Trend Micro задетектил explorer.exe - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

Иван

информация по сабжу здесь

http://www.theregister.co.uk/2008/09/08/tr...ty_false_alarm/

видимо сертификация ISO, о которой тут так долго говорил Михаил Кондрашин не помогла :)

"Trend Micro release a new signature file which decided that explorer.exe and several other system files had a "Troj Gen Adv" and should be quarantine. After the cleanup, a reboot was advised and after the reboot, chaos started," Antonin explained.

"Logon was OK but there was no taskbar, Trend Micro and several other application would not load automatically, Excel and Word and any other application would start but after clicking [i received] several error messages, services menu was corrupted and windows was very unstable. Restore would not work and install/uninstall would not neither," he added.

Antonin was eventually advised by Trend Micro to repair Windows before uninstall and reinstalling Trend Micro.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit

И поскольку Trend Micro в этом совсем не первый, может, все же есть основания считать ОС вредоносным объектом? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
И поскольку Trend Micro в этом совсем не первый, может, ее же есть основания считать ОС вредоносным объектом?

Это точно, сильно вредоносное это ПО, уж очень часто его кто-то да перестает любить...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Жестокая фолса. Сразу возникают опросы к эффективности технологических процессов, сертифицированных кстати по ISO9001, внедренной системе TQC (Total Quality Control) и т.п.

Что не сработало? На таких ошибках надо учиться всем в индустрии, иначе все может повториться с кем-то еще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Что не сработало? На таких ошибках надо учиться всем в индустрии, иначе все может повториться с кем-то еще.

и будет повторяться думаю, причем с завидным постоянством и от этого никуда не денешься

просто не надо видимо рассказывать про офигительный контроль качества и исо, не надо зарекаться от сумы да тюрьмы - вот и все:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Доктор, Нортон, Касперский, Тренд Микро. Кто еще?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Понятно, что будет повторяться, но реально не понятно. Если в компании поставлены технологические процессы, есть базы чистых файлов, сигнатуры тестируются (а у тренда эти апдейты должны идти в бету, насколько я помню сначала), то как можно сфолсить на explorer.exe? Человеческий фактор?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
то как можно сфолсить на explorer.exe?

видимо версия explorer.exe в тестлабе и версия его у тех, кто пострадал была разная

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lex

Ну не знаю... Сильно сомневаюсь, что есть хоть кто-то без подобных фолсов. И на старуху, как говорится...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      + Нюанс... Есть образ втозапуска созданный в\на англицкой версии uVS И если отдать команду: Запретить запуск файла (по хешу) то получим: (!) Не удалось получить размер файла C:\USERS\USER\APPDATA\LOCAL\PROTECTBROWSER\PROTECTBROWSER.EXE так как в Инфо:  Size 812544 bytes Правда при чём тут размер файла ? https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=130161&action=download  
    • santy
      Так как записи с указанием исключений для Defender имеют определенный статус,  то имеет смысл исключить их автоматическое попадание по признаку "файл не найден" при формировании автоскрипта. В этом случае приходится вручную править тело скрипта, чтобы убрать некоторые записи. 1. ранее это можно было не делать, так как все равно они без виртуализации не удалялись. 2. теперь, с учетом удаления через powershell  будут удалены и "полезные" исключения, которые могли быть сделаны самим пользователем, например активаторы. На мой взгляд, будет лучше добавить в скрипт удаление исключений дефендера  вручную, из секции исключений для WD.
    • PR55.RP55
      + https://forum.kasperskyclub.ru/topic/465542-virus-ili-skript/#comments Если причина действительно в Групповых политиках. То...  
    • santy
      Вылет здесь не понятно по какой причине произошел, так как изначально был создан образ автозапуска с активным зловредом, а повторно, по словам пользователя, не получилось uVS выйти на основную позицию, когда можно было бы собрать новый образ, или выполнить скрипт очистки. В том числе и в безопасном режиме. Последствия запуска зловреда firfox.exe есть здесь, и возможно действительно входят у указанное семейство.  
    • PR55.RP55
      1. Microsoft тестирует функцию - Защита администратора. https://www.comss.ru/page.php?id=15533 ---------- 2. Вирус\ы https://forum.kasperskyclub.ru/topic/465570-trojanwin32sepeh/ Видимо это семейство: https://vms.drweb.ru/virus/?i=27109129 https://vms.drweb.ru/virus/?i=27380925 -------- https://vms.drweb.ru/virus/?i=25801988 https://vms.drweb.ru/virus/?i=25339881 https://vms.drweb-av.it/virus/?i=25698634 3. TloBeJluTeJlb.exe если в директории или имени файла "чудеса" с регистром... Предлагаю помечать файл, как Подозрительный.    
×