Не видит radmin(services.exe)

[sergbt 0]

народ, ну это уже ни в какие ворота, вирус продолжает жить и здравствовать.

вычищается сканерами касперского и дрВеб, это так надо?

>sep 11.7101

>третий раз за неделю пропускает radmin (services.exe)

>у кого-то было?

подскажите куда копать.

[DaTa 182]

значит у Вас заражена внутреннея сеть. Проведите ручное удаление.

Для начала можете воспользоваться утилитой Symantec Power Eraser что входит в комплект Symantec Endpoint Protection Support tool. Можно скачать прямо с клиента SEP либо с ресурса Symantec http://www.symantec.com/business/support/i...p;id=TECH105414

[sergbt 0]

спасибо за быстрый ответ, только не совсем понятно что значит заражена внутренняя сеть?

этот вирус распространяется через съёмные носители и портит структуру каталогов на них.

почему его не обнаруживает SEP?

даже на той машине которая заведомо чиста.

[DaTa 182]

Потому что нету сигнатуры в базах. Можно еще провести сканирование загружаемых областей при помощи Load Point Analysis в SEP Support Tool.

Для этого поставте галку напротив Load Point Analysis. После окончания сканирования(будет длиться от 8 до 15 минут в зависимости от скорости ПК) скопируйте файлы с низким рейтингом(там будет соотв. кнопка) в отдельную папку, потом запакуйте ее в zip архив и отошлите в вирлаб желательно хотябы с Gold поддержки ибо на Retail(фактически без поддержки) они могут реагировать очень значительное время(иногда бывало до 2-х 3-х месяцев).

Если файлы действительно вредоносны, то скорее всего с последующим обновлением баз они начнут детектироваться клиентами SEP.

[sergbt 0]

я не устану Вас благодарить.

но видите-ли в чем дело, в сети более двух сотен машин SEPM и клиенты обновляются регулярно в автомате, ежедневно идет борьба со всякими другими зловредами, и надо сказать не без успеха (три раза тьху).

а именно этой сигнатуры почему-то нет

я уже полгода знаю как его вычищать, да и описан он уже, довольно подробно, более года как.

сканеры касперского и дрвеба его видят, установленный MS FEP аж взвивается, когда заходишь по сети на диск зараженной машины.

и только в SEP тишь да благодать.

поэтому и вопрос, может где-нить подкрутить чего?

[DaTa 182]

1. В разных продуктах базы разные; т.е. если что то детектит ЛК, Доктор.Веб или Майкрософт, это не значит что и Симантек тоже должен это детектить.

2. Самый простой способ - это сбор файлов с низким рейтингом(около 0) по классификации Симантек при помощи Load Point Analysis с последующей отправкой в вирлаб - они там разберуться что вредонос а что нет.

3. Приведите логи с описанием детектов ЛК, FEP, CureIT, либо хотя бы какой то один детект.

4. Приведите лог сканирования утилиты TDSSKiller(http://support.kaspersky.com/faq/?qid=208283363)

5. Приведите лог сформированый по пункту 3 ("Стандартные логи №3") AVZ.

Естественно все необходимые логи нужно собирать с зараженого ПК.

[sergbt 0]

я знаком с этими средствами, уважаемый WindowsNT, да и SEP, слава богу, довольно таки толково блокирует запуск со съёмных носителей.

что я уже и применил.

вопрос был в другом, почему симантек не реагирует?

хотя в то же время:

Worm.Win32.Radminer.d («Лаборатория Касперского») также известен как:

Mal/Behav-106 (Sophos)

Trojan:Win32/Dynamer!dtc (MS(OneCare))

Trojan.Radmin.13 (DrWeb)

Win32/Radmin.B trojan (Nod32)

Dropped:Trojan.Generic.5475307 (BitDef7)

FILE_BROKEN (VirusBuster)

RAR archive is corrupted (AVAST)

Win32:Trojan-gen (AVAST)

not-a-virus:RemoteAdmin.Win32.RAdmin.20 (Ikarus)

RemoteAdmin.BZD (AVG)

Malformed container violation (NAV)

NseCheckFile2() returned 0x00010018 (Norman)

Mal_OtorunN (TrendMicro)

FILE_BROKEN (VirusBusterBeta)

[Shell 301]

вопрос был в другом, почему симантек не реагирует?

в суппорт тело отослали?

Отправка подозрительных файлов на анализ в Symantec Security Response

Ссылки в зависимости от уровня поддержки

Поддержка уровня Basic

https://submit.symantec.com/websubmit/basic.cgi

Поддержка уровня Essential

https://submit.symantec.com/websubmit/essential.cgi

Поддержка уровня Business Critical Support (BCS)

https://submit.symantec.com/websubmit/bcs.cgi

[radamol 18]

в суппорт тело отослали?

Я отсылал с аналогичной проблемой. Вот ответ Симантека:

Files Submitted

Filename MD5 Determination

TMP.zip 54498ce9585dab9b769cfef377578033 Not a threat

AdmDll.dll d41d8cd98f00b204e9800998ecf8427e Not a threat

raddrv.dll d41d8cd98f00b204e9800998ecf8427e Not a threat

svchost.exe 22cc4a962b48fc3d1e143081534f7015 Remacc.Radmin

svcset.bat 007d00c081806a993154e0ece5036025 Not a threat

svcset.reg 716b62e7698bdbc699f1db12a60f0248 Trojan.Dropper

File Details

Please open the attached PDF file (22985072.pdf) to see the full details of the files in the submission.

Но файлы как были так и остались. И чистится только загрузившись с CD.

[Shell 301]

svcset.reg 716b62e7698bdbc699f1db12a60f0248 Trojan.Dropper

Спасибо, улыбнуло)))))

Предлагаю вот что сделать:

1) в качестве превентивной защиты если имя файлов не меняется - добавить в запрет на запуск и доступ к ним для любых приложений (внимание, могут быть глюки с эксплоурером при открытии папки).

2) все таки проверить что отключен автозапуск

3) открыть кейс по теме "не лечит вирус".

[sergbt 0]

Шелл, гигантессе в освоении СЕП, отдельное большое человеческое спасибо!

но сдвигов к сожалению нет.

не видит, хоть стреляйся.

при большом беспокойном хозяйстве, где не всегда есть возможность всё упорядочить до беспамятства, это начинает становиться проблемой.

[sergbt 0]

становиться - становится

блин, почему здесь нет редактирования постов?

пара пива, - и уже в расслабленном состоянии начинаешь редактировать свою врождённую грамотность

[sergbt 0]

Скажите, уважаемые, а ответ Симантека, приведенный выше, означает, что никакой надежды нет?

Дело в том, что простые меры не помогают.

Хитрый юзверь, которому не удалось открыть папку с флешки (на самом деле запустить вирус), просто копирует ее себе локально и тогда уже резвится сколь душе угодно.

[DaTa 182]

В последней версии SEP уже должен быть нормальный HIPS правда в домашних версиях он почему то пропускает не обрабатывает запускаемое файло с Рабочего стола и с флешек. Поэтому нащет его ефективности говорить ничего не буду.

Для этого лучше писать в саппорт либо отключить использование флешек вообще(если пользователи такие хитрые).

[Mr. Justice 771]

Оффтопик перемещен http://www.anti-malware.ru/forum/index.php...hl=Whitelisting

[radamol 18]

Кстати.

Проверьте не внесен ли R-Admin в список исключений в любом виде.

И рекомендую включить на клиентах управление приложениями с защитой от изменений реестра Shell и Userinit. Образец во вложении.

_______________________________________for_All__Shell_Userinit_.rar

_______________________________________for_All__Shell_Userinit_.rar