Перейти к содержанию
Cooller

Worm.Autorun типа ложное срабатывание у Dr. Web

Recommended Posts

Cooller

Сегодня нашел вирус на флешке и решил отправить на анализ в Dr. Web, потому что он не определяет, так как другие антивирусы этот вирус определяют.

Вирус тотал

Но потом мне приходит письмо, что присланный файл не предоставляет угрозы, как так может быть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

File size: 164 bytes

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Cooller
File size: 164 bytes

и что?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
и что?

Скорее всего inf-файл от основного тела червя. Насколько я помню, такие файлы должны автоматически удаляться сканером Dr.Web при лечении основного тела червя. Для самих же таких inf-файлов детект с некоторых пор необязателен (по причине их удаления сканером -см. предыдущее предложение).

По ходу -- основное тело червя детектируется Dr.Web?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Cooller
Скорее всего inf-файл от основного тела червя. Насколько я помню, такие файлы должны автоматически удаляться сканером Dr.Web при лечении основного тела червя. Для самих же таких inf-файлов детект с некоторых пор необязателен (по причине их удаления сканером -см. предыдущее предложение).

По ходу -- основное тело червя детектируется Dr.Web?

У меня Kaspersky Internet Security 2010, и доктором иногда приходится пользоваться, вот решил помочь им.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lias

у меня тоже на флешке бывали autorun.inf, отсылал в вирлаб лк, и тоже приходил ответ, что файлы чисты. Автораны разные бывают :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Cooller
у меня тоже на флешке бывали autorun.inf, отсылал в вирлаб лк, и тоже приходил ответ, что файлы чисты. Автораны разные бывают :)

Касперский детект имеет, вот в чем дело.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lias
Касперский детект имеет, вот в чем дело.
не всех

уже спорил с вирлабом и на форуме

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

Сам по себе autorun.inf это текстовый файл в который пишется путь к исполняемому файлу для автозапуска. Детектить нужно не инфы, а именно те файлы которые записанные в авторане. Что и хорошо делают АВ компании.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Сам по себе autorun.inf это текстовый файл в который пишется путь к исполняемому файлу для автозапуска. Детектить нужно не инфы, а именно те файлы которые записанные в авторане. Что и хорошо делают АВ компании.

и в итоге у вас останется файл, который ничего не запускает и выдает ошибки при запуске, да ?

и пользователю придется его ручками убивать. если догадается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arakcheev
и в итоге у вас останется файл, который ничего не запускает и выдает ошибки при запуске, да ?

и пользователю придется его ручками убивать. если догадается.

Человек, видимо, лечился спайдером. Он действительно .инф оставляет. А вот если бы сканером проверил флешку, то он и вирь бы убил и .инф, и реестр (по необходимости) зачистит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Человек, видимо, лечился спайдером. Он действительно .инф оставляет. А вот если бы сканером проверил флешку, то он и вирь бы убил и .инф, и реестр (по необходимости) зачистит.

Это плохая логика работы. Я юзер, я должен получить "зашибись". Я не должен выбирать сканер или монитор, я должен получить одинаковый чистки результат при детекте хоть тем, хоть тем.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arakcheev
Это плохая логика работы. Я юзер, я должен получить "зашибись". Я не должен выбирать сканер или монитор, я должен получить одинаковый чистки результат при детекте хоть тем, хоть тем.

Начиная с 6-ой версии, все именно так и работает. Спайдер умеет почти все что умеет сканер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Cooller
Человек, видимо, лечился спайдером. Он действительно .инф оставляет. А вот если бы сканером проверил флешку, то он и вирь бы убил и .инф, и реестр (по необходимости) зачистит.

Проверял через Вирус Тотал, все нормальные антивирусы определяют. Значит если бы у меня, был установлен антивирус Dr. Web, то детект был бы, да?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arakcheev
Проверял через Вирус Тотал, все нормальные антивирусы определяют. Значит если бы у меня, был установлен антивирус Dr. Web, то детект был бы, да?

Сам по себе .инф всего лишь текстовый файл. В вашем случае он бы удалили вирус, и если на этот вирус указывает этот файл. инф, он тоже будет удален, зачищены все необходимые ветки рестра.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 17.2.7.
    • demkd
      ---------------------------------------------------------
       4.15.7
      ---------------------------------------------------------
       o Исправлена старая ошибка проверки ЭЦП: "Not a cryptographic message or the cryptographic message is not formatted correctly"
         проявляющаяся в некоторых системах.

       o Обновлена база известных файлов.

       
    • demkd
      ---------------------------------------------------------
       4.15.6
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой автоматически не замораживались потоки внедренные в uVS,
         если их код НЕ принадлежал одной из загруженных DLL.

       o Добавлена поддержка английского интерфейса при запуске под Win2k.

       
    • demkd
      Иногда спрашивают, как загрузиться в командную строку без диска, я постоянно забывают дополнить Общий FAQ.
      И вот наконец-то я про это вспомнил:
      Q: Как запустить uVS с командной строки Windows без использования загрузочного диска/флешки для работы с НЕактивной системой.
         (!) Для текущей версии uVS работа с командной строки доступна только для 32-х битных систем. (что бы работало в x64 системах, нужно делать uVS x64 и это запланировано).
         1. Если у вас Windows 8 и старше, то запустите start.exe и нажмите кнопку "Перезагрузить систему в меню дополнительных параметров загрузки".
         2. Далее в меню "Поиск и устранение неисправностей->Дополнительные параметры->Командная строка"
         3. Выберите админскую учетную запись и введите для нее пароль.
         4. Запустите start.exe из каталога uVS с командной строки.
            (!) Обычно система расположена на диске D.
                Например: uVS лежит в каталоге С:\uvs (в командной строке это будет D:\uvs)
                Для запуска uVS необходимо последовательно набрать 3 команды, завершая каждую нажатием клавиши Enter.
                1. d:
                2. cd d:\uvs
                3. start.exe
         5. Выбрать каталог Windows (обычно D:\Windows).
         Если у вас Windows 7 и младше, то в меню вы можете попасть только нажав F8 при перезагрузке системы
         (!) Использовать msconfig для этого не рекомендуется, система может не загрузиться после его использования.
         Для младших систем доступен только безопасный режим с поддержкой командной строки, т.е. система будет активна.
       
    • demkd
      ---------------------------------------------------------
       4.15.5
      ---------------------------------------------------------
       o Обновлена функция трансляции переменных окружения USERPROFILE, HOMEPATH, LOCALAPPDATA, APPDATA.
         Значения этих переменных теперь зависят от того где физически находится lnk файл.
         Теперь с разбором lnk файлов будет меньше проблем, но я все же рекомендую удалять ссылки
         на отсутствующие объекты только под текущем пользователем.

       o Исправлена функция разбора путей не содержащих букву диска.

       o Исправлена функция разбора аргументов rundll32.

       o Обновлен start.exe.
         o Обновлен интерфейс.
         o Изменена кнопка по умолчанию, теперь это "запуск под текущим пользователем".
         o Исправлена ошибка: при определенных параметрах повторный запуск uVS в режиме "до запуска эксплорера" был невозможен.
         
×