-
Junior Member
- Вес репутации
- 57
немного о Symantec и АВЗ
Доброго всем утра!
Попытаюсь описать ситуацию простым и понятным языком
Очень уж меня Symantec разочаровал в последнее время - вирлаб у них "мертвый".
По своему "чайниковству" удалось нахватать кучу вирусов с флешек, таких как GAMMIMA.AG, Silly.DC и их другие разновидности. Используя лицензионный NIS 2009, они были благополучно удалены (уже после моего заражения, ситуация выглядела так: вставляю флешку, потом проверяю ее на вирусы, а нортон чистит уже реестр ). Вроде как. Но последствия некоторые ощутимы, хоть и не сильно раздражают (например *.ini и *.bat блокнотом не открываются, пишет синтакс эррор, если переименовать в txt, то все нормально, еще из неприятностей - пропала саппака , то есть и на англ и на русской раскладке выдается только значок ") Сейчас конечно авторан со съемных носителей отключен.
Возвращаясь к вирлабу симантека. Прошло немного времени и мне в руки попала флешка, сама она уже запуститься не могла, но на ней два файлика, скромненько так - авторанчик и вирусик Пинаю нортон - проверяй... ЧИСТА! - говорит) На вирустотале 80% антивирусов этот вирус знают. Кроме симантека конечно... Вручную пихаю в карантин, жму ОТПРАВИТЬ в вирлаб. Сообщение - объект отправлен в Symantec. Смотрю по журналу... объект отправить не удалось, через некоторое время будет предпринята вторая попытка... Через три часа файлы исчезают. Куда - не знаю. Отослал ли он их или удалил - тоже неизвестно. С тех пор - молчок. Ну ладно, думаю...
Через две недели достаю файлы из карантина, пинаю - ПРОВЕРИТЬ! Нортон - ЧИСТА!
Качаю программу sacret.exe, заботливо ввожу данные, прикладываю вирусняк, жму "отправить". Пишет: отправить не удалось, и какую-то фигню про то, что не может найти пункт назначения (то ли сервер, то ли ftp).
Ну ничего, иду в почту, ввожу адрес, который дан тут, на вирусинфо. Отсылаю по всем правилам... молчок Надо ли добавить то, что прошло с тех пор очередные две недели, а мой обновленный Symantec говорит ЧИСТА!
Фиг с тобою, думаю, качаю авз Но вот по своей чайникости забываю при проверке отключить мой дорогой антивир Но ему, как мне показалось вначале, пофик на проверки авз. Не сошлись они вдвоем только в одном - авз стал подозревать компонент symantec на клавиатурного шпиона (98,9%) А мой милый symantec взял и... засунул бедную программу ctfmon в черный список, нагло обозвав ее клавиатурным шпионом Меня не спросил, но когда перестала переключаться клавиатура, стало совсем не до смеха. В общем настроить удалось поплясав с бубном, потому как даже тот факт, что мне удалось вытащить программу из списка блокированных не исправило ситуацию... Тем не менее, троянов найдено авз не было, что уже хорошо. Доктор веб настойчиво ругается на симантиковский экзешник (вроде psiservice). Остальное вроде чисто...
В принципе, симантек не плох... но вирлаб у него настолько тупой, что это сводит на нет все его достоинства...
Вопрос у меня после всей этой истории только один - где нужно покопаться чтоб вернуть саппачку и чтоб инишники без ошибок обрабатывались блокнотом.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Trakanon
Доброго всем утра!
Вопрос у меня после всей этой истории только один - где нужно покопаться чтоб вернуть саппачку и чтоб инишники без ошибок обрабатывались блокнотом.
Сервис - Свойства папки - типы файлов - найти ini и удалить. При последующей попытке открытия выбрать "Блокнот", как программу для открытия.
Второй вариант - открывать, нажав правую клавишу мыша + Shift. появиться пункт меню "Открыть с помощью". Выбрать "Блокнот".
После можно подкорректировать в Сервис - Свойства папки - типы файлов - найти ini.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Очень уж меня Symantec разочаровал в последнее время - вирлаб у них "мертвый".
ну не он один такой,
у НОДа дела не лучше обстаят
-
-
Junior Member
- Вес репутации
- 57
ну не он один такой,
у НОДа дела не лучше обстаят
Есть с чем сравнивать... несколько лет назад у меня на компе тоже троян объявился, в инет ломиться пытался, в автозапуске зарегился... Был отправлен в симантек, через три дня пришло письмо, что мой запрос обработан, а через две недели (и на том спасибо), что вирус теперь будет детектироваться как trojan.horse и что я могу скачав обновление сигнатур от него избавиться. Так оно и получилось, вынув из карантина тот самый файл (1.tmp), он стал распознаваться... это хорошо что троян не злобный был, вручную вывелся до обновления...
Сервис - Свойства папки - типы файлов - найти ini и удалить. При последующей попытке открытия выбрать "Блокнот", как программу для открытия.
Второй вариант - открывать, нажав правую клавишу мыша + Shift. появиться пункт меню "Открыть с помощью". Выбрать "Блокнот".
После можно подкорректировать в Сервис - Свойства папки - типы файлов - найти ini.
Не помогает к сожалению...
Всё равно такая вот ерунда:
-
Сообщение от
Trakanon
Не помогает к сожалению...
А что в реестре в ветке HKEY_CLASSES_ROOT\inifile ?
Должно быть
HKEY_CLASSES_ROOT\inifile\shell\open\command -> %SystemRoot%\System32\NOTEPAD.EXE %1 (тип REG_EXPAND_SZ)
и
HKEY_CLASSES_ROOT\inifile\shell\print\command -> %SystemRoot%\System32\NOTEPAD.EXE /p %1 (тип REG_EXPAND_SZ)
-
Junior Member
- Вес репутации
- 57
А что в реестре в ветке HKEY_CLASSES_ROOT\inifile ?
Должно быть
HKEY_CLASSES_ROOT\inifile\shell\open\command -> %SystemRoot%\System32\NOTEPAD.EXE %1 (тип REG_EXPAND_SZ)
и
HKEY_CLASSES_ROOT\inifile\shell\print\command -> %SystemRoot%\System32\NOTEPAD.EXE /p %1 (тип REG_EXPAND_SZ)
Там так и есть... Ничего лишнего или измененного...
-
У меня такое было с winzip. Надо теперь вспомнить чем вылечил.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
там нуна чтоб %1 в кавычках
%SystemRoot%\System32\NOTEPAD.EXE "%1"
иногда помогает просто
-
Junior Member
- Вес репутации
- 57
Действительно... всё моя невнимательность (наверное из-за усталости).
Спасибо, PavelA, borka и Virtual!
Должно быть так:
HKEY_CLASSES_ROOT\inifile\shell\open\command -> %SystemRoot%\System32\NOTEPAD.EXE %1 (тип REG_EXPAND_SZ)
у меня было:
HKEY_CLASSES_ROOT\inifile\shell\open\command -> %SystemRoot%\System32\NOTEPAD.EXE %1" (тип REG_EXPAND_SZ)
т.е. ни то ни сё... вроде и не кавычки (") как таковые, но и не без них, половинка С нормальными кавычками и без них всё без проблем открывается.
Но тогда получается, что такой параметр ставится по умолчанию? Я имею ввиду, что если удалить *.ini в свойства папки--типы файлов (по совету Павла), а потом выбрать программу для открытия по умолчанию "блокнот", то такая кривулина сама прописывается в этой ветке?
Я помню что в разделе "Помогите!" вирус Silly обозвали "варваром" за его деструктивные действия в системе Могут ли быть такие проблемы после его пребывания и как от этого избавиться? (я думаю что не только с инишками проблема, наверняка скоро выяснится, что и другие расширения покоцаны). Или ручками всё проверить?
-
начать с выполнения правил, только не как вздумается, а как указано: http://virusinfo.info/showthread.php?t=1235
-
-
Trakanon имей ввиду что кавычки вокруг %1 нужны для корректной передачи длинных путей с пробелами (напр при открытии с рабочего стола без кавычек проблемы возможны) по уму должно быть так
HKEY_CLASSES_ROOT\inifile\shell\open\command -> "%SystemRoot%\System32\NOTEPAD.EXE" "%1" (тип REG_EXPAND_SZ)
-
Junior Member
- Вес репутации
- 57
Сообщение от
drongo
Спасибо, в курсе. Если прижмет, обязательно.
Trakanon имей ввиду что кавычки вокруг %1 нужны для корректной передачи длинных путей с пробелами (напр при открытии с рабочего стола без кавычек проблемы возможны) по уму должно быть так
Благодарю!
-
По идее сам продукт symantec и symantec NIS кабы должны немного отличаться по функциональности, по крайне мере раньше так было.
-