Worm.Autorun типа ложное срабатывание у Dr. Web

[Cooller 20]

Сегодня нашел вирус на флешке и решил отправить на анализ в Dr. Web, потому что он не определяет, так как другие антивирусы этот вирус определяют.

Вирус тотал

Но потом мне приходит письмо, что присланный файл не предоставляет угрозы, как так может быть?

[A. 876]

File size: 164 bytes

[Cooller 20]

File size: 164 bytes

и что?

[K_Mikhail 807]

и что?

Скорее всего inf-файл от основного тела червя. Насколько я помню, такие файлы должны автоматически удаляться сканером Dr.Web при лечении основного тела червя. Для самих же таких inf-файлов детект с некоторых пор необязателен (по причине их удаления сканером -см. предыдущее предложение).

По ходу -- основное тело червя детектируется Dr.Web?

[Cooller 20]

Скорее всего inf-файл от основного тела червя. Насколько я помню, такие файлы должны автоматически удаляться сканером Dr.Web при лечении основного тела червя. Для самих же таких inf-файлов детект с некоторых пор необязателен (по причине их удаления сканером -см. предыдущее предложение).

По ходу -- основное тело червя детектируется Dr.Web?

У меня Kaspersky Internet Security 2010, и доктором иногда приходится пользоваться, вот решил помочь им.

[Lias 5]

у меня тоже на флешке бывали autorun.inf, отсылал в вирлаб лк, и тоже приходил ответ, что файлы чисты. Автораны разные бывают

[Cooller 20]

у меня тоже на флешке бывали autorun.inf, отсылал в вирлаб лк, и тоже приходил ответ, что файлы чисты. Автораны разные бывают

Касперский детект имеет, вот в чем дело.

[Lias 5]

Касперский детект имеет, вот в чем дело.

не всех

уже спорил с вирлабом и на форуме

[DaTa 182]

Сам по себе autorun.inf это текстовый файл в который пишется путь к исполняемому файлу для автозапуска. Детектить нужно не инфы, а именно те файлы которые записанные в авторане. Что и хорошо делают АВ компании.

[A. 876]

Сам по себе autorun.inf это текстовый файл в который пишется путь к исполняемому файлу для автозапуска. Детектить нужно не инфы, а именно те файлы которые записанные в авторане. Что и хорошо делают АВ компании.

и в итоге у вас останется файл, который ничего не запускает и выдает ошибки при запуске, да ?

и пользователю придется его ручками убивать. если догадается.

[Arakcheev 35]

и в итоге у вас останется файл, который ничего не запускает и выдает ошибки при запуске, да ?

и пользователю придется его ручками убивать. если догадается.

Человек, видимо, лечился спайдером. Он действительно .инф оставляет. А вот если бы сканером проверил флешку, то он и вирь бы убил и .инф, и реестр (по необходимости) зачистит.

[Umnik 997]

Человек, видимо, лечился спайдером. Он действительно .инф оставляет. А вот если бы сканером проверил флешку, то он и вирь бы убил и .инф, и реестр (по необходимости) зачистит.

Это плохая логика работы. Я юзер, я должен получить "зашибись". Я не должен выбирать сканер или монитор, я должен получить одинаковый чистки результат при детекте хоть тем, хоть тем.

[Arakcheev 35]

Это плохая логика работы. Я юзер, я должен получить "зашибись". Я не должен выбирать сканер или монитор, я должен получить одинаковый чистки результат при детекте хоть тем, хоть тем.

Начиная с 6-ой версии, все именно так и работает. Спайдер умеет почти все что умеет сканер.

[Cooller 20]

Человек, видимо, лечился спайдером. Он действительно .инф оставляет. А вот если бы сканером проверил флешку, то он и вирь бы убил и .инф, и реестр (по необходимости) зачистит.

Проверял через Вирус Тотал, все нормальные антивирусы определяют. Значит если бы у меня, был установлен антивирус Dr. Web, то детект был бы, да?

[Arakcheev 35]

Проверял через Вирус Тотал, все нормальные антивирусы определяют. Значит если бы у меня, был установлен антивирус Dr. Web, то детект был бы, да?

Сам по себе .инф всего лишь текстовый файл. В вашем случае он бы удалили вирус, и если на этот вирус указывает этот файл. инф, он тоже будет удален, зачищены все необходимые ветки рестра.