27 ответов в этой теме

[Melena]

Здравствуйте!

Сканер обнаружил несколько вирусных писем в почте и снес почтовые файлы в карантин:

Время:     26/06/2018 10:20:54.517
Источник:  Dr.Web Agent Scanner for Windows (NT AUTHORITY\система)
Объект:    C:\Users\**\AppData\Local\Microsoft\Outlook\archive.pst\2223460.attach.72229 - 07 11 2017.scr.gz\data000.tmp (**\**:**\Domain Users)
Тип:       инфицирован
Угроза:    Trojan.Encoder.11539
Действие:  перемещен в карантин

Время:     26/06/2018 10:20:57.076
Источник:  Dr.Web Agent Scanner for Windows (NT AUTHORITY\система)
Объект:    C:\Users\**\AppData\Local\Microsoft\Outlook\archive.pst (**\**:**\Domain Users)
Тип:       инфицирован
Угроза:    Trojan.Encoder.11539
Действие:  перемещен в карантин

Время:     26/06/2018 10:22:34.336
Источник:  Dr.Web Agent Scanner for Windows (NT AUTHORITY\система)
Объект:    C:\Users\**\AppData\Local\Microsoft\Outlook\Outlook.pst\2359268.email - Mail delivery failed: returning message to sender\6.part\19 июня 2018.scr (**\**:**\Domain Users)
Тип:       инфицирован
Угроза:    Trojan.DownLoader25.18101
Действие:  перемещен в карантин

Время:     26/06/2018 10:22:34.680
Источник:  Dr.Web Agent Scanner for Windows (NT AUTHORITY\система)
Объект:    C:\Users\**\AppData\Local\Microsoft\Outlook\Outlook.pst (**\**:**\Domain Users)
Тип:       инфицирован
Угроза:    Trojan.DownLoader25.18101
Действие:  перемещен в карантин


Время:     26/06/2018 10:23:40.686
Источник:  Dr.Web Agent Scanner for Windows (NT AUTHORITY\система)
Объект:    C:\Users\**\AppData\Roaming\Identities\{6D0239DC-5FA6-452D-ADB3-EBCA614E0D3C}\Microsoft\Outlook Express\Удаленные.dbx\1069.email - ╬яырЄр\6.part\Скан.scr (BUILTIN\Администраторы:**\Domain Users)
Тип:       инфицирован
Угроза:    BackDoor.Bebloh.184
Действие:  перемещен в карантин

Время:     26/06/2018 10:23:41.684
Источник:  Dr.Web Agent Scanner for Windows (NT AUTHORITY\система)
Объект:    C:\Users\**\AppData\Roaming\Identities\{6D0239DC-5FA6-452D-ADB3-EBCA614E0D3C}\Microsoft\Outlook Express\Удаленные.dbx (BUILTIN\Администраторы:**\Domain Users)
Тип:       инфицирован
Угроза:    BackDoor.Bebloh.184
Действие:  перемещен в карантин

Разве правильно удалять все базы аутлука?

И мне кажется, что это какие-то старые письма, не сегодня пришли. Чего он решил их прошерстить именно сейчас?

 

Спасибо!

[maxic]

Чего он решил их прошерстить именно сейчас?

Может, потому что у вас в расписании стоит проверка сканером?

[Melena]

Может, потому что у вас в расписании стоит проверка сканером?

Вероятно На днях меняла задания, и только сейчас заметила, что не изменила  запуск со стартового на ежемесячный. Исправила уже

Но главный вопрос не в этом, а в том, что грохается целиком база outlook, и работать невозможно до восстановления из карантина. А понять по теме, какое именно там письмо не понравилось,  сложно. В итоге восстанавливаю базу с плохим письмом до следующей проверки.

[Kirill Polubelov]

Так а зачем вы задаёте сканеру проверять почтовые базы?

[Melena]

Указана проверка локальных дисков. И в голову не пришло делать исключения

Сообщение было изменено Melena: 26 Июнь 2018 - 16:48

[Konstantin Yudin]

не не проверять а применять действия к почте при авто скане по расписанию.

[Melena]

не не проверять а применять действия к почте при авто скане по расписанию.

Вы имеете в виду, что надо  снять галку на "проверять содержимое почтовых файлов" в исключениях сканера? Да?

[SergSG]

Наверно в настройках сканера, а не в исключениях.

[Melena]

В настройках на эту тему не нашла ничего. 

Собсно это и есть настройки: редактор заданий - выборочное сканирование - действие - исключения - почтовые файлы. Другого упоминания о почте не нашла

 

Упс. Посмотрела еще отдельно сканер, там действительно есть действия для почтовых файлов: карантин или игнор. Да? Это?

Путаюсь пока слегка...

Сообщение было изменено Melena: 27 Июнь 2018 - 11:27

[Melena]

А вообще как правильно? Необходимость проверки и действия для почтовых файлов (карантин или игнор) есть и в сканере, и в SpIDer Guard , и в SpIDer Mail. В разделе для Outlook настройка на программы -рекламы, шутки и пр, а не про сообщения и почту в целом. Надо по всем этим разделам проходить и убирать проверку почт.файлов? Это же неправильно? Или везде оставлять проверку и убирать карантин, там, где он есть? Какое-то дублирование и путаница получается, нет?

Нужно-то, чтобы почта Outlook работала, и блокировались бы вирусные письма, без блокировки всей почт.базы.

[SergSG]

Упс. Посмотрела еще отдельно сканер, там действительно есть действия для почтовых файлов: карантин или игнор. Да? Это?

Да, я это имел ввиду. А там, как Вам удобнее.

[SergSG]

А вообще как правильно? Необходимость проверки и действия для почтовых файлов (карантин или игнор) есть и в сканере, и в SpIDer Guard , и в SpIDer Mail. В разделе для Outlook настройка на программы -рекламы, шутки и пр, а не про сообщения и почту в целом. Надо по всем этим разделам проходить и убирать проверку почт.файлов? Это же неправильно? Или везде оставлять проверку и убирать карантин, там, где он есть? Какое-то дублирование и путаница получается, нет?

Нужно-то, чтобы почта Outlook работала, и блокировались бы вирусные письма, без блокировки всей почт.базы.

Кроме Сканера все остальные работают в реалтайме - пришло письмо - обработали, зашевелилось - обработали. Только сканер по заданию шерстит все подряд, с учетом своих настроек, конечно.

И вообще, пользы от постоянного сканирования по расписанию около нуля - есть ли для Вас в этом смысл?

Сообщение было изменено SergSG: 27 Июнь 2018 - 11:45

[Melena]

И вообще, пользы от постоянного сканирования по расписанию около нуля - есть ли для Вас в этом смысл?

Оно же не постоянное. Стоит два задания: при старте проверка по умолчанию и первый день месяца дополнительно с  проверкой лок.дисков. Ежемесячная проверка регулярно находит огрызки от браузеров, пусть ищет, хуже не будет.

 

Поставила так:

-в сканере: почтовые файлы проверять, инфекцию в них игнорировать, увижу уведомление о вирусе, буду разбираться.

-в спайдергарде: почтовые файлы проверять, про инфекцию сообщать (вообще - странное действие, оно должно быть совместно с карантином и игнором, а  не вместо. Если сообщать, то с вирусом что будет - не игнор и не карантин, а что тогда? Или это вопрос у пользователя всплывет? И он должен будет выбирать?)

-в спайдермэйле все по умолчанию

-в Outlookе все по умолчанию

-в заданиях  - оба сканера одинаково:  почт.файлы проверять, инфиц.почт.файлы игнорировать.

Больше не вижу, где еще понастраивать

[Afalin]

сообщать (вообще - странное действие, оно должно быть совместно с карантином и игнором, а  не вместо

Вообще, игнор – это совсем игнор, даже без сообщений (когда-то может быть оно вернётся, но не раньше, чем появится фильтрация алертов). А сообщать – это ничего не делать с угрозой, но админу сообщить.

[Melena]

Ну, тогда выбора фактически нет с почтовыми файлами, в карантин - не вариант. Жалко, что вот это "сообщить" присутствует только в гарде. Его, по идее, везде бы надо. Я настраивала типы уведомлений, которые надо рассылать, может, оттуда прилетит сообщения о вирусном письме.

[Konstantin Yudin]

>-в сканере: почтовые файлы проверять, инфекцию в них игнорировать, увижу уведомление о вирусе, буду разбираться.

тут нужно оставить. тут сам юзер принимает решение.

>-в спайдергарде: почтовые файлы проверять, про инфекцию сообщать (вообще - странное действие, оно должно быть совместно с карантином и игнором, а не вместо. Если сообщать, то с вирусом что будет - не игнор и не карантин, а что тогда? Или это вопрос у пользователя всплывет? И он должен будет выбирать?)

выключите. никогда не включайте проверку архивов и тем более почты в спайдер гарде. система превратится в слайд шоу при работе с почтовым клиентом.

>-в заданиях - оба сканера одинаково: почт.файлы проверять, инфиц.почт.файлы игнорировать.

вот только в заданиях и нужно выключить реакцию на почту. смысла в ней нет а вред есть.

[Melena]

>-в сканере: почтовые файлы проверять, инфекцию в них игнорировать, увижу уведомление о вирусе, буду разбираться.

тут нужно оставить. тут сам юзер принимает решение.

Так в таком виде, как было,  сканер отправил все pst в карантин. Юзер уже не сможет разобраться.

никогда не включайте проверку архивов и тем более почты в спайдер гарде. система превратится в слайд шоу при работе с почтовым клиентом.

Поняла, уберу

вот только в заданиях и нужно выключить реакцию на почту. смысла в ней нет а вред есть.

В итоге получается почт. файлы вообще не проверять? А врага кто отловит?

[Kirill Polubelov]

В итоге получается почт. файлы вообще не проверять? А врага кто отловит?

Там только ленивый почту не проверяет.

Сами письма -- через SpIDer Mail/Gate + Outlook Plugin( если аутлук) проходят.

Если что-то из почты пытаются запустить -- превентивка + SpIDer Guard.

Опасность несёт запуск бинарей и переход по ссылкам, всё это и без сканера ловится (должно ловиться).

[maxic]

Melena, врага надо ловить в трафике.

[SergSG]

 

>-в сканере: почтовые файлы проверять, инфекцию в них игнорировать, увижу уведомление о вирусе, буду разбираться.

тут нужно оставить. тут сам юзер принимает решение.

Так в таком виде, как было,  сканер отправил все pst в карантин. Юзер уже не сможет разобраться.

Все равно вся почта пройдет через реалтайм проверки и, как по мне, такой вариант для сканера кажется наиболее подходящим

 

 Scaner.png   29,61К   0 Скачано раз

 

Ну, а там, кому как нравится.

Сообщение было изменено SergSG: 27 Июнь 2018 - 20:47