Олег777

Лечение

В этой теме 15 сообщений

Валерий! Не далее как вчера столкнулся с вирусом, блокирующим определенные сайты: одноклассники, мэйл.ру, яндекс и вконтакте. Попросила помочь преподаватель по бальным танцам (грешен, учусь красиво танцевать в свои 32 года...).

Так вот: DrWEb 5.0 вирус честно поймал и прибил (лечение активной угрозы), но сайты все равно не открывались.

Вылечил ручками путем редактирования файла hosts (там как раз таки были прописаны блокируемые сайты).

Посему возник вопрос: а разве лечение активного заражения не подразумевает возврат системы в исходное состояние до момента вирусного воздействия?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Олег777

Это делается на уровне сигнатур. Т.е. Продукт должен был взять из сигнатур сведения о том, что вредонос правит hosts и восстановить его. Значит, либо продукт в принципе не умеет восстанавливать хотябы исходный hosts, либо вирлаб упустил эту особенность зверька. Но сие не относится к интервью, потому переедем в вендорный раздел

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег777

Это делается на уровне сигнатур. Т.е. Продукт должен был взять из сигнатур сведения о том, что вредонос правит hosts и восстановить его. Значит, либо продукт в принципе не умеет восстанавливать хотябы исходный hosts, либо вирлаб упустил эту особенность зверька. Но сие не относится к интервью, потому переедем в вендорный раздел

...либо зверек был отловлен Ориджином, скажем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Валерий! Не далее как вчера столкнулся с вирусом, блокирующим определенные сайты: одноклассники, мэйл.ру, яндекс и вконтакте. Попросила помочь преподаватель по бальным танцам (грешен, учусь красиво танцевать в свои 32 года...).

Так вот: DrWEb 5.0 вирус честно поймал и прибил (лечение активной угрозы), но сайты все равно не открывались.

Вылечил ручками путем редактирования файла hosts (там как раз таки были прописаны блокируемые сайты).

Посему возник вопрос: а разве лечение активного заражения не подразумевает возврат системы в исходное состояние до момента вирусного воздействия?

У большинства пользователей hosts-файл является пустым, но это не всегда так. Встречный вопрос -- каким образом антивирус "знает" (должен знать) состояние hosts-файла до его изменения в следствие работы вредоносного кода? Допустим, есть hosts-файл (непустой) со списком заблокированных пользователем сайтов. Происходит заражение, вредоносная программа добавляет в hosts-файл свои записи. Как антивирус должен знать, какие записи удалять, а какие оставить или он просто должен восстанавливать hosts-файл в пустом виде?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

K_Mikhail

Потому применяется восстановление дефолтного hosts. Что всяко лучше, чем его игнорирование. В принципе, можно в сигнатуре указать, какие сайты прописывает вредонос и откатывать только эти записи, но овчинка выделки не стоит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Потому применяется восстановление дефолтного hosts. Что всяко лучше, чем его игнорирование. В принципе, можно в сигнатуре указать, какие сайты прописывает вредонос и откатывать только эти записи, но овчинка выделки не стоит.

Я против такого лечения непосредственно антивирусом, хотя для основной массы оно годится, хотя бы потому, что она даже не подозревает о существовании такого файла. Подобный функционал должен быть вынесен во вспомогательные диагностические утилиты -- AVZ (есть такой функционал) и разрабатываемый DwShark, в котором этот функционал ещё не реализован, но feature request на это висит.

Честно сказать, если бы антивирус, в результате лечения, улучшил бы мне hosts-файл до дефолтного, и мне пришлось бы свои записи восстанавливать вручную, я бы такой антивирус отправил бы подальше с диска.

ЗЫЖ Хоть мне антивирус, по сути, и не нужен, но копию hosts-файла храню. :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

K_Mikhail

Поднимать запрос на восстановление host. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Поднимать запрос на восстановление host. ;)

"Антивирус собирается улучшить ваш hosts-файл до дефолтного! Продолжить? [Y\N]" ? ;)

Опять же, повторюсь, хотя для основной массы оно годится, хотя бы потому, что она даже не подозревает о существовании такого файла, но моё мнение -- правкой hosts-файла должен заниматься либо лично пользователь (если он понимает, что делает), либо саппорт в лице конкретного вендора или virusinfo. Т.е. специалист.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Валерий! Не далее как вчера столкнулся с вирусом, блокирующим определенные сайты: одноклассники, мэйл.ру, яндекс и вконтакте. Попросила помочь преподаватель по бальным танцам (грешен, учусь красиво танцевать в свои 32 года...).

Так вот: DrWEb 5.0 вирус честно поймал и прибил (лечение активной угрозы), но сайты все равно не открывались.

Вылечил ручками путем редактирования файла hosts (там как раз таки были прописаны блокируемые сайты).

Посему возник вопрос: а разве лечение активного заражения не подразумевает возврат системы в исходное состояние до момента вирусного воздействия?

А что делает каспер в подобном случае?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Arakcheev

Поднимает алерт с предложением восстановить hosts. Это AVPTool в 7-ке, за 8-ку не знаю. Возможно в автоматическом режиме она алерт не поднимает, а сразу восстанавливает.

Нет, я не знаю, восстанавливает стандартный или убирает записи вредоноса. Думаю, что все-таки стандартный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Не далее как вчера столкнулся с вирусом, блокирующим определенные сайты: одноклассники, мэйл.ру, яндекс и вконтакте. Попросила помочь преподаватель по бальным танцам (грешен, учусь красиво танцевать в свои 32 года...).

Так вот: DrWEb 5.0 вирус честно поймал и прибил (лечение активной угрозы), но сайты все равно не открывались.

Вылечил ручками путем редактирования файла hosts (там как раз таки были прописаны блокируемые сайты).

Посему возник вопрос: а разве лечение активного заражения не подразумевает возврат системы в исходное состояние до момента вирусного воздействия?

Какой вердикт вам вынес Др.Вэб? Как назвал данную заразу?

Далее вопрос - вы устанавливали др.вэб на зараженную машину или использовали cure-it? и далее интересует вопрос - какой тип сканирования был произведен - полное или быстрая проверка? Было ли отключено восстановление системы?

Я вот не исключаю такого момента, что после того как было проведено быстрое сканирование, один из семлов (лежавших где-нить в другом месте, даже например на флешке) после лечения и перезагрузки, смог опять активизироваться и поправить hosts.

P.S. считаю, что топик нужно рассматривать как конкретный случай заражения и лечения, перенести в сопутствующий форум, и изменить шапку топика (напр.: Dr.Web :: Лечение Shadow)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ребят, а у меня вот такой вопрос. Один знакомый недавно списался со мной, просил помочь избавиться от такой гадости, как AdSubscribe. Ну, недолго думая, дал ему ссылку на CureIt, он ее применил, все путем. Но - в реестре остались записи, и пришлось удалять вручную, тупым поиском по слову. Вот и хочу спросить: если уж Web не чистит реестр от записей зловредов, то... а ведь чего проще: механический поиск и удаление. Почему такая простая и явная вещь не предусмотрена в антивирусах?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Почему такая простая и явная вещь не предусмотрена в антивирусах?

Кое-кто из форумчан по этому поводу высказался прямо и точно: "Потому что антивирус Dr.Web - это не твикер". :)

А жаль, правда? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кое-кто из форумчан по этому поводу высказался прямо и точно: "Потому что антивирус Dr.Web - это не твикер".

А причём тут твикер, не твикер? Тем более это же доктор, должен лечить, причём с корнем..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А он и лечит с корнем. Ссылки в реестре удаляются, если на них прямо ссылается вредоносный файл. А косвенные ссылки могут и остаться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Alex.S
      Париматч понадежней будет, ставлю здесь , в 1хбет ставил, пока счет не заблокировали.
    • Karisha
      Домик на берегу моря, на мой взгляд самый лучший вариант для отдыха с семьей или большой компанией. А если с вами еще будут дети, то домик у моря - это вообще просто прекрасный вариант. Детькам есть где побегать, поиграть, да и проблема с кормлением детей не стоит. Можно кормить их в любое время, свежеприготовленной едой. Ато на отдыхе всегда проблематично в местах общественного питания отыскать блюда для детского питания.
    • Ego Dekker
      ESET Cyber Security/ESET Cyber Security Pro были обновлены до версии 6.6.300.1.
    • Dragokas
      Не проверял, как сейчас. Раньше, архивы с зашифрованными именами файлов gmail сразу блокировал, так что я бы не назвал это вариантом. Для начала, определить источник, откуда и куда вы отправляете? Вот только что отправил письмо с yandex.ru на gmail.com, файл ZOO_, дефолт. пароль, внутри: ONENOTE 2016.LNK._22299B8A955CED97CD8E815D85990295F3A6D838.txt ONENOTE 2016.LNK._22299B8A955CED97CD8E815D85990295F3A6D838 Всё нормально дошло.
    • Dion
      Эх жалко, что у нокиа нет ничего достойного, а старый фанат телефонов этой фирмы. В своё время не было лучше телефонов чем нокиа, а сейчас конечно Китай рулит в плане телефонии, если раньше первые китайские телефоны-это был мусор то сейчас надо отдать должное!