Вирус WORM_ARESES.GEN

[duno 0]

Опытные специалисты прокомментируйте пожалуйста, очень нужен ценный совет.

ОС: Win XP SP2 RUS

Office Scan Client 6.5

При Real Time Scan обнаружил вирус WORM_ARESES.GEN в файле папки

C:System Volume Information_restore{A8388-DD76-47C4-8FDA....}RP117A00200195.exe

Антивирусник настроен так, что при обнаружении вируса 1-е действие-лечение, 2-е - реремещать в папку на Карантин.

Файл перемещен в папку на диске ....Office Scan ClientSUSPECT

Вопросы:

1. Файлы перемещенные в эту папку антивирусником представляют угрозу для компьютера?

2. Где в настройках посмотреть "по прошествии какого времени" удаляются файлы на карантине?

3.Что это за вирус WORM_ARESES.GEN и почему его обнаружил в папке восстановления системы?

4. Почему только сейчас он их обнаружил?

За последние 4 месяца новых программ на машину не ставилось, антивирусник обновляется через Roaming Mode, UpdateTMAU.

5. Могу я быть уверен, что избавился от вируса? (как проверить это)

Если нет, самый главный вопрос, как грамотно вылечить машину от вируса(ов)?

Например, отключить Восстановление системы, загрузится в Safe Mode(F8 при загрузке), проверить Trend Micro весь компьютер.

Или потом еще, дополнительно, загрузится с Live CD c KAV 5 с новыми базами, опять проверить компьютер на вирусы.

Опытные специалисты прокомментируйте пожалуйста, очень нужен ценный совет.

[Николай Головко 70]

1. Нет.

3. Это эвристическое детектирование, поэтому нельзя однозначно сказать, вирус ли это.

4. Вероятно, эвристический образец пришел в обновлении недавно.

5. Просто сделайте полную проверку компьютера (SafeMode - не обязательно, но можно).

[duno 0]

Спасибо Вам, огромное, за ответ.

3. Это эвристическое детектирование, поэтому нельзя однозначно сказать, вирус ли это.

А как это понять, обьясните, пожалуйста, популярно?

Не знаю что такое эвристическое детектирование

Несколькими днями назад, я проверял комп с Live CD KAV 5(обновление баз 22-01-2007) и он обнаруживал вирусы, в тех же файлах, которые Trend поместил в папку для карантина, т.е. в папку ....Office Scan ClientSUSPECT

Я тогда подумал, что это какие-то файлы Trend'а и поэтому KAV 5 на них ругается по причине, что два антивируса не живут вместе.

Т.к эти файлы Trend и KAV 5 определяет как вирусы, выходит , что это действительно зараженные файлы?

4. Вероятно, эвристический образец пришел в обновлении недавно.

Некоторые клиенты настроены так, что за 1-м действием лечение следует 2-е действие - удаление. Выходит антивирусник удалит все вирусоватые (по его мнению) файлы из папки C:System Volume Information... . А эта папка отвечат за восстановление системы, и если потом я захочу сделать откат в ранее сохраненную системой точку, то Windows может показать мне большую "фигу"?

[Николай Головко 70]

3. Это значит, что код файла или его поведение слишком сильно похожи на некоторый уже известный вирус.

4. Нет, на успешность восстановления системы это не будет влиять.

[Михаил Кондрашин 55]

Несколькими днями назад, я проверял комп с Live CD KAV 5(обновление баз 22-01-2007) и он обнаруживал вирусы, в тех же файлах, которые Trend поместил в папку для карантина, т.е. в папку ....Office Scan ClientSUSPECT

Я тогда подумал, что это какие-то файлы Trend'а и поэтому KAV 5 на них ругается по причине, что два антивируса не живут вместе.

Т.к эти файлы Trend и KAV 5 определяет как вирусы, выходит , что это действительно зараженные файлы?

Перед помещением файлов в карантин, OSCE их шифрует, чтобы они не представляли опасности --- их нельзя было запустить дабл-кликом.

KAV расшифровывет эти файлы и естественно находит там вредоносный код.

[duno 0]

Благодарю за ответы.

Сегодня сделал полную проверку этой машины на вирусы.

Запускал проверку после загрузки Windows в обычном режиме.

Нашел еще вирус тот же самый в файле архива.

Раннее этот архив был распакован и, так же ранее, был обнаружен вирус в файле уже распакованного архива и перемещен в папку для карантина.

Сейчас при полной проверке, Trend просканировал этот архив и обнаружил там вирус. После чего весь архив переместил в папку для карантина.

Вот что заитересовало:

В этой папке ....Office Scan ClientSUSPECT вместе с архивом(вирусоватым) появился файл с именем архива_75с.VIR

Поясню, имя архива.RAR

имя архива_75с.VIR

Что это за файл такой: имя архива_75с.VIR ?

[Николай Головко 70]

Просто переименованный архив с измененным расширением.

[duno 0]

Просто переименованный архив с измененным расширением.

Зачем его переименовал тогда, если в эту же папку помещен сам архив с именем "имя архива.RAR"

[Николай Головко 70]

А.. тогда, возможно, какая-то служебная информация для нужд самого антивируса.

[Михаил Кондрашин 55]

Просто переименованный архив с измененным расширением.

Зачем его переименовал тогда, если в эту же папку помещен сам архив с именем "имя архива.RAR"

При попытке вторично переместить файл в карантин OSCE переименовал его, так как в одну папку нельзя поместить два файла с одинаковым именем. У происходящего могут быть и другие объяснения. OSCE штука хитрая --- его простота только внешняя.

[duno 0]

Благодарю за ответы!