Worm.Autorun типа ложное срабатывание у Dr. Web - Помощь - Форумы Anti-Malware.ru Перейти к содержанию
Cooller

Worm.Autorun типа ложное срабатывание у Dr. Web

Автор Cooller, в Помощь

Recommended Posts

Cooller    20

Cooller
Опубликовано

Сегодня нашел вирус на флешке и решил отправить на анализ в Dr. Web, потому что он не определяет, так как другие антивирусы этот вирус определяют.

Вирус тотал

Но потом мне приходит письмо, что присланный файл не предоставляет угрозы, как так может быть?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    876

A.
Опубликовано

File size: 164 bytes

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Cooller    20

Cooller
Опубликовано
File size: 164 bytes

и что?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

K_Mikhail    807

K_Mikhail
Опубликовано
и что?

Скорее всего inf-файл от основного тела червя. Насколько я помню, такие файлы должны автоматически удаляться сканером Dr.Web при лечении основного тела червя. Для самих же таких inf-файлов детект с некоторых пор необязателен (по причине их удаления сканером -см. предыдущее предложение).

По ходу -- основное тело червя детектируется Dr.Web?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Cooller    20

Cooller
Опубликовано
Скорее всего inf-файл от основного тела червя. Насколько я помню, такие файлы должны автоматически удаляться сканером Dr.Web при лечении основного тела червя. Для самих же таких inf-файлов детект с некоторых пор необязателен (по причине их удаления сканером -см. предыдущее предложение).

По ходу -- основное тело червя детектируется Dr.Web?

У меня Kaspersky Internet Security 2010, и доктором иногда приходится пользоваться, вот решил помочь им.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Lias    5

Lias
Опубликовано

у меня тоже на флешке бывали autorun.inf, отсылал в вирлаб лк, и тоже приходил ответ, что файлы чисты. Автораны разные бывают :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Cooller    20

Cooller
Опубликовано
у меня тоже на флешке бывали autorun.inf, отсылал в вирлаб лк, и тоже приходил ответ, что файлы чисты. Автораны разные бывают :)

Касперский детект имеет, вот в чем дело.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Lias    5

Lias
Опубликовано
Касперский детект имеет, вот в чем дело.
не всех

уже спорил с вирлабом и на форуме

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

DaTa    182

DaTa
Опубликовано

Сам по себе autorun.inf это текстовый файл в который пишется путь к исполняемому файлу для автозапуска. Детектить нужно не инфы, а именно те файлы которые записанные в авторане. Что и хорошо делают АВ компании.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    876

A.
Опубликовано
Сам по себе autorun.inf это текстовый файл в который пишется путь к исполняемому файлу для автозапуска. Детектить нужно не инфы, а именно те файлы которые записанные в авторане. Что и хорошо делают АВ компании.

и в итоге у вас останется файл, который ничего не запускает и выдает ошибки при запуске, да ?

и пользователю придется его ручками убивать. если догадается.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Arakcheev    35

Arakcheev
Опубликовано
и в итоге у вас останется файл, который ничего не запускает и выдает ошибки при запуске, да ?

и пользователю придется его ручками убивать. если догадается.

Человек, видимо, лечился спайдером. Он действительно .инф оставляет. А вот если бы сканером проверил флешку, то он и вирь бы убил и .инф, и реестр (по необходимости) зачистит.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Umnik    997

Umnik
Опубликовано
Человек, видимо, лечился спайдером. Он действительно .инф оставляет. А вот если бы сканером проверил флешку, то он и вирь бы убил и .инф, и реестр (по необходимости) зачистит.

Это плохая логика работы. Я юзер, я должен получить "зашибись". Я не должен выбирать сканер или монитор, я должен получить одинаковый чистки результат при детекте хоть тем, хоть тем.

  • Upvote 5

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Arakcheev    35

Arakcheev
Опубликовано
Это плохая логика работы. Я юзер, я должен получить "зашибись". Я не должен выбирать сканер или монитор, я должен получить одинаковый чистки результат при детекте хоть тем, хоть тем.

Начиная с 6-ой версии, все именно так и работает. Спайдер умеет почти все что умеет сканер.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Cooller    20

Cooller
Опубликовано
Человек, видимо, лечился спайдером. Он действительно .инф оставляет. А вот если бы сканером проверил флешку, то он и вирь бы убил и .инф, и реестр (по необходимости) зачистит.

Проверял через Вирус Тотал, все нормальные антивирусы определяют. Значит если бы у меня, был установлен антивирус Dr. Web, то детект был бы, да?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Arakcheev    35

Arakcheev
Опубликовано
Проверял через Вирус Тотал, все нормальные антивирусы определяют. Значит если бы у меня, был установлен антивирус Dr. Web, то детект был бы, да?

Сам по себе .инф всего лишь текстовый файл. В вашем случае он бы удалили вирус, и если на этот вирус указывает этот файл. инф, он тоже будет удален, зачищены все необходимые ветки рестра.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Помощь

  • Сообщения

    • Ego Dekker
      Актуальные версии ESET Cyber Security 9

      От Ego Dekker · Опубликовано

      ESET Cyber Security 9.0.4300  (macOS 11/12/13/14/15/26)
                                                                                  ●
              Руководство пользователя ESET Cyber Security 9  (PDF-файл)
                                                                           
      Полезные ссылки:
      Технологии ESET
      Удаление антивирусов других компаний
      Как удалить ESET Cyber Security?
    • Ego Dekker
      Актуальные версии антивируса 18-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 18.2.18.
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Появился очередной случай неадекватного поведения антивируса, в это раз отличился касперский, при попытке восстановить реестр процесс был прерван антивирусом, что привело к проблемам с загрузкой системы.
      ВСЕГДА выключайте антивирус перед запуском uVS и восстановлением реестра из бэкапа.
      Пожалуй это надо вынести в заголовок стартового окна большими буквами.
    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      эти функции небезопасные, лучше их оставить в ручном режиме.
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       5.0.1
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой могло неправильно отображаться имя родителя процесса в информации о файле.

       o В список для проверки добавлен ключ реестра используемый зловредами для неявного запуска программ с обходом UAC с помощью системных утилит.
         (для текущей версии Win11 24H2 проблема актуальна)
         В случае обнаружении исполняемого файла он будет добавлен в подозрительные.
         Автоматический сброс статуса этого файла по хэшу/эцп будет заблокирован.
         FRST пока эту дыру в безопасности не видит.

       o В список теперь может быть добавлено подозрительное значение ключа реестра.
         Это значение после его проверки можно удалить из реестра через контекстное меню с помощью пункта "Удаление всех ссылок на объект".
         (!) Если значение это пустая строка то такие значения рекомендуются всегда удалять.

       o Обновлен модуль rest до v1.21.
       
×