Перейти к содержанию

Recommended Posts

Олег777

Валерий! Не далее как вчера столкнулся с вирусом, блокирующим определенные сайты: одноклассники, мэйл.ру, яндекс и вконтакте. Попросила помочь преподаватель по бальным танцам (грешен, учусь красиво танцевать в свои 32 года...).

Так вот: DrWEb 5.0 вирус честно поймал и прибил (лечение активной угрозы), но сайты все равно не открывались.

Вылечил ручками путем редактирования файла hosts (там как раз таки были прописаны блокируемые сайты).

Посему возник вопрос: а разве лечение активного заражения не подразумевает возврат системы в исходное состояние до момента вирусного воздействия?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Олег777

Это делается на уровне сигнатур. Т.е. Продукт должен был взять из сигнатур сведения о том, что вредонос правит hosts и восстановить его. Значит, либо продукт в принципе не умеет восстанавливать хотябы исходный hosts, либо вирлаб упустил эту особенность зверька. Но сие не относится к интервью, потому переедем в вендорный раздел

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent
Олег777

Это делается на уровне сигнатур. Т.е. Продукт должен был взять из сигнатур сведения о том, что вредонос правит hosts и восстановить его. Значит, либо продукт в принципе не умеет восстанавливать хотябы исходный hosts, либо вирлаб упустил эту особенность зверька. Но сие не относится к интервью, потому переедем в вендорный раздел

...либо зверек был отловлен Ориджином, скажем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Валерий! Не далее как вчера столкнулся с вирусом, блокирующим определенные сайты: одноклассники, мэйл.ру, яндекс и вконтакте. Попросила помочь преподаватель по бальным танцам (грешен, учусь красиво танцевать в свои 32 года...).

Так вот: DrWEb 5.0 вирус честно поймал и прибил (лечение активной угрозы), но сайты все равно не открывались.

Вылечил ручками путем редактирования файла hosts (там как раз таки были прописаны блокируемые сайты).

Посему возник вопрос: а разве лечение активного заражения не подразумевает возврат системы в исходное состояние до момента вирусного воздействия?

У большинства пользователей hosts-файл является пустым, но это не всегда так. Встречный вопрос -- каким образом антивирус "знает" (должен знать) состояние hosts-файла до его изменения в следствие работы вредоносного кода? Допустим, есть hosts-файл (непустой) со списком заблокированных пользователем сайтов. Происходит заражение, вредоносная программа добавляет в hosts-файл свои записи. Как антивирус должен знать, какие записи удалять, а какие оставить или он просто должен восстанавливать hosts-файл в пустом виде?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

K_Mikhail

Потому применяется восстановление дефолтного hosts. Что всяко лучше, чем его игнорирование. В принципе, можно в сигнатуре указать, какие сайты прописывает вредонос и откатывать только эти записи, но овчинка выделки не стоит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
K_Mikhail

Потому применяется восстановление дефолтного hosts. Что всяко лучше, чем его игнорирование. В принципе, можно в сигнатуре указать, какие сайты прописывает вредонос и откатывать только эти записи, но овчинка выделки не стоит.

Я против такого лечения непосредственно антивирусом, хотя для основной массы оно годится, хотя бы потому, что она даже не подозревает о существовании такого файла. Подобный функционал должен быть вынесен во вспомогательные диагностические утилиты -- AVZ (есть такой функционал) и разрабатываемый DwShark, в котором этот функционал ещё не реализован, но feature request на это висит.

Честно сказать, если бы антивирус, в результате лечения, улучшил бы мне hosts-файл до дефолтного, и мне пришлось бы свои записи восстанавливать вручную, я бы такой антивирус отправил бы подальше с диска.

ЗЫЖ Хоть мне антивирус, по сути, и не нужен, но копию hosts-файла храню. :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

K_Mikhail

Поднимать запрос на восстановление host. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
K_Mikhail

Поднимать запрос на восстановление host. ;)

"Антивирус собирается улучшить ваш hosts-файл до дефолтного! Продолжить? [Y\N]" ? ;)

Опять же, повторюсь, хотя для основной массы оно годится, хотя бы потому, что она даже не подозревает о существовании такого файла, но моё мнение -- правкой hosts-файла должен заниматься либо лично пользователь (если он понимает, что делает), либо саппорт в лице конкретного вендора или virusinfo. Т.е. специалист.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arakcheev
Валерий! Не далее как вчера столкнулся с вирусом, блокирующим определенные сайты: одноклассники, мэйл.ру, яндекс и вконтакте. Попросила помочь преподаватель по бальным танцам (грешен, учусь красиво танцевать в свои 32 года...).

Так вот: DrWEb 5.0 вирус честно поймал и прибил (лечение активной угрозы), но сайты все равно не открывались.

Вылечил ручками путем редактирования файла hosts (там как раз таки были прописаны блокируемые сайты).

Посему возник вопрос: а разве лечение активного заражения не подразумевает возврат системы в исходное состояние до момента вирусного воздействия?

А что делает каспер в подобном случае?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Arakcheev

Поднимает алерт с предложением восстановить hosts. Это AVPTool в 7-ке, за 8-ку не знаю. Возможно в автоматическом режиме она алерт не поднимает, а сразу восстанавливает.

Нет, я не знаю, восстанавливает стандартный или убирает записи вредоноса. Думаю, что все-таки стандартный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев
Не далее как вчера столкнулся с вирусом, блокирующим определенные сайты: одноклассники, мэйл.ру, яндекс и вконтакте. Попросила помочь преподаватель по бальным танцам (грешен, учусь красиво танцевать в свои 32 года...).

Так вот: DrWEb 5.0 вирус честно поймал и прибил (лечение активной угрозы), но сайты все равно не открывались.

Вылечил ручками путем редактирования файла hosts (там как раз таки были прописаны блокируемые сайты).

Посему возник вопрос: а разве лечение активного заражения не подразумевает возврат системы в исходное состояние до момента вирусного воздействия?

Какой вердикт вам вынес Др.Вэб? Как назвал данную заразу?

Далее вопрос - вы устанавливали др.вэб на зараженную машину или использовали cure-it? и далее интересует вопрос - какой тип сканирования был произведен - полное или быстрая проверка? Было ли отключено восстановление системы?

Я вот не исключаю такого момента, что после того как было проведено быстрое сканирование, один из семлов (лежавших где-нить в другом месте, даже например на флешке) после лечения и перезагрузки, смог опять активизироваться и поправить hosts.

P.S. считаю, что топик нужно рассматривать как конкретный случай заражения и лечения, перенести в сопутствующий форум, и изменить шапку топика (напр.: Dr.Web :: Лечение Shadow)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Ребят, а у меня вот такой вопрос. Один знакомый недавно списался со мной, просил помочь избавиться от такой гадости, как AdSubscribe. Ну, недолго думая, дал ему ссылку на CureIt, он ее применил, все путем. Но - в реестре остались записи, и пришлось удалять вручную, тупым поиском по слову. Вот и хочу спросить: если уж Web не чистит реестр от записей зловредов, то... а ведь чего проще: механический поиск и удаление. Почему такая простая и явная вещь не предусмотрена в антивирусах?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Почему такая простая и явная вещь не предусмотрена в антивирусах?

Кое-кто из форумчан по этому поводу высказался прямо и точно: "Потому что антивирус Dr.Web - это не твикер". :)

А жаль, правда? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla
Кое-кто из форумчан по этому поводу высказался прямо и точно: "Потому что антивирус Dr.Web - это не твикер".

А причём тут твикер, не твикер? Тем более это же доктор, должен лечить, причём с корнем..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arakcheev

А он и лечит с корнем. Ссылки в реестре удаляются, если на них прямо ссылается вредоносный файл. А косвенные ссылки могут и остаться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • alexD
    • alexD
      Ну тогда ставьте алюминиевые. Сугубо личное мнение. 
    • kamri
      У меня частный дом, система автономная. Изначально хотел стальные, так как они дешевле.Но сейчас больше склоняюсь к алюминиевым, вроде объективно эффективней + дизайн. 
       
    • alexD
      Все будет зависеть от того, что за система отопления у вас и какой теплоноситель там. Если центральная, то ставьте биметаллические, если автономная, то алюминий.
       
    • PR55.RP55
      1) Не устанавливайте алюминиевые >  высокая коррозия - быстро могут выйти из строя, есть риск прикипания резьбовых соединений и срыва резьбы при монтаже\демонтаже, быстро остывают. Алюминий химически активный металл = реакция с кислородом и т.д. 2) Есть хорошие отзывы по биметаллическим радиаторам: большой срок службы, небольшой вес, устойчивость к коррозии на уровне чугунных батарей ( по заявлениям производителей ) 3) Чугунные: если стены\крепления позволяют нести большой вес ( 30-40 кг батарея) и речь идёт о частном доме - рекомендую их. Так, как в случае отключения электро энергии они долго остывают продолжая отдавать тепло ( по моим прикидкам  + - 1 градус в минуту  т.е. батареи будет греть ещё около часа ) при начальной температуре в помещении порядка +20 ) Если дом загородный и вы там бываете наездами и в ваше отсутствие котёл работает на минимальной мощности - то потребуется время на нагрев чугунных батарей и только после того, как металл наберёт температуру - начнётся нагрев воздуха в помещении т.е. это ещё и вопрос комфорта. Из минусов - ржавчина и чугунные батареи не подойдут если у вас котёл настенного типа с теплообменником. Ржавчина + жёсткая вода ( накипь ) = выход элемента котла из строя. = замена дорогой детали и проблема с её поиском\заменой. ---------- При монтаже системы не стоит экономить - устанавливайте трубы большого диаметра. Если помещение небольшое можно добиться естественной циркуляции теплоносителя - без установки дополнительного электро двигателя. ( и без системы бесперебойного электро снабжения ) Соответственно не брать котёл с патрубками малого диаметра. Ориентироваться на диаметр порядка: 50.  Желательно не брать котёл с теплообменником если у вас жёсткая вода и образуется много накипи = быстрое засорение. Рекомендую устанавливать котёл в отдельном помещении - во избежание запаха газа, шума работающего двигателя, шумов от стабилизатора напряжения, сигналов от бесперебойный ( при работе от батареи ) Надёжнее всего напольный котёл. ( как правило у него нет платы контролера - значит она не выйдет из строя, не нужен стабилизатор напряжения, меньшая цена котла ,  меньшая цена обслуживания, простота обслуживания )    
×