Перейти к содержанию

Recommended Posts

AlexCh

На сетевом ресурсе явно вижу два странных файла (kht, azgysy.exe) , проверяю трендом в ручную, пишет "Вирус Worm_Generic.DIT" результат "пропущена потенциальная угроза безопасности". Вопрос, почему тренд не выполняет никаких действий с заражённым файлом. В настройках OSCE в режиме реального и ручного сканирования установленно "лечить" а если невозможно, то поместить в карантин.

Спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

А какая версия Office Scan?

Включили опцию "scan mapped drives and shared folders"?

Папка, которую проверяете, случйано не VMware?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей Володенков

Если вирус определяется OfficeScan'ом как Generic это значит что сработала эвристика, значит файл подозрительный.

В OfficeScan можно включить удаление таких файлов. Как это сделать описано в следующих статьях: здесь и здесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexCh

Версия OSCE 8.0

Включили опцию "scan mapped drives and shared folders"?

Не смог найти данную опцию, можно подробнее указать где находиться?

Папка, которую проверяете, случйано не VMware?

Нет)

Если вирус определяется OfficeScan'ом как Generic это значит что сработала эвристика, значит файл подозрительный.

В OfficeScan можно включить удаление таких файлов. Как это сделать описано в следующих статьях: здесь и здесь.

Интересная система, штамп этого виря был занесён в базу и определён как worm, а он его считает подозрительным.

Minimum scan engine version needed: 8.900

Pattern file needed: 6.409.00

Pattern release date: Aug 31, 2009

В OfficeScan можно включить удаление таких файлов. Как это сделать описано в следующих статьях: здесь и здесь.

Product:OfficeScan - 10.0, а для 8,0 такая же система?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy
Product:OfficeScan - 10.0, а для 8,0 такая же система?

Для 8.0 читать здесь. Пункт 16.

Версия 10 потехнологичнее в этом смысле.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей Володенков
Product:OfficeScan - 10.0, а для 8,0 такая же система?

Да все так же.

Для 8.0 читать здесь. Пункт 16.

Версия 10 потехнологичнее в этом смысле.

Здесь пункт 17.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • SQx
      Приветствую Дмитрий,
      Похоже вы были правы из-за этого файла vboxnetflt.exe и возникали проблемы. После его удаление антивирус Kaspersky не ругается.
    • Andrian
      Ее можно установить дополнительно к антивирусу или она не требует установки?
    • SQx
      Дмитрий,

      Похоже я ошибся и не внимательно прочитал статью Sophos:

      Легитимная запись: "SCM Event Log Consumer" (type: NTEventLogEventConsumer) + "SCM Event Log Filter"
      Вредоносная запись : "SCM Events Log Consumer" (type: CommandLineEventConsumer) + "SCM Events Log Filter" Прошу прощения, что побеспокойл.
    • SQx
      Спасибо за ответ, похоже статья антивируса Sophos меня ввела в заблуждение.
      Запрошу проверить пользователя указанные файлы и запрошу у него лог в безопасном режиме.
    • demkd
      приветствую, в логе он стандартный ничего вредоносного в нем нет, причина точно не в нем.
      что видит касперский хз, может нащупал внедренный поток в один из файлов, например в vboxnetflt.exe, на который ругается uVS, а может это особенность его работы, я с ним не работал, но лог вообще плохой, масса защищенных файлов, какой-то левый драйвер в safe mode прописан, чистить и чистить его.
×