[ Закрыто ] Win32/Virut.NBP virus , ESET NOD32 Antivirus не лечит полиморфный вирус Virut.NBP

RSS

Сообщений: 36

Баллов: 18

Регистрация: 16.05.2011

Размещено 16.05.2011 19:56:14

Добрый день!
В сети нашей организации проник вирус Virut.NBP, мы используем Ваше Антивирусное ПО (ESET NOD32 Antivirus 4.2.71.2 (Version of virus signature database: 6125 (20110516)), вирус размножается по сети с большой скоростью. NOD обнаруживает данный вирус но может его лечит, в редких случаях может удалить зараженный файл. Данный вирус поражает исполняемые приложения/фалы, т.е заражается почти вся файловая система.

Вопрос: Когда NOD сможет лечить зараженные файлы без их повреждения?

Ответы

Пред. 1 2 3 4 След.

Сообщений: 36

Баллов: 18

Регистрация: 16.05.2011

Размещено 19.05.2011 19:37:50

или хотя бы после очистки системы от него, отключить восстановление системы... на модификации NCS срабатывало хорошо.

Сообщений: 17963

Баллов: 14370

Регистрация: 16.03.2010

Размещено 19.05.2011 20:25:19

Цитата
ban21 пишет: ...компы от сети отключить категорически запрещено!(это уже можно сказать политический вопрос, работа встанет) Уж давно бы так сделал. Да и в реестре он не прописывается, он получает неплохую прописку в mbr и для того что бы хотя бы вылечить одну машинку, вылечить нормально, нужно почистить загрузочную область.

Цитата

ban21 пишет:
...компы от сети отключить категорически запрещено!(это уже можно сказать политический вопрос, работа встанет) Уж давно бы так сделал. Да и в реестре он не прописывается, он получает неплохую прописку в mbr и для того что бы хотя бы вылечить одну машинку, вылечить нормально, нужно почистить загрузочную область.

что то первый раз слышу, что Вирут прописывается в mbr.

Код
Исполняемый файл инфекции Вирус ищет исполняемые файлы с одним из следующих расширений: . EXE . SCR Исполняемые инфицированы путем добавления кода вируса в последнем разделе. ...Размер вставлен код составляет 19 КБ.

Код

Исполняемый файл инфекции
Вирус ищет исполняемые файлы с одним из следующих расширений:
    . EXE
    . SCR
Исполняемые инфицированы путем добавления кода вируса в последнем разделе.
...Размер вставлен код составляет 19 КБ.

заражение компьютеров в локальной сети вирусами типа Sality/Sector, Virut - это ЧП, и руководство организации должно быть немедленно извещено об этом, с тем чтобы предоставить админам чрезвычайные полномочия по ликвидации заражения в сети.
если же будете лечиться от Вирута "на ходу, на бегу, в рабочем режиме", то можете получить перманентную ситуацию с заражением в сети? затухнет, вспыхнет неожиданно с новой силой и т.п.

[ Как создать образ автозапуска? ]

Сообщений: 1023

Баллов: 818

Регистрация: 16.03.2010

Размещено 19.05.2011 22:53:52

Цитата
нужно почистить загрузочную область

Действительно, сомнительно, что он прописывается в загрузочной области.
Но даже если данная модификация и делает такое, то лечение компьютеров из-под LiveCD вам тем более гарантировано.
Единственный сказочный вариант: вы напишите в службу поддержки, и программисты специально для вас напишут новую утилиту для лечения вашей ситуации без перезагрузок, отключения сети и прочего. Но, думаю, сказки не будет, и вам нужно делать то, что советует santy.

Изменено: marshal64 - 19.05.2011 22:54:53

Сообщений: 36

Баллов: 18

Регистрация: 16.05.2011

Размещено 20.05.2011 14:19:30

Цитата
santy пишет: заражение компьютеров в локальной сети вирусами типа Sality/Sector, Virut - это ЧП, и руководство организации должно быть немедленно извещено об этом, с тем чтобы предоставить админам чрезвычайные полномочия по ликвидации заражения в сети. если же будете лечиться от Вирута "на ходу, на бегу, в рабочем режиме", то можете получить перманентную ситуацию с заражением в сети? затухнет, вспыхнет неожиданно с новой силой и т.п.

Цитата

santy пишет:
заражение компьютеров в локальной сети вирусами типа Sality/Sector, Virut - это ЧП, и руководство организации должно быть немедленно извещено об этом, с тем чтобы предоставить админам чрезвычайные полномочия по ликвидации заражения в сети. если же будете лечиться от Вирута "на ходу, на бегу, в рабочем режиме", то можете получить перманентную ситуацию с заражением в сети? затухнет, вспыхнет неожиданно с новой силой и т.п.

В этом Вы правы, не спорю. Тогда встречный вопрос, почему Антивирусная защита при такой угрозе не работает должным образом, а именно не вылечивает всю файловую систему, а лишь какую то часть от всей массы зараженных? Не блокирует вирус до момента заражения ПК? (вопрос в отношении данного вируса).

И вопрос не в тему, в консоле пишет Критическая ошибка, помечая красным, и в строке угроза прописано is OK, не понимаю что значит это, что все в порядке?

Сообщений: 17963

Баллов: 14370

Регистрация: 16.03.2010

Размещено 21.05.2011 08:37:20

во-первых, мы так и не увидели журнал обнаруженных угроз, с компьютеров, которые подверглись атаке Virut,
во вторых, возможно в локальной сети - проходной двор для сетевых вирусов - расшарены ресурсы для записи, слабые админские пароли, благодаря чему Virut может подключиться через админские шары и заражать исполняемые файлы очень быстро, так что файловый монитор не успеет за ним излечивать заражение.

[ Как создать образ автозапуска? ]

Сообщений: 317

Баллов: 253

Регистрация: 16.03.2010

Размещено 21.05.2011 09:32:58

Просто этот вирус выпускают новый, а в базы наверно заносят всегда как Win32/Virut.NBP. С настройками антивирусе на максимум не должна и муха пролететь, если она ловится.

Изменено: EVE N - 21.05.2011 09:42:54

ESET Smart Security 7 - The next generation of NOD32 Technology. ESET - Essential Security against Evolving Threats

Сообщений: 36

Баллов: 18

Регистрация: 16.05.2011

Размещено 24.05.2011 11:23:09

Цитата
santy пишет: во-первых, мы так и не увидели журнал обнаруженных угроз, с компьютеров, которые подверглись атаке Virut, во вторых, возможно в локальной сети - проходной двор для сетевых вирусов - расшарены ресурсы для записи, слабые админские пароли, благодаря чему Virut может подключиться через админские шары и заражать исполняемые файлы очень быстро, так что файловый монитор не успеет за ним излечивать заражение.

Цитата

santy пишет:
во-первых, мы так и не увидели журнал обнаруженных угроз, с компьютеров, которые подверглись атаке Virut, во вторых, возможно в локальной сети - проходной двор для сетевых вирусов - расшарены ресурсы для записи, слабые админские пароли, благодаря чему Virut может подключиться через админские шары и заражать исполняемые файлы очень быстро, так что файловый монитор не успеет за ним излечивать заражение.

Журнал я Вам высылал вообще то! Прикладываю в сообщение...
В сети спокойно. Активность вирут не проявляет, т.е новые машины не заражаются, остаются не излеченными лишь старые. И что за is OK??...

Прикрепленные файлы

log_virut.rar (9.86 КБ)

Сообщений: 17963

Баллов: 14370

Регистрация: 16.03.2010

Размещено 24.05.2011 13:01:34

Цитата
ban21 пишет: Журнал я Вам высылал вообще то! Прикладываю в сообщение... В сети спокойно. Активность вирут не проявляет, т.е новые машины не заражаются, остаются не излеченными лишь старые. И что за is OK??...

Журнал угроз, или логи сканирования мы обычно просим добавить на форум.
Реал-тайм защита, естественно не (ВСЕГДА) может справиться с лечением зараженных файлов, необходимо для лечения использовать СКАНЕР. точки восстановления лучще обнулить и создать новые после полной очистки системы.

[ Как создать образ автозапуска? ]

Сообщений: 36

Баллов: 18

Регистрация: 16.05.2011

Размещено 24.05.2011 14:08:33

santy, Такой вопрос, консоль не сразу подтягивает актуальную информацию. К примеру машинка вылечена руками, а в консоли висит информация о зараженных файлах....

Реал тайм - ясно. is OK как понимать?

Сообщений: 17963

Баллов: 14370

Регистрация: 16.03.2010

Размещено 24.05.2011 19:02:52

Цитата
ban21 пишет: santy, Такой вопрос, консоль не сразу подтягивает актуальную информацию. К примеру машинка вылечена руками, а в консоли висит информация о зараженных файлах.... Реал тайм - ясно. is OK как понимать?

консоль подтягивает все, что попало на сервер ERA из логов клиентов. т.е. это история критических событий в системе, которые были обнаружены и по возможности исправлены антивирусом. Все это он плюсует в свои логи, а затем отдает с заданным интервалом на сервер.
Наиболее оперативная инфо - это статус модулей антивира, дата последнего коннекта, все остальное: логи событий, сканеров, обнаруженных угроз - history.

По is OK - честно говоря, не понимаю, почему эти записи попали в журнал обнаруженных угроз. Предполагаю, что это какой то сбой антивира, вызванный борьбой с Virut.

Изменено: santy - 24.05.2011 19:03:20

[ Как создать образ автозапуска? ]

Пред. 1 2 3 4 След.