4rward

Kaspersky отправил в карантин Windows Explorer

В этой теме 21 сообщений

Дефективное сигнатурное обновление от Kaspersky Lab блокирует Windows Explorer (explorer.exe) как приложение, зараженное вирусом. В результате основной компонент Windows оказывается в карантине или, что еще хуже, удаляется.

Kaspersky Lab опубликовала рекомендации по восстановлению безопасных файлов, помещенных в карантин. Но это не очень утешает пользователей, которые установили автоматическое удаление инфицированных файлов.

Среди пострадавших был читатель The Register Карл (Carl) «У меня заблокировался файл explorer.exe, -сообщает он. - Для решения проблемы потребовалось несколько часов».

Посетив форум сайта Kaspersky, Карл увидел, что он далеко не единственный, кто столкнулся с подобной проблемой. Сообщения о ложных предупреждениях антивируса после обновления баз свидетельствуют, что работа некоторых машин была остановлена.

Дефектные антивирусные сигнатурные обновления - не редкость. Однако последняя ошибка Kaspersky затрагивает основной компонент Windows, сообщает The Register.

Дэвид Эмм (David Emm), старший консультант по технологиям Kaspersky Lab UK, сказал: «Ложные тревоги иногда случаются, и мы относимся к ним очень серьезно. Мы тестируем системы в целях минимизации риска, но иногда случается и такое».

http://www.cnews.ru/news/line/index.shtml?2007/12/21/280697

Интересно ,а как там F-SECURE И ДР.

Добавлено спустя 3 минуты 37 секунд:

Да , чуть не забыл - любители и фанаты KAV(не все конечно :D ) - будьте бдительны и не забывайте понижать мну карму ,как обычно,при обсуждении и при прочтении моих комментов. :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ночью, 20 декабря 2007 года, было зафиксировано ложное срабатывание продуктов Лаборатории Касперского на один из системных файлов ОС семейства Windows - explorer.exe. В настоящий момент ошибка в антивирусных базах (сигнатур угроз) была исправлена. Однако, последствия могут проявляться в следующем:

-отсутствует Рабочий стол

-отсутствует меню Пуск и Панель задач

Лаборатория Касперского приносит свои извинения за причиненные неудобства.

http://support.kaspersky.ru/viruses/computers?qid=208635823

Добавлено спустя 1 минуту 54 секунды:

Re: Kaspersky отправил в карантин Windows Explorer

Да , чуть не забыл - любители и фанаты KAV(не все конечно :D ) - будьте бдительны и не забывайте понижать мну карму ,как обычно,при обсуждении и при прочтении моих комментов. :lol:

кому ты нужен нодер :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
кому ты нужен нодер

Я не нодер а Dr.web32ер :D

моя подпись к комментариям скорее ирония (кто понял ,конечно).

Дело не в этом -любите обсуждать чужие ошибки - так давайте пообсуждаем и свои собственные .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Дело не в этом -любите обсуждать чужие ошибки - так давайте пообсуждаем и свои собственные .

давайте :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
давайте

КАV хвалится очень высокой реакцией на угрозы (я это не оспариваю).Положительные стороны этого всем очевидны.Отрицательные стороны - неоптимизированные базы и потенциальные ложные срабатывания.В данном случае фолс на explorer.exe довольно серьёзный т.к. последний -

основной компонент Windows, сообщает The Register.

Какие по-вашему мнению стоит сделать выводы и есть ли компромис ?

Многие скажут , что от этого никто не застрахован и подобное с др. вендорами АВ тоже случается .

Я лично желаю удачи всем и меньше фолсов российским разработчикам АВ в наступающем году.

Добавлено спустя 20 минут 29 секунд:

Я к КАВ отрицательно не отношусь

Своей темой я хотел подчеркнуть ,что бочка мёда хвалённой быстрой реакции может быть испорчена ложкой дёгтя громкого фолса :!:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Дэвид Эмм (David Emm), старший консультант по технологиям Kaspersky Lab UK, сказал: «Ложные тревоги иногда случаются, и мы относимся к ним очень серьезно. Мы тестируем системы в целях минимизации риска, но иногда случается и такое».

Shit happens.

На самом деле Дэвид сказал чуть больше:

This is classic false-alarm territory," Emm said. "We will check through our systems and see if we can tighten them up so we don't run into this problem in the future. No antivirus company, including ourselves, can say they have never had a false alarm, (but) on all fronts, we do what we can to minimize any potential risk for our customers."

Emm pointed out that Kaspersky adds about 3,000 records per week to its database, demonstrating the "scale of the issue, in terms of testing procedures."

The "offending signature" went out at around 7 p.m. on Wednesday, according to Emm, who claimed that it was pulled two hours later in a "makeshift" attempt to limit the damage while Kaspersky examined the signature.

"We proactively went out to our enterprise customers to make them aware there was this potential issue," Emm said. "Only one corporate customer (in the U.K.) encountered this problem, as well as a handful of home users." He added that users who have not changed their default settings would have found explorer.exe to be only quarantined, rather than deleted.

А вот это вы читали ?

--

19.12.07, Ср, 12:45, Мск

По данным СМИ США, все большее число пользователей жалуются на проблемы в работе Internet Explorer, появившиеся вместе с последним обновлением. Проблемы касаются ПК с установленными Internet Explorer 6 и 7 под Windows XP и Vista.

После установки обновления, которое устраняет критические уязвимости в ПО, Internet Explorer, как утверждают некоторые пользователи, прекращает работу или сразу при запуске, или при попытке загрузить некоторые веб-страницы. Это происходит при посещении сайтов известных компаний, например, FedEx. В настоящее время Microsoft изучает данный вопрос.

Проблемы, упоминаемые в бюллетене безопасности MS07-069, не объясняют данное явление. Microsoft предполагает, что проблема вызвана потерей данных реестра, которые должны были прописываться при установке обновления. Администраторам не рекомендуется удалять обновление, поскольку оно устраняет серьезные уязвимости, которые могут использоваться для внедрения вредоносного кода посредством веб-страниц, сообщает Heise Security. В качестве решения проблемы предлагается просматривать страницы, не отображаемые IE, с помощью альтернативного браузера, такого, как Firefox, Opera и Safari, до тех пор, пока Microsoft не решит этот вопрос.

--

Вот этот самый IE и задетектился....

P.S. А, нет, не этот. Ну да какая уже разница ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Администраторам не рекомендуется удалять обновление, поскольку оно устраняет серьезные уязвимости, которые могут использоваться для внедрения вредоносного кода посредством веб-страниц

Вчера попытался поставить SP1 на Висту.. Весит всё это хозяйство 548 мегабайт, называется KB936330.

Ставилось всё в течение часа, установка закончилась BSODом и полной неработоспособностью системы :(

Так что пускай Микрософт научится делать обновления к своей системе (да и сами системы не мешало бы научиться делать :lol: ) а затем уж производители ПО что-то антивирусного к этим системам пусть придумают..

Ещё хорошо, хоть образ сделал Акронисом заблаговременно, а то бы всё пришлось ставить заново, это вам не один файлик в системе восстановить :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Среди пострадавших был читатель The Register Карл (Carl) «У меня заблокировался файл explorer.exe, -сообщает он. - Для решения проблемы потребовалось несколько часов».

7 минут, ровно столько я потратил на решение проблемы...Значит как жаловаться в Инете эти люди спецы а как небольшую проблемку решить так у них руки кривые...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну бывает и так :) развели демагогию )))

кого-нибудь уволили из лк за это кстати? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
кого-нибудь уволили из лк за это кстати? :)

Ну почему увольнять?! Мало-ли кто может совершить ошибку!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
кого-нибудь уволили из лк за это кстати?

Если бы за все допущенные фолсы Касперский увольнял, то уже давно ходил с уборщицей по безлюдному зданию ЛК.

А в чём проблема? Я уже по этому поводу полгода назад дискутировал, и тут на форуме, и на форуме ЛК и с E.K.

Основной совет (когда начинаешь нажимать: -Что ваши ошибки мне создают офигенные проблемы, времени, и стоят немало нервов) от всех гуру ЛК:- Не нравиться не пользуйся!

Совет мной был учтен, и я уже давно перевёл всю свою сетку на другой продукт. И нисколько не пожалел об этом. Так что спасибо ЛК что открыло мне глаза ещё полгода назад!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если бы за все допущенные фолсы Касперский увольнял, то уже давно ходил с уборщицей по безлюдному зданию ЛК.

:lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
КАV хвалится очень высокой реакцией на угрозы (я это не оспариваю).Положительные стороны этого всем очевидны.Отрицательные стороны - неоптимизированные базы и потенциальные ложные срабатывания.

Всё же практика показывает, что увеличение времени реагирования вряд ли решит проблему ложных срабатываний. И не факт, что уменьшит её. Тенденции "медленнее = надёжнее" с антивирусными продуктами не наблюдается. Так что моё мнение такое: проблема ложных срабатываний есть, она серъёзная, надо её решать, но замедление времени реагирования - не решение.

Лично мне не совсем понятно. Ведь обновлённые базы так или иначе прогоняются на тестовой базе чистых файлов перед выкладкой. Как получилось, что в этой базе не было explorer.exe?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот-вот. Очень не дорого (для такой компании) иметь стенды с матерями и видяхами разных производителей и держать на них от Win2k SP4 до WinVista.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Помнится, несколько лет назад была распиариная новость о том, что ЛК закупили какие то мощные дата-центры для тестирования баз перед выпуском обновлений (вроде). Если так оно и есть, то нынешняя проблема это чистое головотяпство. Либо виноват дежурный смены (если у них таковой есть), просто поленившийся потестить апдейт. Или же датацентр был занят или вышел из строя, а апдейт выкладывать надо (потому что график) и решили выложить так, на свой страх и риск (а это уже - нарушение технологического процесса).

Очень не дорого (для такой компании) иметь стенды с матерями и видяхами разных производителей и держать на них от Win2k SP4 до WinVista

Уверен что чтото подобное в ЛК есть (как минимум кучи файлов, в том числе системных, сваленных с таких машин). Так что или технический сбой или человеческий фактор.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У ЛК базы выкладывает и формирует робот-автомат, спецы кормят его сигнатурами а он выкладывает. Накакнуне этого проишествия на форуме ЛК в разделе "Борьба с вирусами" шло обсуждение файла explorer.exe и iexplorer.exe, которые гуляют по сети и почте (сам такой получал по почте но ни как не определился), вот видимо хотели добавить в базы а он на оригинал сработал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Всё же практика показывает, что увеличение времени реагирования вряд ли решит проблему ложных срабатываний. И не факт, что уменьшит её. Тенденции "медленнее = надёжнее" с антивирусными продуктами не наблюдается. Так что моё мнение такое: проблема ложных срабатываний есть, она серъёзная, надо её решать, но замедление времени реагирования - не решение.

whitelisting.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
whitelisting.

ЛК и bit9 уже дружат, так что все будет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В своей практике я тоже не раз замечал, что в некоторых случаях заражения вирусами при лечении активного заражения Антивирус Касперского (в. 6 и 7) действительно схватывает первым делом EXPLORER.EXE.

По-моему тут выход один - при первом его сообщении о том, что EXPLORER.EXE заражён (когда ещё не удаётся выполнить правильную настройку только что установленного Антивируса), лучше выбрать кнопку "Пропустить" и тут же настроить AVP на опцию "Лечить", и если лечение невозможно, то удалять. Иначе, действительно EXPLORER.EXE и работа в системе окажутся парализованными. Такое возможно, когда в системе в паре хозяйничают Trojan.Win32.VB и одна из модификаций Sality, заражающая exe-файлы. Правда exe-файлы от этой Sality легко лечется, что радует. :)

Вероятнее всего тут дело не в "неправильности работы антивируса", а в том, что создатели подобных malware используют уязвимость самой Windows. Антивирус же призван не бороться с ней, а защищать её.

В случае же сильной заражённости ж/д лучшим выходом будет вылечить этот диск с другого компьютера, а потом вернуть его на место, установить антивирус в подлеченную систему и проверить весь ПК.

Почему ещё раз проверить? Дело в том, что некоторые malware проявляют свою вредную сущность только в активной системе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Андрей-001

Если Вы хозяин ПК, то Вам удобнее, чтобы Антивирус задавал вопросы. А если это организация с не одним десятком ПК? При таких раскладах многие (и я в том числе) ставят автолечение/удаление у сотрудников.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Если Вы хозяин ПК, то Вам удобнее, чтобы Антивирус задавал вопросы. А если это организация с не одним десятком ПК? При таких раскладах многие (и я в том числе) ставят автолечение/удаление у сотрудников.

Это не совсем так. Я писал про ЛЕЧЕНИЕ АКТИВНОГО ЗАРАЖЕНИЯ ПК с одновременной установкой AVP Касперского. В начале при установке ОН не даёт пользователю ПРАВО ВЫБИРАТЬ ЛЕЧЕНИЕ. А только Пропустить или Удалить. (Только когда выберешь Настройку и проведёшь собственную, только тогда можно будет Лечить). И это наблюдается ещё со старших версий. Тогда хотя бы malware были не те. Кто-нибудь может сказать об этом вирусологам? Пока Его Величество позволит войти в настройки, пользователь может незная позволить поудалять кучу файлов и Explorer.exe не исключение. Почему кнопка "Лечить" - не предлагается во первых рядах?

Например, тот же вирус Sality есть в двух основных ипостасях: 1 - заражает папки, 2 - заражает exe-файлы. Первый нет смысла лечить, а от второго exe-файлы лечаться.

Догадайтсь, что выберает испугавшийся пользователь? - Удалить.

Статистика из моей практики - 99 процентов обычных пользователей это выбирают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Обновляю: https://mega.nz/#!0FYBnRzT!Kh8GaRMVOzm99QJZX0NsDD51vDaFzPI-Vil02kw53rQ
    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...