Перейти к содержанию
duno

Вирус WORM_ARESES.GEN

Recommended Posts

duno

Опытные специалисты прокомментируйте пожалуйста, очень нужен ценный совет.

ОС: Win XP SP2 RUS

Office Scan Client 6.5

При Real Time Scan обнаружил вирус WORM_ARESES.GEN в файле папки

C:System Volume Information_restore{A8388-DD76-47C4-8FDA....}RP117A00200195.exe

Антивирусник настроен так, что при обнаружении вируса 1-е действие-лечение, 2-е - реремещать в папку на Карантин.

Файл перемещен в папку на диске ....Office Scan ClientSUSPECT

Вопросы:

1. Файлы перемещенные в эту папку антивирусником представляют угрозу для компьютера?

2. Где в настройках посмотреть "по прошествии какого времени" удаляются файлы на карантине?

3.Что это за вирус WORM_ARESES.GEN и почему его обнаружил в папке восстановления системы?

4. Почему только сейчас он их обнаружил?

За последние 4 месяца новых программ на машину не ставилось, антивирусник обновляется через Roaming Mode, UpdateTMAU.

5. Могу я быть уверен, что избавился от вируса? (как проверить это)

Если нет, самый главный вопрос, как грамотно вылечить машину от вируса(ов)?

Например, отключить Восстановление системы, загрузится в Safe Mode(F8 при загрузке), проверить Trend Micro весь компьютер.

Или потом еще, дополнительно, загрузится с Live CD c KAV 5 с новыми базами, опять проверить компьютер на вирусы.

Опытные специалисты прокомментируйте пожалуйста, очень нужен ценный совет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

1. Нет.

3. Это эвристическое детектирование, поэтому нельзя однозначно сказать, вирус ли это.

4. Вероятно, эвристический образец пришел в обновлении недавно.

5. Просто сделайте полную проверку компьютера (SafeMode - не обязательно, но можно).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
duno

Спасибо Вам, огромное, за ответ.

3. Это эвристическое детектирование, поэтому нельзя однозначно сказать, вирус ли это.
А как это понять, обьясните, пожалуйста, популярно?

Не знаю что такое эвристическое детектирование

Несколькими днями назад, я проверял комп с Live CD KAV 5(обновление баз 22-01-2007) и он обнаруживал вирусы, в тех же файлах, которые Trend поместил в папку для карантина, т.е. в папку ....Office Scan ClientSUSPECT

Я тогда подумал, что это какие-то файлы Trend'а и поэтому KAV 5 на них ругается по причине, что два антивируса не живут вместе.

Т.к эти файлы Trend и KAV 5 определяет как вирусы, выходит , что это действительно зараженные файлы?

4. Вероятно, эвристический образец пришел в обновлении недавно.

Некоторые клиенты настроены так, что за 1-м действием лечение следует 2-е действие - удаление. Выходит антивирусник удалит все вирусоватые (по его мнению) файлы из папки C:System Volume Information... . А эта папка отвечат за восстановление системы, и если потом я захочу сделать откат в ранее сохраненную системой точку, то Windows может показать мне большую "фигу"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

3. Это значит, что код файла или его поведение слишком сильно похожи на некоторый уже известный вирус.

4. Нет, на успешность восстановления системы это не будет влиять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Несколькими днями назад, я проверял комп с Live CD KAV 5(обновление баз 22-01-2007) и он обнаруживал вирусы, в тех же файлах, которые Trend поместил в папку для карантина, т.е. в папку ....Office Scan ClientSUSPECT

Я тогда подумал, что это какие-то файлы Trend'а и поэтому KAV 5 на них ругается по причине, что два антивируса не живут вместе.

Т.к эти файлы Trend и KAV 5 определяет как вирусы, выходит , что это действительно зараженные файлы?

Перед помещением файлов в карантин, OSCE их шифрует, чтобы они не представляли опасности --- их нельзя было запустить дабл-кликом.

KAV расшифровывет эти файлы и естественно находит там вредоносный код.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
duno

Благодарю за ответы.

Сегодня сделал полную проверку этой машины на вирусы.

Запускал проверку после загрузки Windows в обычном режиме.

Нашел еще вирус тот же самый в файле архива.

Раннее этот архив был распакован и, так же ранее, был обнаружен вирус в файле уже распакованного архива и перемещен в папку для карантина.

Сейчас при полной проверке, Trend просканировал этот архив и обнаружил там вирус. После чего весь архив переместил в папку для карантина.

Вот что заитересовало:

В этой папке ....Office Scan ClientSUSPECT вместе с архивом(вирусоватым) появился файл с именем архива_75с.VIR

Поясню, имя архива.RAR

имя архива_75с.VIR

Что это за файл такой: имя архива_75с.VIR ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Просто переименованный архив с измененным расширением.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
duno
Просто переименованный архив с измененным расширением.

Зачем его переименовал тогда, если в эту же папку помещен сам архив с именем "имя архива.RAR"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

А.. тогда, возможно, какая-то служебная информация для нужд самого антивируса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Просто переименованный архив с измененным расширением.

Зачем его переименовал тогда, если в эту же папку помещен сам архив с именем "имя архива.RAR"

При попытке вторично переместить файл в карантин OSCE переименовал его, так как в одну папку нельзя поместить два файла с одинаковым именем. У происходящего могут быть и другие объяснения. OSCE штука хитрая --- его простота только внешняя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • alamor
      @demkd, вот неудобно, что посмотришь подробную инфу о файле по дабл-клику - примешь решение удалять его. И нельзя сразу из того же окна удалить его (или ссылки на него). Надо выходить из того окна и так. 

       
    • Александр57
      На вкладке "защита" не активен на вкл. ползунки "защита от программ вымогателей" и "проверка на наличие рукитов". Как включить? Программам Malwarebytes premium лицензионная.
    • PR55.RP55
      т.е.  в settings.ini можно прописать так: ; Включить поддержку белого списка ЭЦП. (по умолчанию 0)
      ; Список хранится в файле wdsl, который представляет собой обычный текстовый файл в unicode ; ;  ; ; кодировке.
      ; Одна строка - одно имя, регистр важен.
      bUseWDSList = 1
      ; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
      ; (файлы скрываются при запуске функции автоскрипт)
      ; Функция применима при работе с сигнатурами.
      ImgAutoHideVerified = 1
    • PR55.RP55
      WDLS Параметр в settings.ini
         [Settings]
         ; Включить поддержку белого списка ЭЦП.
           bUseWDSList (по умолчанию 0) ------------    ; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
         ; (файлы скрываются при запуске функции автоскрипт)
           ImgAutoHideVerified (по умолчанию 0) ---------- Это файл который вы сами составляете\дополняете из Инфо. файла. Это список белых Электронно Цифровых Подписей. Настройка позволяет считать проверенными не все ЭЦП, а только те которые были добавлены вами. Например:  Действительна, подписано """Ask-Integrator"", Ltd." Имеет легальную подпись - однако данной ЭЦП нет в списке  WDLS  файлы подписанные """Ask-Integrator"", Ltd." не будут считаться проверенными. -------- Сам файл в теме. wdsl.7z * Если в категории:  " Белый список ЭЦП"  вы видите список - значит всё настроено верно. Файл в приложении, расценивайте как образец. Что-то можно убавит, что-то добавить. ( с соблюдением кодировки )
    • Dragokas
      Объясните тёмному человеку, что такое WDLS ?
×