Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Dr.Web Cure-It v4.44.1 и Smc.exe

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    579

    Dr.Web Cure-It v4.44.1 и Smc.exe

    Dr.Web CureIt! выпущен в субботу 17 ноября 2007 г. 22:40:08.
    [Проверка памяти] Процесс в памяти: C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe:3204 инфицирован Win32.SQL.Slammer.376 - обезврежен
    Smc.exe
    Опыт — это слово, которым люди называют свои ошибки.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2151
    этo дeйcтвитeльнo slammer, ycпeшнo oтбитый вaшим фaйpвoллoм. нo в drweb ceйчac вaм cкaжyт, чтo этo нe лoжняк, a пpocтo в symantec paбoтaют лoxи, нe знaющиe фyнкции zeromem, и зa этo иx cureit нaкaзaл.

  4. #3
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    796
    Цитата Сообщение от DVi Посмотреть сообщение
    этo дeйcтвитeльнo slammer, ycпeшнo oтбитый вaшим фaйpвoллoм. нo в drweb ceйчac вaм cкaжyт, чтo этo нe лoжняк, a пpocтo в symantec paбoтaют лoxи, нe знaющиe фyнкции zeromem, и зa этo иx cureit нaкaзaл.
    Версию Доктора мы знаем, а какова Ваша версия?
    ---
    С уважением,
    Borka.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    579
    borka, так поделитесь. Мне лично они так и не отписали.
    Опыт — это слово, которым люди называют свои ошибки.

  6. #5
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    796
    Цитата Сообщение от SuperBrat Посмотреть сообщение
    borka, так поделитесь. Мне лично они так и не отписали.
    В смысле?
    ---
    С уважением,
    Borka.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    579
    Версию Доктора мы знаем
    Или вы про версию DVi?
    Опыт — это слово, которым люди называют свои ошибки.

  8. #7
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    796
    Цитата Сообщение от SuperBrat Посмотреть сообщение
    Или вы про версию DVi?
    Я как раз хотел узнать мнение Виталия по этому вопросу. Версия Доктора озвучена на его форуме: здесь и здесь. Было еще что-то на форуме.ру, но сходу не нашел.
    ---
    С уважением,
    Borka.

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2151
    borka, честно говоря, я не понял вопроса.
    Если вы считаете, что я не согласен с тем, что файрволл Симантека отбил атаку Сламмера, то Вы ошибаетесь - я с этим полностью согласен. Я не согласен с логикой программистов DrWeb, считающих, что они улучшают защиту компьютера, когда убивают процесс файрволла. Диктовать же производителям файрволлов обнулять память перед ее освобождением, мягко говоря, тоже нелогично - где-то на форуме DrWeb приводился даже пример убийства сканером SpiderMail по той же причине.

    Добавлено через 3 минуты

    Оффтоп: О как... Зачем-то упомянули мой ник в этом топике
    Последний раз редактировалось DVi; 18.11.2007 в 22:10. Причина: Добавлено

  10. #9
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    796
    Цитата Сообщение от DVi Посмотреть сообщение
    borka, честно говоря, я не понял вопроса.
    Если вы считаете, что я не согласен с тем, что файрволл Симантека отбил атаку Сламмера, то Вы ошибаетесь - я с этим полностью согласен.
    Нет, я так не считаю.

    Цитата Сообщение от DVi Посмотреть сообщение
    Я не согласен с логикой программистов DrWeb, считающих, что они улучшают защиту компьютера, когда убивают процесс файрволла. Диктовать же производителям файрволлов обнулять память перед ее освобождением, мягко говоря, тоже нелогично - где-то на форуме DrWeb приводился даже пример убийства сканером SpiderMail по той же причине.
    Ведь убийство процесса файерволла происходит не всегда. Значит, есть какие-то условия возникновения детекта. Ну, а если в программе найден код вируса, то что с ней делать? А очистка памяти, как представляется, эту проблему решила бы.

    Цитата Сообщение от DVi Посмотреть сообщение
    Оффтоп: О как... Зачем-то упомянули мой ник в этом топике
    Хм... Действительно...
    ---
    С уважением,
    Borka.

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2151
    Цитата Сообщение от borka Посмотреть сообщение
    Ну, а если в программе найден код вируса, то что с ней делать?
    Насколько мне известно, в Windows (во всяком случае в 32-битных версиях) память не разделяется на память для хранения данных и память для хранения кода. Именно поэтому сканировать память работающего процесса и строить какие-либо предположения о вредоносности найденных в этой памяти тел вирусов я полагаю нецелесообразным.
    Если бы не эта неприятная особенность, сканирование памяти имело было неоспоримое преимущество перед классическим сканированием файлов на диске.

    Добавлено через 4 минуты

    P.S. Кстати, в упомянутом топике речь идет о том, что файерволл что-то заносит в свой блек-лист. Нелепо требовать от него необходимости немедленно очищать этот блек-лист (вполне вероятно, что она там хранит сигнатуру этого Сламмера для оптимального доступа к блек-листу, например).
    Последний раз редактировалось DVi; 18.11.2007 в 22:40. Причина: Добавлено

  12. #11
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    796
    Цитата Сообщение от DVi Посмотреть сообщение
    Насколько мне известно, в Windows (во всяком случае в 32-битных версиях) память не разделяется на память для хранения данных и память для хранения кода. Именно поэтому сканировать память работающего процесса и строить какие-либо предположения о вредоносности найденных в этой памяти тел вирусов я полагаю нецелесообразным.
    Если бы не эта неприятная особенность, сканирование памяти имело было неоспоримое преимущество перед классическим сканированием файлов на диске.
    Возможно. Но поиск вирусов именно в памяти тоже имеет свои преимущества. Например, если у человека нет файерволла, но есть Доктор. А некоторые вендоры предлагают специальные тулзы для удаления Сламмера...

    Цитата Сообщение от DVi Посмотреть сообщение
    P.S. Кстати, в упомянутом топике речь идет о том, что файерволл что-то заносит в свой блек-лист. Нелепо требовать от него необходимости немедленно очищать этот блек-лист (вполне вероятно, что она там хранит сигнатуру этого Сламмера для оптимального доступа к блек-листу, например).
    Ну, кто и что блеклистит, я не знаю. Вполне возможно, это адрес (айпишник) атакующего. Да и зачем хранить сигнатуру?
    ---
    С уважением,
    Borka.

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2151
    Цитата Сообщение от borka Посмотреть сообщение
    Возможно. Но поиск вирусов именно в памяти тоже имеет свои преимущества. Например, если у человека нет файерволла, но есть Доктор. А некоторые вендоры предлагают специальные тулзы для удаления Сламмера...
    А что предлагает Доктор - убить процесс SQL-сервера?

  14. #13
    Geser
    Guest
    Да, убиение процесса SQL-сервера может быть очень черевато.
    Хотя убиение зараженных процессов иногда имеет резон. )Особенно если это процесс вируса который иначе мешает лечению.

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,216
    Вес репутации
    3387
    Цитата Сообщение от Geser Посмотреть сообщение
    Да, убиение процесса SQL-сервера может быть очень черевато.
    Хотя убиение зараженных процессов иногда имеет резон. )Особенно если это процесс вируса который иначе мешает лечению.
    Вот в том-то и загвоздка, проблема в том, о чем писал DVi чуть выше - так как нет жесткого деления памяти на память данных и память для исполняемого кода, то в качестве злобного вируса может выступить любая программа, в памяти которой найдется сигнатура. У меня как-то в ходе тестов WEB убил процесс Oracle сервера, причем он не ругался на него ни до, ни после это срабатывания, и "вируса" понятное дело в оракле не было - видимо, случайное совпадение чего-то там в памяти с сигнатурой

  16. #15
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    796
    Цитата Сообщение от DVi Посмотреть сообщение
    А что предлагает Доктор - убить процесс SQL-сервера?
    Доктор не знает, это процесс SQL-сервера или вирус, именно в силу описанных Вами причин. Потому и убивает, что на него - смотреть, что ли?

    Добавлено через 1 минуту

    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    У меня как-то в ходе тестов WEB убил процесс Oracle сервера, причем он не ругался на него ни до, ни после это срабатывания, и "вируса" понятное дело в оракле не было - видимо, случайное совпадение чего-то там в памяти с сигнатурой
    А как ругался в процессе срабатывания?
    Последний раз редактировалось borka; 19.11.2007 в 13:28. Причина: Добавлено
    ---
    С уважением,
    Borka.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    579
    borka, не знаю как с Ораклом, но SEP 11 он убить не смог. Включилась самозащита и процесс был перезапущен. Но осадок в отношении Dr.Web остался.
    Опыт — это слово, которым люди называют свои ошибки.

  18. #17
    Geser
    Guest
    Цитата Сообщение от borka Посмотреть сообщение
    Доктор не знает, это процесс SQL-сервера или вирус, именно в силу описанных Вами причин. Потому и убивает, что на него - смотреть, что ли?
    Убиение процесса базы данных вместо корректного завершения скорее всего приведёт к повреждению базы данных. Потому достаточно опасно.

  19. #18
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    796
    Цитата Сообщение от SuperBrat Посмотреть сообщение
    borka, не знаю как с Ораклом, но SEP 11 он убить не смог. Включилась самозащита и процесс был перезапущен.
    Убить как раз смог. Раз процесс перезапустился.

    Добавлено через 35 секунд

    Цитата Сообщение от Geser Посмотреть сообщение
    Убиение процесса базы данных вместо корректного завершения скорее всего приведёт к повреждению базы данных. Потому достаточно опасно.
    Пропускать вирусы менее опасно?
    Последний раз редактировалось borka; 19.11.2007 в 14:11. Причина: Добавлено
    ---
    С уважением,
    Borka.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3708
    Цитата Сообщение от borka Посмотреть сообщение
    Пропускать вирусы менее опасно?
    А если повредилась важная БД, для которой ещё не была сделана резервная копия?
    Left home for a few days and look what happens...

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от ALEX(XX) Посмотреть сообщение
    А если повредилась важная БД, для которой ещё не была сделана резервная копия?
    Если нет резервных копий, значит не важная

    Если вернутся к началу обсуждения и вспомнить что речь идёт о СureIt - утилите предназначенной изначально для борьбы с активным заражением, то такое поведение вполне оправдано, для сканера, если рассматривать полный дистрибутив - достаточно спорно, возможно есть смысл отключить проверку памяти при запуске, через ini'шку, у меня к примеру так и сделано.
    Последний раз редактировалось RiC; 20.11.2007 в 09:07.

Страница 1 из 2 12 Последняя

Похожие темы

  1. Need cure
    От Kai404 в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 14.12.2011, 15:53
  2. MBR Rootkit cure with AVZ
    От Bi!l в разделе Viruses, Adware, Spyware, Hijackers
    Ответов: 2
    Последнее сообщение: 26.11.2009, 12:57
  3. manual cure
    От vico в разделе Malware Removal Service
    Ответов: 1
    Последнее сообщение: 11.07.2009, 15:18
  4. manual cure
    От darwin в разделе Malware Removal Service
    Ответов: 1
    Последнее сообщение: 26.05.2009, 12:30
  5. Manual Cure
    От Ennio Alvarez в разделе Malware Removal Service
    Ответов: 11
    Последнее сообщение: 23.05.2009, 09:45

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01019 seconds with 16 queries