IPB

Здравствуйте, гость ( Вход | Регистрация )

 
Reply to this topicStart new topic
> Автораны
Alex Shad
сообщение Mar 10 2008, 15:45
Сообщение #1





Группа: Участник форума
Сообщений: 134
Регистрация: 8-December 05
Из: Южно-Сахалинск
Пользователь №: 127



А вот интересно....


есть флешка... на ней вирусы.. файл авторан.ини зарашел червем.. в вебе поумолчанию стоит информировать.. ость виста... но при втыкивании флеши ничего не происходит.. в логе спадера написано инфицировано один - заблочено один... а табличку не выдал... плак unsure.gif

но когда прогоняешься сканер.. он все находит и удаляет...

странно... плак unsure.gif


--------------------
Ничто не ограничивает мысль программиста, как компилятор (c) by ...
----------------------------
www.alex-shad.narod.ru
Go to the top of the page
 
+Quote Post
Borka
сообщение Mar 10 2008, 19:41
Сообщение #2





Группа: Участник форума
Сообщений: 2.238
Регистрация: 6-December 05
Из: г. Киев, Украина.
Пользователь №: 68



Хотелось бы посмотреть логи и настройки спайдера. smile.gif


--------------------
---
С уважением,
Borka.
Go to the top of the page
 
+Quote Post
Alex Shad
сообщение Mar 12 2008, 0:18
Сообщение #3





Группа: Участник форума
Сообщений: 134
Регистрация: 8-December 05
Из: Южно-Сахалинск
Пользователь №: 127



Цитата(Borka @ Mar 10 2008, 19:41) [snapback]247912[/snapback]
Хотелось бы посмотреть логи и настройки спайдера. smile.gif

[SpIDerGuardNT]
LngFileName = "Ru-drweb.DWL"
FilesTypes = EXE,COM,DLL,SYS,VXD,OV?,BAT,BIN,DRV,PRG,BOO,SCR,CMD,386,FON,DO?
FilesTypes = XL?,WIZ,RTF,CL*,HT*,VB*,JS*,INF,PP?,OBJ,LIB,PIF,HLP,MD?,INI,MBR
FilesTypes = IMG,CSC,CPL,MBP,SH,SHB,SHS,SHT*,CHM,REG,XML,PRC,ASP,LSP,MSO,OBD
FilesTypes = THE*,NWS,SWF,MPP,OCX,VS*,DVB,CPY,BMP,AR?,ZIP,R??,GZ,Z,TGZ,TAR,TAZ
FilesTypes = CAB,LHA,LZH,BZ2,MSG,EML,7Z,TBB
UserMasks = "*.EXE","*.COM","*.DLL","*.SYS","*.VXD","*.OV?","*.BAT","*.BIN"
UserMasks = "*.DRV","*.PRG","*.BOO","*.SCR","*.CMD","*.386","*.FON","*.DO?"
UserMasks = "*.XL?","*.WIZ","*.RTF","*.CL*","*.HT*","*.VB*","*.JS*","*.INF"
UserMasks = "*.PP?","*.OBJ","*.LIB","*.PIF","*.HLP","*.MD?","*.INI","*.MBR"
UserMasks = "*.IMG","*.CSC","*.CPL","*.MBP","*.SH","*.SHB","*.SHS","*.SHT*"
UserMasks = "*.CHM","*.REG","*.XML","*.PRC","*.ASP","*.LSP","*.MSO","*.OBD"
UserMasks = "*.THE*","*.NWS","*.SWF","*.MPP","*.OCX","*.VS*","*.DVB","*.CPY"
UserMasks = "*.BMP","*.AR?","*.ZIP","*.R??","*.GZ","*.Z","*.TGZ","*.TAR"
UserMasks = "*.TAZ","*.CAB","*.LHA","*.LZH","*.BZ2","*.MSG","*.EML","*.7Z"
UserMasks = "*.TBB"
ScanFiles = All
HeuristicAnalysis = Yes
CheckPackedFiles = Yes
CheckArchives = No
CheckEMailFiles = No
InfectedFiles = Report
SuspiciousFiles = Report
IncurableFiles = Report
ActionAdware = Report
ActionDialers = Report
ActionJokes = Report
ActionRiskware = Report
ActionHacktools = Report
ActionInfectedArchive = Report
ActionInfectedMail = Report
ActionInfectedContainer = Report
ActionIfRenameFailed = Delete
ActionIfMoveFailed = Rename
ActionIfDeleteFailed = Lock
ActionIfReportFailed = Lock
RenameFilesTo = #??
MoveFilesTo = "infected.!!!"
ExcludePaths =
ExcludeFiles =
VirusBase = "*.vdb"
LogToFile = Yes
OverwriteLog = No
LogScanned = No
LogPacked = Yes
LogArchived = Yes
LogFormat = ANSI
TestMemory = Yes
TestStartup = Yes
PromptOnAction = Yes
PlaySounds = Yes
UseDiskForSwap = Yes
LimitLog = Yes
MaxLogSize = 512
RestoreAccessDate = No
UpdateFlags = "drwtoday.vdb"
UpdatePeriod = 1m
GuardMode = Smart
ScanBootOnShutDown = Yes
LogStatistics = Yes
Acknowledge = Yes
AllowWildcards = No
AllowRelativeFileNames = No
DisableEnhancedProtection = No
EnableDeleteArchiveAction = No
DisableHotReconfigure = No

================================================================================

SpIDer Guard для Windows v4.44
Copyright © Игорь Данилов, 1992-2007
4.44.4.12140
Операционная система: Windows Vista ™ Ultimate (6.0.6000)
================================================================================

06-03-2008 20:38:23 Started on \\LH-B4I4K6ZYU2PJ
06-03-2008 20:38:23
06-03-2008 20:38:23 Рабочий каталог: C:\Program Files\DrWeb
06-03-2008 20:38:23 Режим загрузки: Автоматический, на старте системы
06-03-2008 20:38:23 Режим проверки "на лету": Оптимальный
06-03-2008 20:38:23 Расширенная защита: Включена
06-03-2008 20:38:23 Эвристика: Включена
06-03-2008 20:38:23 Объекты фильтруются: Нет фильтра, проверяются все файлы
06-03-2008 20:38:23 Путь для карантина: C:\Program Files\DrWeb\infected.!!!
06-03-2008 20:38:23 Проверка работающих программ и модулей: Включена
06-03-2008 20:38:23 Проверка файлов в архивах: Выключена
06-03-2008 20:38:23 Проверка почтовых файлов: Выключена
06-03-2008 20:38:23 Проверка объектов в локальной сети: Выключена
06-03-2008 20:38:23 Проверка объектов на съемных носителях: Включена
06-03-2008 20:38:23 Защищать файл конфигурации Dr.Web: Включена
06-03-2008 20:38:23
06-03-2008 20:38:23 Ключевой файл: C:\Program Files\DrWeb\drweb32.key
06-03-2008 20:38:23 Регистрационные данные:
06-03-2008 20:38:23 тут был номер
06-03-2008 20:38:23 тут был юзер
06-03-2008 20:38:25 Вирусных записей: 314070
06-03-2008 20:38:25
06-03-2008 20:38:25 Версия поискового модуля: 4.44 (4.44.0.09170)
06-03-2008 20:38:25 Версия API: 2.02
06-03-2008 20:38:25
06-03-2008 20:50:22 [CR] L:\Autorun.inf - инфицирован VBS.Igidak
06-03-2008 20:50:22 [CR] L:\Autorun.inf - доступ к файлу запрещен

либо

28-02-2008 20:39:39 [CR] L:\Autorun.inf - инфицирован Win32.HLLW.Autoruner
28-02-2008 20:39:39 [CR] L:\Autorun.inf - доступ к файлу запрещен


--------------------
Ничто не ограничивает мысль программиста, как компилятор (c) by ...
----------------------------
www.alex-shad.narod.ru
Go to the top of the page
 
+Quote Post
pig
сообщение Mar 12 2008, 0:28
Сообщение #4





Группа: Участник форума
Сообщений: 1.777
Регистрация: 6-December 05
Из: Апатиты, Лапландия
Пользователь №: 36



А если, к примеру, скачать тестовый файл с http://www.eicar.org/ ? Тоже молча заблокирует или что-нибудь скажет?
Вполне может быть, что Спайдер по каким-то причинам не может проинформировать - в этом случае как раз молча блокирует в соответствии с настройками.


--------------------
...а я ещё и вышивать умею... © Матроскин
www.eserv.ru
Go to the top of the page
 
+Quote Post
Alex Shad
сообщение Mar 12 2008, 12:47
Сообщение #5





Группа: Участник форума
Сообщений: 134
Регистрация: 8-December 05
Из: Южно-Сахалинск
Пользователь №: 127



Цитата(pig @ Mar 12 2008, 0:28) [snapback]247917[/snapback]
А если, к примеру, скачать тестовый файл с http://www.eicar.org/ ? Тоже молча заблокирует или что-нибудь скажет?
Вполне может быть, что Спайдер по каким-то причинам не может проинформировать - в этом случае как раз молча блокирует в соответствии с настройками.

Нет, при попытке закачать файл, сразу выходит табличка, что инфицирован. При попытки копирования зараженных тоже все нормально. Он именно автоматом блокирует если сам файл autorun.ini инфицирован. Если допустим autorun.ini нормальный, а в нем прописан на втозапуск зараженный файл, тогда выскакивает табличка..

Ну я думаю это ничего страшно.. просто как это необышно фтоли rolleyes.gif


--------------------
Ничто не ограничивает мысль программиста, как компилятор (c) by ...
----------------------------
www.alex-shad.narod.ru
Go to the top of the page
 
+Quote Post
pig
сообщение Mar 12 2008, 13:22
Сообщение #6





Группа: Участник форума
Сообщений: 1.777
Регистрация: 6-December 05
Из: Апатиты, Лапландия
Пользователь №: 36



Мне это не очень нравится. Поэтому http://support.drweb.com/request/


--------------------
...а я ещё и вышивать умею... © Матроскин
www.eserv.ru
Go to the top of the page
 
+Quote Post
Borka
сообщение Mar 12 2008, 13:36
Сообщение #7





Группа: Участник форума
Сообщений: 2.238
Регистрация: 6-December 05
Из: г. Киев, Украина.
Пользователь №: 68



Цитата(Alex Shad @ Mar 12 2008, 12:47) [snapback]247924[/snapback]
Нет, при попытке закачать файл, сразу выходит табличка, что инфицирован.

А если выставить действия не Report - как будет себя вести спайдер? Например:
InfectedFiles = Cure
IncurableFiles = Move
SuspiciousFiles = Report
ActionInfectedArchive = Report
ActionInfectedMail = Report
ActionInfectedContainer = Report
ActionIfReportFailed = Move
ActionIfRenameFailed = Lock
ActionIfMoveFailed = Rename
ActionIfDeleteFailed = Move


--------------------
---
С уважением,
Borka.
Go to the top of the page
 
+Quote Post
Alex Shad
сообщение Mar 13 2008, 0:42
Сообщение #8





Группа: Участник форума
Сообщений: 134
Регистрация: 8-December 05
Из: Южно-Сахалинск
Пользователь №: 127



Цитата(Borka @ Mar 12 2008, 13:36) [snapback]247926[/snapback]
А если выставить действия не Report - как будет себя вести спайдер? Например:
InfectedFiles = Cure
IncurableFiles = Move
SuspiciousFiles = Report
ActionInfectedArchive = Report
ActionInfectedMail = Report
ActionInfectedContainer = Report
ActionIfReportFailed = Move
ActionIfRenameFailed = Lock
ActionIfMoveFailed = Rename
ActionIfDeleteFailed = Move


Ну на сколько я помню.. по определению.. когда стоит лечить удалить блокироваь отчет... обычно он это на автомате делает, без всяких табличек.. это конечно хорошо, но мне не нравится... ну это мое мнение ))

По вопросу... ммм я затрудняюсь сказать ) У меня нет инфицированной флеши ) я ее уже проличил давно )

Цитата(pig)
Мне это не очень нравится. Поэтому http://support.drweb.com/request/

Уже отписался...


Кстате.. я там опичатался... там autorun.inf а не ини ... сорри rolleyes.gif


--------------------
Ничто не ограничивает мысль программиста, как компилятор (c) by ...
----------------------------
www.alex-shad.narod.ru
Go to the top of the page
 
+Quote Post
Borka
сообщение Mar 13 2008, 1:47
Сообщение #9





Группа: Участник форума
Сообщений: 2.238
Регистрация: 6-December 05
Из: г. Киев, Украина.
Пользователь №: 68



Цитата(Alex Shad @ Mar 13 2008, 0:42) [snapback]247931[/snapback]
Ну на сколько я помню.. по определению.. когда стоит лечить удалить блокироваь отчет... обычно он это на автомате делает, без всяких табличек.. это конечно хорошо, но мне не нравится... ну это мое мнение ))

Ну, не знаю - у меня всегда есть тултип при выполнении любого действия. Все видно.

Цитата(Alex Shad @ Mar 13 2008, 0:42) [snapback]247931[/snapback]
По вопросу... ммм я затрудняюсь сказать ) У меня нет инфицированной флеши ) я ее уже проличил давно )

А на будущее? Или думаете, что та флешка с вирусом была последней? wink.gif

Цитата(Alex Shad @ Mar 13 2008, 0:42) [snapback]247931[/snapback]
Уже отписался...

Проиформируете, чем у Вас закончилось?


--------------------
---
С уважением,
Borka.
Go to the top of the page
 
+Quote Post
Alex Shad
сообщение Mar 13 2008, 15:21
Сообщение #10





Группа: Участник форума
Сообщений: 134
Регистрация: 8-December 05
Из: Южно-Сахалинск
Пользователь №: 127



Цитата(Borka @ Mar 13 2008, 1:47) [snapback]247932[/snapback]
А на будущее? Или думаете, что та флешка с вирусом была последней? wink.gif
Проиформируете, чем у Вас закончилось?


Не ну я не думаю что она была последней )))

Ок, отпишу чего мне напишут )


--------------------
Ничто не ограничивает мысль программиста, как компилятор (c) by ...
----------------------------
www.alex-shad.narod.ru
Go to the top of the page
 
+Quote Post
Alex Shad
сообщение Mar 16 2008, 16:40
Сообщение #11





Группа: Участник форума
Сообщений: 134
Регистрация: 8-December 05
Из: Южно-Сахалинск
Пользователь №: 127



Ммм... впринципи данная история закончилась.

Мне посоветовали отключить автозапуск, и сказали что в 4.44 проблем со сменными носителями нет.

Ну да ладно ))

Думаю это ничего страшного, спишим на особенности моей операционной системы и на случайные факторы =)


--------------------
Ничто не ограничивает мысль программиста, как компилятор (c) by ...
----------------------------
www.alex-shad.narod.ru
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic

 



- Текстовая версия Сейчас: 18 November 2019 - 17:45