процесса, обязательно надо знать его алгоритм работы, для мозгов. Калькуляторы в первом классе не дают

Одна утилита это очень удобно, наличие сервиса от известного производителя великолепно.. НО в этом случае Ваша работа заключается в том, чтобы запустить сервис если он бессилен. что делать если сервис бессилен?

[Михаил Кондрашин 55]

В случае уже имеющего заражения, по какому принципу будет работать этот сервис?

Смотря в каком виде его использовать

1. Скачать с сайта DCE/DCT (Damage Cleanup Engine и Damage Cleanup Template --- фактически два файла tsc.exe и tsc.ptn). Скопировать в какой-нибудь каталог на зараженной машине и запустить tsc.exe

2. Из Damage Cleanup Server или Control Manager. Указать в продукте имя и пароь администратора для зараженной машины (Windows NT/2000/XP/2003) и создать задачу (task) очистки для данной машины (или группы машин). Кликнуть "Run task now".

3. Поставить OfficeScan и активировать в нем DCS. В этом случае ничего дополнительно делать не нужно --- DCS запустится автоматически.

[broker 30]

Принцип работы открыт?

[Михаил Кондрашин 55]

Принцип работы открыт?

DCS ищет известные процессы в памяти и "убивает" их. Удаляет известные ключи в реестре и записи в win.ini и system.ini. Удаляет известные файлы. Может быть еще кое-что.

[broker 30]

т.е только известные разработчикам, а если троян не известен.. то не обнаружит?

[Сергей Ильин 1538]

т.е только известные разработчикам, а если троян не известен.. то не обнаружит?

Конечно, нет. Насколько я понял Михаила, DCS не всю заразу может вычищать, возможна такая ситуация, что вирус детектиться, но DCS его не сможет вычистить.

[broker 30]

тогда мои рекомендации в силе и я могу их дополнить, и указать конкретные утилиты.

[Михаил Кондрашин 55]

т.е только известные разработчикам, а если троян не известен.. то не обнаружит?

Не в обнаружении дело, а в том, что он не просто обнаруживает, но и удаляет. Автоматически. Без всяких перезагрузок.

[Сергей Ильин 1538]

тогда мои рекомендации в силе и я могу их дополнить, и указать конкретные утилиты.

Было бы замечательно

[broker 30]

ситуация.

Новый троян-качалка, попадая в сеть, начинает заражать комп, туда подает хлам, с хламом приходят пара новых червей (работающих).

Черви начинают заражать сеть.

Ваша утилита молчит.

Действия защиты:

1. Определить метод заражения и метод размножения

2. Изолировать не заражённые компы.

3. Изобрести лекарство.

4. Начать лечение и вакцинацию.

5. Оценить уровень разрушений, начать восстановление.

Если it sec выделил вредоносный код, послал в тренд микро, через сколько времени утилита будет готова к использованию.

[Михаил Кондрашин 55]

ситуация.

Новый троян-качалка, попадая в сеть, начинает заражать комп, туда подает хлам, с хламом приходят пара новых червей (работающих).

Черви начинают заражать сеть.

Ваша утилита молчит.

Замечу, что отлов в Real-time, это не задача DCS. Для Real-time есть антивирусный монитор, что разуеется не исключает ситуации, описанной вами.

Действия защиты:

1. Определить метод заражения и метод размножения

2. Изолировать не заражённые компы.

3. Изобрести лекарство.

4. Начать лечение и вакцинацию.

5. Оценить уровень разрушений, начать восстановление.

Я не понял, что за список вы привели.

Если it sec выделил вредоносный код, послал в тренд микро, через сколько времени утилита будет готова к использованию.

Разработка обновления к DCS занимает различное время, в зависимости от типа заразы. Кроме определения ее функциональности (определить, что она меняет в системе, качает из Интернета, ...) нужно протестирвоать корректность работы (на всех версиях Windows!), а это требует огромного количества ресурсов. Для экстренных случаев, это занимает 2-4 часа.

[broker 30]

Я привёл список действий направленных на локализацию вирусной эпидемии внутри локальной сети.

[Михаил Кондрашин 55]

Я привёл список действий направленных на локализацию вирусной эпидемии внутри локальной сети.

Действий кого? Людей? Автоматики?

[VladB 60]

Лечились такие зловреджные вещи только сканирвоанием из под DOS.

Особенно на разделах NTFS

Простите, на разделах NTFS можно не только читать но и писать Просто запускать при этом нужно сканер (без монитора, памяти не хватит). А дрйвер для писания (чтения) - NTFSDOS Pro (нужен конечно ключ, но это не большая проблема).

А вообще-то большинство дисков спасения - из под Linux или Win Lite (соответствующий образ ХР, работающий с CD делал еще года два назад. Ставил на него DrWeb или UNA), а базы для UNA - писал прямо на зараженный комп.

[broker 30]

совместных.

[broker 30]

Лечились такие зловреджные вещи только сканирвоанием из под DOS.

Особенно на разделах NTFS

Простите, на разделах NTFS можно не только читать но и писать Просто запускать при этом нужно сканер (без монитора, памяти не хватит). А дрйвер для писания (чтения) - NTFSDOS Pro (нужен конечно ключ, но это не большая проблема).

А вообще-то большинство дисков спасения - из под Linux или Win Lite (соответствующий образ ХР, работающий с CD делал еще года два назад. Ставил на него DrWeb или UNA), а базы для UNA - писал прямо на зараженный комп.

В чём проблема диск снять и подключить к "здоровому" компьютеру такой же ОС, с обновлённым антивирусом?

[VladB 60]

Иногда вообще-то компьютеры гарантийные опечатывают для соблюдения гарантии

[broker 30]

Дк тогда везите в сервисный центр, если он запломбирован или пусть специалист оттуда приезжает.. или гарантия только на железо?

[VladB 60]

Дк тогда везите в сервисный центр, если он запломбирован или пусть специалист оттуда приезжает.. или гарантия только на железо?

На железо естественно

[ANTISIMIT 0]

В случае уже имеющего заражения, по какому принципу будет работать этот сервис?

Смотря в каком виде его использовать

1. Скачать с сайта DCE/DCT (Damage Cleanup Engine и Damage Cleanup Template --- фактически два файла tsc.exe и tsc.ptn). Скопировать в какой-нибудь каталог на зараженной машине и запустить tsc.exe

2. Из Damage Cleanup Server или Control Manager. Указать в продукте имя и пароь администратора для зараженной машины (Windows NT/2000/XP/2003) и создать задачу (task) очистки для данной машины (или группы машин). Кликнуть "Run task now".

3. Поставить OfficeScan и активировать в нем DCS. В этом случае ничего дополнительно делать не нужно --- DCS запустится автоматически.

где скачать се утиль?, и еще почему не кто не говорит про россиские утилиты и антивирусы?