Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Win32/Virut.NBP virus , ESET NOD32 Antivirus не лечит полиморфный вирус Virut.NBP

RSS
 
ban21
ban21
Пользователь
Сообщений: 36
Баллов: 18
Регистрация: 16.05.2011
Размещено 16.05.2011 19:56:14
Добрый день!
В сети нашей организации проник вирус Virut.NBP, мы используем Ваше Антивирусное ПО (ESET NOD32 Antivirus 4.2.71.2 (Version of virus signature database: 6125 (20110516)), вирус размножается по сети с большой скоростью. NOD обнаруживает данный вирус но может его лечит, в редких случаях может удалить зараженный файл. Данный вирус поражает исполняемые приложения/фалы, т.е заражается почти вся файловая система.

Вопрос: Когда NOD сможет лечить зараженные файлы без их повреждения?

Ответы

Пред. 1 2 3 4 След.
 
ban21
ban21
Пользователь
Сообщений: 36
Баллов: 18
Регистрация: 16.05.2011
Размещено 24.05.2011 19:17:30
santy,
Спасибо!
Возникла проблема, ни как не могу додумать как почистить файлы от Virut, которые сидят в процессе ОС, имея ввиду удаленно. NOD зачистил все исполняемые файлы ранее закрытые, а вот такие, как explorer.exe, svhost.exe, другие, которые в автозагрузке сидят не может излечить. Если бы было около 10 компов зараженных, побегал, но их в 10 раз больше((((
 
santy
santy
Администратор
Сообщений: 17966
Баллов: 28744
Регистрация: 16.03.2010
Размещено 24.05.2011 20:30:39
да... как раз рассматриваем случай, когда винлокер заражает системные файлы (userinit.exe, taskmgr.exe), и метод восстановления с помощью uVS (когда чистые известные системные файлы помещаются в каталог хранилища, и могут использоваться для замены зараженных файлов).
---
была однажды история в моей жизни... куча (гора) зараженных дисков червем_вирусом лежит в отделе, все промаркированы с  каких системников сняты, ждем выпуска сигнатуры от вирлабов, почти трое суток не уходим с рабочего места, занимаемся восстановлением зараженных систем.

С тех пор резко изменили отношение к антивирусной безопасности на предприятии.
---
может быть создать источник чистых файлов в сети, и запустить везде sfc /scannow с указанием на источник?
[ Как создать образ автозапуска? ]
 
ban21
ban21
Пользователь
Сообщений: 36
Баллов: 18
Регистрация: 16.05.2011
Размещено 25.05.2011 09:40:50
Как вариант через PsExec. Сейчас займусь этим....
Только вот что у меня получилась после вчерашнего сканирования с очисткой....На машинке был поражен один файл Explorer.exe, убил процесс вылечил в Консоле увидел - cleaned - quarantined... С утра пришел и увидел другое, explorer.exe - error while cleaning (Критическая ошибка), заражение снова произошло(((( журнал а аттаче
 
santy
santy
Администратор
Сообщений: 17966
Баллов: 28744
Регистрация: 16.03.2010
Размещено 25.05.2011 10:14:25
по логам угроз, да и любой лучше экспортировать в .txt файл,
по настройкам консоли ERA - установите абсолютный формат даты ггггг-мм-дд;
так удобнее.
по заражению
ну, один файл замените через PsExec, другие заразятся, если системы не излечены от вирута,

лучше запустить задачи полного сканирования (с очисткой) на всех машинах в конце работы, на ночь, чтобы компы не выключались,
и после завершения - повторите еще раз сканирование,
и контролировать логи сканирования.

так же следует поискать утилиты для лечения Вирута.
Изменено: santy - 25.05.2011 10:14:39
[ Как создать образ автозапуска? ]
 
ban21
ban21
Пользователь
Сообщений: 36
Баллов: 18
Регистрация: 16.05.2011
Размещено 25.05.2011 11:03:42
Virutkiller хорошо убивал, но только модификации NCS,q,56, а NBP не берет(
 
santy
santy
Администратор
Сообщений: 17966
Баллов: 28744
Регистрация: 16.03.2010
Размещено 25.05.2011 11:43:12
попробуйте так же пролечить (хотя бы одну, для проверки) с помощью систему Live.CD от русского Есет, собранный на базе Linux,
базы данных обновляются ежедневно.
http://www.esetnod32.ru/.download/livecd/
Изменено: santy - 25.05.2011 11:43:28
[ Как создать образ автозапуска? ]
 
ban21
ban21
Пользователь
Сообщений: 36
Баллов: 18
Регистрация: 16.05.2011
Размещено 26.05.2011 13:18:42
santy, такой вопрос, когда стартует служба NOD, после перезагрузки системы, до входа в систему пользователя, во время входа, после входа в систему?
И я так понял она (служба/NOD) в безопасном режиме с загрузкой сетевых драйверов вообще не стартует?...
Изменено: ban21 - 26.05.2011 13:29:09
 
santy
santy
Администратор
Сообщений: 17966
Баллов: 28744
Регистрация: 16.03.2010
Размещено 26.05.2011 14:08:40
ekrn.exe в нормальном режиме стартует точно до входа юзера в систему, в безопасном режиме скорее всего нет, не стартует. Но, хотелось бы от вас узнать, справляется ли указанный диск с заражением Virut или нет.
Изменено: santy - 26.05.2011 14:09:29
[ Как создать образ автозапуска? ]
 
ban21
ban21
Пользователь
Сообщений: 36
Баллов: 18
Регистрация: 16.05.2011
Размещено 26.05.2011 14:41:42
Если Вы про LiveCD пока ни как не смотрел, реально времени не хватает((( Обязательно проверю....отпишусь, диск уже записал.

Переполнился сервер, то ли логами то ли еще чем-то, стандартные средства консоли по очистки не удаляют почему-то,C:\Documents and Settings\All Users\Application Data\ESET\ESET Remote Administrator\Server\storage забивается....не подскажите?
 
santy
santy
Администратор
Сообщений: 17966
Баллов: 28744
Регистрация: 16.03.2010
Размещено 26.05.2011 20:10:30
почему не очищается через консоль? может учетная запись подключения к серверу не админская, а для чтения?
ERA 3.1.15. не было таких ошибок.
[ Как создать образ автозапуска? ]
 
Пред. 1 2 3 4 След.
Читают тему