Перейти к содержанию
Schlecht

McAfee убил тоталкоммандер

Recommended Posts

Schlecht

В общем, всё в сабже - McAfee Enterprise 8.5 обновился и "нашёл" трояна в totalcmd.exe (Generic.dx (Trojan)) ну и удалил его тут же на нескольких машинах, не связанных в сеть. Коммандер 6.0 Anniversary Edition, то ли бесплатный, то ли ломаный - регистрации при установке не просил. Файл 100% чистый - проверял каспером, да и раньше макафи не бухтел - а тут разом и только после обновления.

Вопрос - этот фолс могет быть результатом возможного взлома коммандера? Стоит ли слать образец в McAfee?

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
georgy_n

Schlecht,

раз не "чистый" TC, а чья-то сборка, все может быть; обычно сам "totalcmd.exe" не "ломают", обходясь ключами. Многие АВ в той или иной мере ругаются на плагины таких сборок, но только на плагины - не сам "totalcmd.exe". Скорее всего очередная PUP, а может и в самом деле фолс, отправьте файл в Virus_Research, хуже от этого же не будет ;-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
В общем, всё в сабже - McAfee Enterprise 8.5 обновился и "нашёл" трояна в totalcmd.exe

Вопрос - этот фолс могет быть результатом возможного взлома коммандера?

Стоит ли слать образец в McAfee?

В последнее время McAfee Virusscan Enterprise 8.5i начал активно ругаться на различные креки, кейгены и

" пропатченные" программы, поэтому Вашa проблема достаточно известна.

Лучше пользоваться оригинальным Total Commander, приобретя лицензию (софт ведь не дорогой),

или используя версию с "тремя кнопочками", ну а если есть желание использовать нелегальный продукт,

то найти в интернете wincmd.key, который на каждом углу валяется.

Проверьте, какая версия Virusscan у Вас установлена.

Актуальный сканмодуль - 5300.2777

Актуальная дефиниция - 5400.

В Вашем случае я не вижу смысла посылать этот файл McAfee.

успехов, mike

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
georgy_n

Mike

Раз в теме.. С McAfee не ясна позиция - офисные продукты давно используют 5300 движок, домашние - 5200, - даже в 2009-й линеке; в офисные уже внедрена технология Artemis, домашние- в пролете, а это, судя по AV-Comparatives, + ~ 15% детекта. Обидно как-то, давно уже, но McAfee был любимым продуктом

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
Mike

офисные продукты давно используют 5300 движок, домашние - 5200, - даже в 2009-й линеке; в офисные уже внедрена технология Artemis, домашние- в пролете.

я с домашними McAfee продуктами не знаком.

считаю, что они НЕКОНКУРЕНТНОСПОСОБНЫЕ.

хотя НР, Аsus и другие стали в свои компьюторы предустанавливать какой–то из продуктов McAfee

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
в офисные уже внедрена технология Artemis

только в смбишные и пока дофига проблем

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      1) По поводу команды: Сбросить атрибуты для все файлов/каталогов в... Это не работает, если не заданы: Группы или пользователи. т.е. нужно проверить не пуст ли список... Если пуст:  прописать пользователя. И только после этого можно сбросить атрибуты... 2) При проверке ЭЦП по F6 ... Если неполадки с сетевым оборудованием, или службами отвечающими за доступ к сети... uvS видит: Сеть есть... и начинает проверять файлы. А по сути сети нет. т.е. здесь нужен таймер.: Если в течении определённого времени нет результата - то проверять ЭЦП локально ( с соответствующей записью в Лог )   Не ждать, как сейчас 100 500 часов. 3)  Проверка занимает излишне много времени в ситуации: Ошибка  [Не удается построить цепочку сертификатов для доверенного корневого центра. ]
      Ошибка  [Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. ] uVS натыкается на такой файл и думает... думает...
    • PR55.RP55
      1) Если оператор применил фильтр  [V]  Известные. То при применении команды: F6   проверять только оставшиеся в списке файлы. Это на порядок ускорит проверку.  Нужно проверить всё ? Сними чек-бокс.  
    • PR55.RP55
      В Инфо. указывать не только время создания\изменения файла но и время создания... Пример:  Система Установлена 2018  > Каталог создан в 2020, а файл в каталоге  2021  
    • santy
      как только заработает функция "выполнить запрос по критерию" - все отфильтрованные объекты будут на виду у оператора, и скорее всего, помещены в отдельную категорию. Кстати, всех участников данного форума (помимо проходящих мимо спамеров) поздравляю с Новым 2021 годом!
    • PR55.RP55
      1) Добавить в settings.ini  настройку: "Выделять все неизвестные ЭЦП" Таким образом все ЭЦП которых нет в базе:  wdsl будут на виду. Это  позволит пополнять базу wdsl и сразу акцентировать внимание оператора. 2) Добавить в settings.ini  настройку: Все файлы с неизвестной ЭЦП  помечать, как подозрительные. Или создать отдельную категорию: "Неизвестные ЭЦП" 3) В Инфо. файла помещать информацию типа: Действительна, подписано CAVANAGH NETS LIMITED Найдено файлов: 1 wdsl   [ - ] --------------- Действительна, подписано Mozilla Corporation Найдено файлов: 80 wdsl   [ + ]  
×