Перейти к содержанию
Kokunov Aleksey

Столкнутся с вирусом Worm.Win32.Viking.iy, есть проблемы...

Recommended Posts

Kokunov Aleksey

Я так понимаю, что КИС 125 не умеет лечить файлы, зараженные этим вирусом...

Подскажите, как можно восстановить все?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

А если прислать на ньювирус пару зараженных файлов и спросить, возможно ли их лечение?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
Я так понимаю, что КИС 125 не умеет лечить файлы, зараженные этим вирусом...

На чем основано?

Еще есть "Бесплатная лечащая утилита Dr.Web CureIt!":

ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

И можно попросить помощи тут:

http://virusinfo.info/showthread.php?t=1235

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

SuperBrat

Думаю, на том, что Алексей пробовал скормить эти файлы, а КИС предложил их удалить. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat

Если полезный файл удаляется зловредом и вместо него записывается копия вируса, то такие файлы не вылечишь, т.к. они уже бесполезны.

А вот если полезный файл остается, а вирус свой код как бы пристегивает, то такие файлы лечатся удалением вредоносной добавки. Но я не думаю, что KAV (KIS) не в курсе. Есть сигнатура, то все лечится-удаляется по ситуации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

:) ага :)

Щас проверка закончится, запущу куреит....

Добавлено спустя 2 минуты 10 секунд:

Если полезный файл удаляется зловредом и вместо него записывается копия вируса, то такие файлы не вылечишь, т.к. они уже бесполезны.

А вот если полезный файл остается, а вирус свой код как бы пристегивает, то такие файлы лечатся удалением вредоносной добавки. Но я не думаю, что KAV (KIS) не в курсе. Есть сигнатура, то все лечится-удаляется по ситуации.

Я не зря написал название вируса, у меня стоит в настройках "лечить, еслинельзя - удалять". Я вот и задал вопрос можно ли вылечить от этого червя файлы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Kokunov Aleksey

Поставьте запрос по окончанию и натравите на одни файл. Результат сами увидите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Лечение для Viking.iy реализовано с 11 марта 2007 года.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

это скрины

а не кому экземпляр не надо?

Кстате, при лечении кисом остались файлы "_desktop.ini"

kis125.JPG

cureit.JPG

post-3279-1198649902.jpg

post-1-1198649902.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit

Остались файлы "_desktop.ini"...

Кому, скажите, нужны они?

уж не содержат опасный код.

На память вам остались. Вот... :D

Добавлено спустя 45 минут 33 секунды:

Викинг нормально лечится. "_desktop.ini" - безобидный продукт деятельности вируса, мусор с датами (посмотрите его содержимое в текстовом редакторе). Только подход к таким файлам разный. Продукты от DRWeb удаляют "_desktop.ini", называя его вирусом (очевидно, в благих целях, чтоб всякого мусора не оставалось), а продукты ЛК оставляют, т.к. в них нет ничего вредоносного.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Напишите на ньювирус поисьмо, где укажите название зловреда и приложите этот ини-файл. В теме укажите, что неполное лечение.

Тогда и Касперский будет удалять его.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey
Лечение для Viking.iy реализовано с 11 марта 2007 года.
Викинг нормально лечится.

Обратите внимание на мое сообщение с картинками!!!

"_desktop.ini" - безобидный продукт деятельности вируса, мусор с датами (посмотрите его содержимое в текстовом редакторе). Только подход к таким файлам разный. Продукты от DRWeb удаляют "_desktop.ini", называя его вирусом (очевидно, в благих целях, чтоб всякого мусора не оставалось), а продукты ЛК оставляют, т.к. в них нет ничего вредоносного.

Я вот тоже считаю что мусор от вируса тоже надо удалять!

Хотелось бы что б ЛК тоже так считала....

Напишите на ньювирус поисьмо, где укажите название зловреда и приложите этот ини-файл. В теме укажите, что неполное лечение.

Тогда и Касперский будет удалять его.

Сделаю, сделаю! :) Просто пока еще до компа не могу добраться - он у меня домашний... Времени не хватает...

Так ни кто мне не скажет, почему и кис и куреит не смог вылечить эти файлы? Не кому не надо зареженный файл? Может подскажите?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Размер удаляемых файлов - одинаковый?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

хм.... мда...

Удаляются только "_desktop.ini" - мне на них без разницы....

Все ЕХЕ-шники складываются в резервное хранилище..

Размер удаляемых файлов - одинаковый?

Вы что имели в виду?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Вы что имели в виду?

Имел ввиду, что возможно файлы не заражены. Некоторые малвары подобного типа (конкретно этот не смотрел) пере записывают своей копией файлы в каталогах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

если я правильно помню, то оригинал этого файла (файл описания дирректории) пишется "desktop.ini" - т.е. без "_"

Так что все правильно удаляется... Бегло пробежавшись по нектороым - там даты стоят

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Речь идет об исполняемых файлах, как я понял.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Продукты от DRWeb удаляют "_desktop.ini", называя его вирусом (очевидно, в благих целях, чтоб всякого мусора не оставалось), а продукты ЛК оставляют, т.к. в них нет ничего вредоносного.

Я вот тоже считаю что мусор от вируса тоже надо удалять!

Хотелось бы что б ЛК тоже так считала....

А потом одни кричат, что они "мусор" не детектируют, и тычут пальцем в Касперского за детект битых файлов.

ну ну...

Добавлено спустя 1 минуту 46 секунд:

Лечение для Viking.iy реализовано с 11 марта 2007 года.
Викинг нормально лечится.

Обратите внимание на мое сообщение с картинками!!!

Файлы _зараженные_ Viking.iy - ЛЕЧАТСЯ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
kis125_105.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
А потом одни кричат, что они "мусор" не детектируют, и тычут пальцем в Касперского за детект битых файлов.

Битые файлы и этот _desktop.ini - это разные вещи.

Детектируются _только_ _desktop.ini, которые создаёт данный вирус. Больше никто таких файлов не создаёт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
А потом одни кричат, что они "мусор" не детектируют, и тычут пальцем в Касперского за детект битых файлов.

Битые файлы и этот _desktop.ini - это разные вещи.

Детектируются _только_ _desktop.ini, которые создаёт данный вирус. Больше никто таких файлов не создаёт.

Для объяснения этого факта надо понимать ЧТО антивирусная программа Dr.Web определяет как вирус, а что нет. Не вдаваясь в технические детали, можно сказать, что вирусом разработчики Dr.Web считают работоспособные, то есть, способные нанести реальный вред компьютерные программы. В вирусную базу Dr.Web никогда не вносятся так называемые «битые» вирусы, неработоспособные коды, что делается некоторыми другими антивирусными вендорами.

Если код не рабочий и ни при каких условиях не может быть запущен - это не вирус, не троянская программа - это вообще НИЧТО, а значит, не несет в себе вреда и, как правило, не вносится в вирусную базу Dr.Web.

Добавлено спустя 1 минуту 21 секунду:

kis125_105.jpg

Иван, скажите, у вас в системе есть файл winword1.exe ?

А должен быть ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

у меня нет, но оснований особо не доверять голд бета тестеру касперского http://forum.kaspersky.com/index.php?showt...mp;#entry509399 у меня тоже нет

впрочем если это тонкий намек на то, что этот файл и лечить нечего ибо он ничего общего с вордом не имеет, то понять этот намек простому смертному тяжко :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

а по-моему, все достаточно очевидно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

Так, для тех кто в танке:

Файл был восстановлен без участия гуру...

Файлы _зараженные_ Viking.iy - ЛЕЧАТСЯ.

Но мне было интересно что те самые гуру ответят - в результате из хранилища был восстановлен в католог удаления файл винворт, но так как я уже восстановил исходный файл место было занято, поэтому пришлось добавить цифру "1" чтоб был что показать гуру диалог с сообщением...

Я так понял что гуру не поняли... я не пытаюсь никого обмануть...

Битые файлы и этот _desktop.ini - это разные вещи.

Детектируются _только_ _desktop.ini, которые создаёт данный вирус. Больше никто таких файлов не создаёт.

Посмотрите на эту картинку:

cureit_445.jpg

Там есть файлы которые идут под грифом "неизлечимо - перемещено"

Я не акцентировал вопрос на мусоре!

Я еще раз повторяю, может мне досталась вря которая портит файлы при заражении, никто не может что ли посмотреть и сказать можно ли восстановить зареженные файлы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Я не акцентировал вопрос на мусоре!

Зато А. акцентрировал. Ему и отвечал.

На Ваш вопрос ответить не могу, ибо с этим вирусом возиться не приходилось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×