Перейти к содержанию

Recommended Posts

Олег777

Валерий! Не далее как вчера столкнулся с вирусом, блокирующим определенные сайты: одноклассники, мэйл.ру, яндекс и вконтакте. Попросила помочь преподаватель по бальным танцам (грешен, учусь красиво танцевать в свои 32 года...).

Так вот: DrWEb 5.0 вирус честно поймал и прибил (лечение активной угрозы), но сайты все равно не открывались.

Вылечил ручками путем редактирования файла hosts (там как раз таки были прописаны блокируемые сайты).

Посему возник вопрос: а разве лечение активного заражения не подразумевает возврат системы в исходное состояние до момента вирусного воздействия?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Олег777

Это делается на уровне сигнатур. Т.е. Продукт должен был взять из сигнатур сведения о том, что вредонос правит hosts и восстановить его. Значит, либо продукт в принципе не умеет восстанавливать хотябы исходный hosts, либо вирлаб упустил эту особенность зверька. Но сие не относится к интервью, потому переедем в вендорный раздел

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent
Олег777

Это делается на уровне сигнатур. Т.е. Продукт должен был взять из сигнатур сведения о том, что вредонос правит hosts и восстановить его. Значит, либо продукт в принципе не умеет восстанавливать хотябы исходный hosts, либо вирлаб упустил эту особенность зверька. Но сие не относится к интервью, потому переедем в вендорный раздел

...либо зверек был отловлен Ориджином, скажем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Валерий! Не далее как вчера столкнулся с вирусом, блокирующим определенные сайты: одноклассники, мэйл.ру, яндекс и вконтакте. Попросила помочь преподаватель по бальным танцам (грешен, учусь красиво танцевать в свои 32 года...).

Так вот: DrWEb 5.0 вирус честно поймал и прибил (лечение активной угрозы), но сайты все равно не открывались.

Вылечил ручками путем редактирования файла hosts (там как раз таки были прописаны блокируемые сайты).

Посему возник вопрос: а разве лечение активного заражения не подразумевает возврат системы в исходное состояние до момента вирусного воздействия?

У большинства пользователей hosts-файл является пустым, но это не всегда так. Встречный вопрос -- каким образом антивирус "знает" (должен знать) состояние hosts-файла до его изменения в следствие работы вредоносного кода? Допустим, есть hosts-файл (непустой) со списком заблокированных пользователем сайтов. Происходит заражение, вредоносная программа добавляет в hosts-файл свои записи. Как антивирус должен знать, какие записи удалять, а какие оставить или он просто должен восстанавливать hosts-файл в пустом виде?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

K_Mikhail

Потому применяется восстановление дефолтного hosts. Что всяко лучше, чем его игнорирование. В принципе, можно в сигнатуре указать, какие сайты прописывает вредонос и откатывать только эти записи, но овчинка выделки не стоит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
K_Mikhail

Потому применяется восстановление дефолтного hosts. Что всяко лучше, чем его игнорирование. В принципе, можно в сигнатуре указать, какие сайты прописывает вредонос и откатывать только эти записи, но овчинка выделки не стоит.

Я против такого лечения непосредственно антивирусом, хотя для основной массы оно годится, хотя бы потому, что она даже не подозревает о существовании такого файла. Подобный функционал должен быть вынесен во вспомогательные диагностические утилиты -- AVZ (есть такой функционал) и разрабатываемый DwShark, в котором этот функционал ещё не реализован, но feature request на это висит.

Честно сказать, если бы антивирус, в результате лечения, улучшил бы мне hosts-файл до дефолтного, и мне пришлось бы свои записи восстанавливать вручную, я бы такой антивирус отправил бы подальше с диска.

ЗЫЖ Хоть мне антивирус, по сути, и не нужен, но копию hosts-файла храню. :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

K_Mikhail

Поднимать запрос на восстановление host. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
K_Mikhail

Поднимать запрос на восстановление host. ;)

"Антивирус собирается улучшить ваш hosts-файл до дефолтного! Продолжить? [Y\N]" ? ;)

Опять же, повторюсь, хотя для основной массы оно годится, хотя бы потому, что она даже не подозревает о существовании такого файла, но моё мнение -- правкой hosts-файла должен заниматься либо лично пользователь (если он понимает, что делает), либо саппорт в лице конкретного вендора или virusinfo. Т.е. специалист.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arakcheev
Валерий! Не далее как вчера столкнулся с вирусом, блокирующим определенные сайты: одноклассники, мэйл.ру, яндекс и вконтакте. Попросила помочь преподаватель по бальным танцам (грешен, учусь красиво танцевать в свои 32 года...).

Так вот: DrWEb 5.0 вирус честно поймал и прибил (лечение активной угрозы), но сайты все равно не открывались.

Вылечил ручками путем редактирования файла hosts (там как раз таки были прописаны блокируемые сайты).

Посему возник вопрос: а разве лечение активного заражения не подразумевает возврат системы в исходное состояние до момента вирусного воздействия?

А что делает каспер в подобном случае?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Arakcheev

Поднимает алерт с предложением восстановить hosts. Это AVPTool в 7-ке, за 8-ку не знаю. Возможно в автоматическом режиме она алерт не поднимает, а сразу восстанавливает.

Нет, я не знаю, восстанавливает стандартный или убирает записи вредоноса. Думаю, что все-таки стандартный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев
Не далее как вчера столкнулся с вирусом, блокирующим определенные сайты: одноклассники, мэйл.ру, яндекс и вконтакте. Попросила помочь преподаватель по бальным танцам (грешен, учусь красиво танцевать в свои 32 года...).

Так вот: DrWEb 5.0 вирус честно поймал и прибил (лечение активной угрозы), но сайты все равно не открывались.

Вылечил ручками путем редактирования файла hosts (там как раз таки были прописаны блокируемые сайты).

Посему возник вопрос: а разве лечение активного заражения не подразумевает возврат системы в исходное состояние до момента вирусного воздействия?

Какой вердикт вам вынес Др.Вэб? Как назвал данную заразу?

Далее вопрос - вы устанавливали др.вэб на зараженную машину или использовали cure-it? и далее интересует вопрос - какой тип сканирования был произведен - полное или быстрая проверка? Было ли отключено восстановление системы?

Я вот не исключаю такого момента, что после того как было проведено быстрое сканирование, один из семлов (лежавших где-нить в другом месте, даже например на флешке) после лечения и перезагрузки, смог опять активизироваться и поправить hosts.

P.S. считаю, что топик нужно рассматривать как конкретный случай заражения и лечения, перенести в сопутствующий форум, и изменить шапку топика (напр.: Dr.Web :: Лечение Shadow)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Ребят, а у меня вот такой вопрос. Один знакомый недавно списался со мной, просил помочь избавиться от такой гадости, как AdSubscribe. Ну, недолго думая, дал ему ссылку на CureIt, он ее применил, все путем. Но - в реестре остались записи, и пришлось удалять вручную, тупым поиском по слову. Вот и хочу спросить: если уж Web не чистит реестр от записей зловредов, то... а ведь чего проще: механический поиск и удаление. Почему такая простая и явная вещь не предусмотрена в антивирусах?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Почему такая простая и явная вещь не предусмотрена в антивирусах?

Кое-кто из форумчан по этому поводу высказался прямо и точно: "Потому что антивирус Dr.Web - это не твикер". :)

А жаль, правда? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla
Кое-кто из форумчан по этому поводу высказался прямо и точно: "Потому что антивирус Dr.Web - это не твикер".

А причём тут твикер, не твикер? Тем более это же доктор, должен лечить, причём с корнем..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arakcheev

А он и лечит с корнем. Ссылки в реестре удаляются, если на них прямо ссылается вредоносный файл. А косвенные ссылки могут и остаться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Curtismab
      Неотразимые мягкие места в уборной выставляют дивчины https://devkis.net на развратных фотках
    • Dmitrius
      БигПикча новости в фотографиях Бигпикча – это уникальный портал, который предлагает ознакомиться с самыми интересными и увлекательными новостями. Они понравятся каждому, кто всегда желает держать руку на пульсе и быть в курсе последних новостей, событий в мире. Этот портал уникален тем, что все материалы сопровождаются красочной фотографией для наглядности. Сайт приковывает к себе внимание с самых первых минут. Его хочется постоянно рассматривать, наслаждаться интересной подачей материала. Над его созданием трудились лучшие авторы, настоящие эксперты в своем деле, которые преподносят информацию таким образом, чтобы она понравилась людям любого возраста и независимо от социального положения. На bigpicture.ru только интересные, яркие новости на самые злободневные темы, а потому вы обязательно найдете что-то стоящее для себя. Есть любопытные статьи про животных, людей, еду, оригинальные вещи. Имеются факты, а также топы, которые интересно пересматривать вновь. Администрация сайта регулярно выкладывает статьи, которые помогут взглянуть на привычные вещи под другим углом. Если и вы хотите развлечься после трудового дня или в выходной, то скорей заходите на этот сайт, который знает, что вам предложить, чтобы разнообразить досуг и сделать его ярким, насыщенным. Авторы умеют удивлять, поэтому при составлении контента учитываются интересы всех читателей. Рассматриваются факты, о которых раньше вы даже не догадывались. Они прольют свет на многие вопросы. Новости в фотографиях, увлекательные путешествия, истории, лонгриды и многое другое представлено на этом сайте. Добавляйте его в закладки, чтобы не потерять, ведь этот портал является пищей для мозга, возможностью расширить свое сознание и повысить уровень интеллекта. Ищите любимый сайт в социальных сетях.
    • Curtismab
      Офигенные соски в усадьбе показывают глупышки https://devkis.net на эро фотокарточках
    • Dmitrius
      Арбитражный управляющий Каждый может оказаться в такой ситуации, когда требуется профессиональная и своевременная поддержка юриста. Если и вы вынуждены стать банкротом и оформить это по закону, то необходимо обратиться за такой услугой в центр банкротства. В компании работают квалифицированные специалисты с большим опытом, а в их багаже большое количество успешно завершенных дел. Именно поэтому вы сможете надеяться на отличный результат. Важно учесть тот момент, что специалисты детально изучают вопрос для того, чтобы подробно рассмотреть вопрос, после чего выявить возможности благоприятного результата. Списать долги Волгоград (Списание кредитов) получится по закону. Нет необходимости в том, чтобы переживать за процесс. Так специалисту удастся списать те долги, которые вы не в силах выплатить. Увы, но этот процесс может занять несколько месяцев, к тому же он не бесплатный. Банкротство физических лиц в Волгограде ведет компетентный сотрудник – он добросовестно и ответственно подойдет к решению вопроса. Он будет защищать интересы клиента, руководствуясь Конституцией. Юрист по банкротству займется оформлением документов и заявления, подготовит все факты в пользу того, чтобы объявить вас неплатежеспособным. Опыт сотрудников позволяет браться за дела различной сложности. Арбитражный управляющий Волгоград поможет вам избавиться от долгов. Что касается расценок, то на них влияют самые разные факторы, включая расходы на законодательном уровне. Подписывается договор на указание услуг – в нем указываются обязанности каждой стороны, набор услуг. Юрист рассмотрит все аспекты вашего дела. Важным моментом является то, что все ваши долги будут списаны в полном объеме при положительном исходе дела. Специалист использует все ресурсы, которые потребуются для того, чтобы получить положительный результат.
    • Dmitrius
      Септик в Москве и Московской области Компания долгое время и на выгодных условиях оказывает услуги, связанные со строительством автономной канализации в Москве и области. Если Вам необходима выгребная яма – ознакомьтесь с интересующей информацией на официальном портале. Автономная канализация, организованная на дачном участке, положительно влияет на уровень комфорта. Несмотря на то, планируется ли круглый год проживать на участке или только летом, вы почувствуете удобство. Цену на ее установку вы сможете узнать на сайте. Компания длительное время работает в данной сфере, а потому предлагает только выгодные условия, доступные цены, а сами работы выполняются быстро, аккуратно и в наиболее комфортное время. Она наладила сотрудничество с проверенными и надежными поставщиками оборудования. Специалисты создадут высокотехнологичную и работающую систему под ключ. В работе используются только надежные, качественные материалы, выполняются технологические условия. Если говорить о ценах, то они остаются на среднем уровне, а потому воспользоваться услугой смогут все, кто хочет. Кольцевой накопитель отлично подходит для сбора сточных вод при условии, что в доме на постоянной основе проживают до 7 человек. Все работы будут выполнены в минимальные сроки и тогда, когда это удобно именно вам. С собой будут все необходимые инструменты, а также материалы. Сотрудники осуществят установку и выполнят все нужные работы. При появлении вопросов задайте их сотрудникам, которые все пояснят, а также определят общую стоимость работ. Специалисты выполнят все необходимые работы, несмотря на время года. Отсутствуют дополнительные наценки, переплаты, только прозрачные условия сотрудничества.
×