Перейти к содержимому


Фото
- - - - -

Как переслать файлы из карантина?

карантин

  • Закрыто Тема закрыта
27 ответов в этой теме

#1 Словен

Словен

    Member

  • Posters
  • 139 Сообщений:

Отправлено 06 Сентябрь 2013 - 12:23

Добрый день!

Подскажите, знающие.

Проверил ПК сканером Dr.Web SS7. Сканер нашёл ряд угроз. Некоторые удалил, а некоторые поместил в карантин. Подскажите, как можно файлы из карантина переслать специалистам Доктора для проверки на вирусы (раньше, кажется, можно было такое сделать). Или же как можно эти файлы проверить на Вирустотале?

 

 



#2 VVS

VVS

    The Master

  • Moderators
  • 17 500 Сообщений:

Отправлено 06 Сентябрь 2013 - 12:28

Из карантина - никак.

Можно отключить SpIDer Guard, восстановить файлы из карантина, а потом их проверить на вирустотал.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#3 Словен

Словен

    Member

  • Posters
  • 139 Сообщений:

Отправлено 06 Сентябрь 2013 - 13:01

Из карантина - никак.

Можно отключить SpIDer Guard, восстановить файлы из карантина, а потом их проверить на вирустотал.

Спасибо, попробую.



#4 Словен

Словен

    Member

  • Posters
  • 139 Сообщений:

Отправлено 06 Сентябрь 2013 - 17:58

Проверил на ВТ.

Все файлы попали в карантин Доктора с формулировкой "SCRIPT:virus (возможно заражен вирусом)". При проверке на ВТ только Доктор Веб реагировал на файлы. Что это? Ложные срабатывания или реально Доктор единственный поймал вредоносное программное обеспечение?

https://www.virustotal.com/ru/file/3f808372fe247afcae2af51d5a30846e0a5722795fe23737e95e44b8e554448b/analysis/1378478343/

https://www.virustotal.com/ru/file/3f808372fe247afcae2af51d5a30846e0a5722795fe23737e95e44b8e554448b/analysis/1378478521/

https://www.virustotal.com/ru/file/5037603ebb116b0bd28aff4de8fe79e6527e4217d059dfd82b7c952cd95b7289/analysis/1378478599/

https://www.virustotal.com/ru/file/d169943723eb628dd4bb4df0a9d601cbb949d4874d3c8fa653a0bf1088334d8a/analysis/1378478676/

https://www.virustotal.com/ru/file/2c904ff8ffdccf5e443cbc807377f740637603646c9a600bf72e897956aaa44c/analysis/1378478747/

https://www.virustotal.com/ru/file/d5eda12c32da9109623464cb6ceb5d5e7712c747c15173077aa8f8dcc20f1bf2/analysis/1378479087/

https://www.virustotal.com/ru/file/70a5747f43120ec62eba517d73bf44d692a0bdac2bcb289d3c8256ba590b871b/analysis/1378479160/


Сообщение было изменено Словен: 06 Сентябрь 2013 - 17:59


#5 Словен

Словен

    Member

  • Posters
  • 139 Сообщений:

Отправлено 06 Сентябрь 2013 - 18:06

И странно. После проверки на ВТ и написания сего поста я проверил Доктором папку, куда восстановил всё из карантина (7 файлов). Доктор снова сказал, что все семеро-угрозы и обезвредил их. Однако, снова в карантине оказалось только 5 файлов. Остальные 2 Доктор удалил? В карантине не оказалось файлов АВЗ. 



#6 pig

pig

    Бредогенератор

  • Helpers
  • 10 685 Сообщений:

Отправлено 06 Сентябрь 2013 - 18:27

Ответы в логах.
Почтовый сервер Eserv тоже работает с Dr.Web

#7 Словен

Словен

    Member

  • Posters
  • 139 Сообщений:

Отправлено 07 Сентябрь 2013 - 11:14

Не совсем понятно в каких логах. В логах ВТ?



#8 Lvenok

Lvenok

    Poster

  • Posters
  • 1 907 Сообщений:

Отправлено 07 Сентябрь 2013 - 14:33

Если вердикт - возможно инфицирован - в вирлаб засылайте с соотв пометкой.



#9 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 07 Сентябрь 2013 - 14:44

Если вердикт - возможно инфицирован - в вирлаб засылайте с соотв пометкой.

 

Когда-то спрашивал. Четкого ответа не получил. Один аналитик говорит присылать,другой говорит, что сделана запись на эвристики и не имеет смысла присылать(т.к. детект уже есть).

 

----

Вчера еще заметил поведенчиский детект 

 

2013-Sep-06 11:16:40.710192 [3980] [INF] [ArkdeleteRk] C:\Users\Max\Desktop\Новая папка\avz00001.exe infected: DPH:Trojan.Inject.generic result

(который выпилился и появился в карантине)

 

и детект сканером этого же файла

 

 

C:\Users\Max\Desktop\Винлоки2012\1\2\avz00001.exe - infected with Trojan.Winlock.3300
C:\Users\Max\Desktop\Винлоки2012\1\2\avz00001.exe - infected - 60 ms, 87765 bytes

 

---

Как бы внятных рекомендаций нет.


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#10 pig

pig

    Бредогенератор

  • Helpers
  • 10 685 Сообщений:

Отправлено 07 Сентябрь 2013 - 18:03

Не совсем понятно в каких логах. В логах ВТ?

Вряд ли Витустотал скажет вам, что сделал локальный антивирус с вашими семью угрозами. Нужны логи того, кто находил и удалял.
Почтовый сервер Eserv тоже работает с Dr.Web

#11 П_Сергей

П_Сергей

    Newbie

  • Posters
  • 62 Сообщений:

Отправлено 07 Сентябрь 2013 - 23:19

Из карантина - никак.

Можно отключить SpIDer Guard, восстановить файлы из карантина, а потом их проверить на вирустотал.

А почему подозрительные файлы не отправляются на анализ автоматически?



#12 MentoS

MentoS

    Member

  • Posters
  • 118 Сообщений:

Отправлено 08 Сентябрь 2013 - 02:15

А почему подозрительные файлы не отправляются на анализ автоматически?


В 9 версии, наверное, будут, раз там облако появилось.

#13 TIHIY

TIHIY

    Newbie

  • Posters
  • 63 Сообщений:

Отправлено 08 Сентябрь 2013 - 08:26


Из карантина - никак.
Можно отключить SpIDer Guard, восстановить файлы из карантина, а потом их проверить на вирустотал.

А почему подозрительные файлы не отправляются на анализ автоматически?
Тоже интересен вопрос.

#14 SergSG

SergSG

    The Master

  • Posters
  • 12 427 Сообщений:

Отправлено 08 Сентябрь 2013 - 09:32

 

А почему подозрительные файлы не отправляются на анализ автоматически?
Тоже интересен вопрос.

А если на этом "подозрительном" файле номера ваших счетов на Кипре?

Отправлять что либо с ПК юзера без его прямого согласия - эт... нехорошо... А напрягать извилины простого юзера вопросами "можно ли что-то там отправавить?" - тоже плохая идея. Не должен юзер ничего никуда отправлять, да и вообще, в идеале, АВ должен быть максимально незаметным. Если кто то сам захочет что то отправить, найдет способ.



#15 MentoS

MentoS

    Member

  • Posters
  • 118 Сообщений:

Отправлено 08 Сентябрь 2013 - 10:53

А почему подозрительные файлы не отправляются на анализ автоматически?

Тоже интересен вопрос.
А если на этом "подозрительном" файле номера ваших счетов на Кипре?
Отправлять что либо с ПК юзера без его прямого согласия - эт... нехорошо... А напрягать извилины простого юзера вопросами "можно ли что-то там отправавить?" - тоже плохая идея. Не должен юзер ничего никуда отправлять, да и вообще, в идеале, АВ должен быть максимально незаметным. Если кто то сам захочет что то отправить, найдет способ.
Говорили же, что с карантина файлы будут посылаться в облако. Или я что-то путаю?

Сообщение было изменено MentoS: 08 Сентябрь 2013 - 10:56


#16 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 08 Сентябрь 2013 - 11:11

Говорили же, что с карантина файлы будут посылаться в облако. Или я что-то путаю?

 

Я не представляю как можно переслать несколько тысяч файлов, зараженных файловым вирусом.

Ведь у этих файлов будет уникальный хеш.

 

А помножить несколько миллионов пользователей на кол-во  этих файлов и становится страшно что будет с серверами. :ph34r:


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#17 MentoS

MentoS

    Member

  • Posters
  • 118 Сообщений:

Отправлено 08 Сентябрь 2013 - 13:42

Говорили же, что с карантина файлы будут посылаться в облако. Или я что-то путаю?

 
Я не представляю как можно переслать несколько тысяч файлов, зараженных файловым вирусом.
Ведь у этих файлов будет уникальный хеш.
 
А помножить несколько миллионов пользователей на кол-во  этих файлов и становится страшно что будет с серверами. :ph34r:
Я тем более не знаю:)

#18 Vindows

Vindows

    Member

  • Banned
  • 427 Сообщений:

Отправлено 08 Сентябрь 2013 - 14:05

А зачем их присылать, у антивируса должны быть разные механизмы, типа интеллекта.  Он должен сам знать что нужно присылать, а так-же присылать то что нужно вирусным аналитикам.

 

А у Dr.Web робот, которому нечего не нужно. И вообще он делает неправильные вердикты, плохое качество вирусных баз и не только..., ложные срабатывания...

 

А вирусные аналитики в Dr. Web занесены в красную книгу. потому что это дорого.  :)


Сообщение было изменено Vindows: 08 Сентябрь 2013 - 14:07

Essential Security against Evolving Threats
user Windows 64 bit

#19 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 08 Сентябрь 2013 - 14:08

И вообще он делает неправильные вердикты

 

+1500

 

А еще он в сканере делает ссылка на описание этого детекта...И совершенно верно-описание врет.


Сообщение было изменено mrbelyash: 08 Сентябрь 2013 - 14:09

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#20 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 08 Сентябрь 2013 - 14:16

Vindows, Вы играете словами как малыш в песочнице. 

Качество баз не плохое, оно очень хорошее. Другое дело, что названия часто не соответствуют сути того или иного вируса. Но это два разных понятия.

И вообще он делает неправильные вердикты.

Если это относится к названию вирусов, то с этим соглашусь. Но добавлю, что лечит он их все же правильно, независимо от названия, а по сути заложенного в вирус кода.

ложные срабатывания...

Ну тут оно есть у всех, даже у Вашего бога. Зато они достаточно редки и их быстро фиксят.





Also tagged with one or more of these keywords: карантин

Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых