Перейти к содержанию

Recommended Posts

k-f

Есть SEP11. Также есть несколько файлов, которые он упорно детектит как Trojan Horse и JS.Qsiframe. Никак не могу понять, как мне сделать исключение именно на такой тип угроз. В Known Risks таких угроз нет.

Сделать исключение по имени файла не вариант.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A lone

Если файл и правда не вирус и не являются кейгеном, то может быть стоит отправить его в вирлаб, с сообщением о фолсе ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
k-f
Если файл и правда не вирус и не являются кейгеном, то может быть стоит отправить его в вирлаб, с сообщением о фолсе ?

Не стоит, действительно кейгены. Но кейгены-то без вирусов (скачаны с уважаемых проверенных ресурсов), реагирует, скорее всего, на упаковщик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

k-f исключать можно только Security Risks, а категорию Вирусов, к которой относятся два этих варианта, исключать нельзя, да и это слишком опасно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A lone
Не стоит, действительно кейгены. Но кейгены-то без вирусов (скачаны с уважаемых проверенных ресурсов), реагирует, скорее всего, на упаковщик.

:lol: Где-то на этом форуме Кирилл уже рассказывал, почему антивирь так реагирует на кейгены ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
k-f

Кирилл Керценбаум

ОК, пробую исключение по имени. В мануале написано: Click NONE if you want the exception to apply to the file in any location on

the client computer. Но не срабатывает. Работает только если указать путь и имя файла.

Как сделать, чтобы срабатывало реагируя на имя файла, не обращая внимания на путь? Возможно ли использовать в имени файла wildcards?

A lone

Покажите, пожалуйста, где.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A lone
A lone

Покажите, пожалуйста, где.

поиск рулит ;)

http://www.anti-malware.ru/forum/lofiversi....php/t4466.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Demkd А насколько верно uVS работает с ЭЦП тема: https://forum.esetnod32.ru/forum6/topic15013/ Обычно на V.T.  можно видеть:  Signature verification Signed file, verified signature А здесь мы видим только запись:  Trusted Source И FRST  не пишет, что это Microsoft Corporation а только ( )
    • demkd
      пожалуй стоит добавить команде OFFSGNSAVE функционала - выгрузка пользовательской базы сигнатур на время исполнения скрипта во избежании проблем.
    • santy
      а товарищ в теме, похоже имеет отношение к этой теме. https://xakep.ru/2010/12/09/54255/   LOIC (Low Orbit Ion Cannon) — приложение, разработанное
      хакерской группой 4Chan, созданное для организации DDoS атак на веб-сайты с
      участием тысяч анонимных пользователей, пользующихся программой. Атаки
      производятся на такие сайты как, например,  
    • santy
      вообще-то это со слов юзера, не факт что было именно так.   chklst & delvir автоматически не добавляются, если количество сигнатур задействованных при детектировании равно нулю. в данном случае была одна сигнатурка (потому и вышел chklst&delvir), скорее всего фолс на чистом файле, которая не была исключена, но она не попала в скрипт за счет автоматического hide file. hide %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\XCPCSYNC.OEM\SYNCSDK.209.604\TRANSLATORS\MSOL\PROFMAN64.DLL
    • PR55.RP55
      " что там у пользователя уже в базе есть никто не знает." Мало вероятно, что в базе у пользователя что есть... v4.1.7z (1.03 МБ)  Но  автоматически добавлять команду:  delvir и т.д. не стоит. Пока остаюсь при своём мнении.
×