Перейти к содержимому


Фото
- - - - -

Странная обработка сканером


  • Please log in to reply
27 ответов в этой теме

#1 DoC

DoC

    Добрый Э-э-х

  • Posters
  • 1 476 Сообщений:

Отправлено 25 Июль 2012 - 20:45

Собственно сегодня решил проверить комп сканером на вирусы и запустил быструю проверку.
В итоге увидел странную вещь:

c:\program files\multi password recovery\block_reader.sys - is hacktool program Tool.PassRecover.14
Error during get object data size for c:\program files\multi password recovery\block_reader.sys
c:\program files\multi password recovery\block_reader.sys - deleted, reboot required

Зачем, спрашивается, сканер решил удалить данный файл, если согласно его же классификации это HackTool (что и есть на самом деле), а в настройках явно стоит - программы взлома, потенциально опасные - игнорировать???

Да и еще - собственно программа Multi Password Recovery мною ЛЕГАЛЬНО приобретена в магазине SoftKey.

Как добавка - в карантине оного файла отчего-то тоже нет - странно, да?

Чукча не читатель! Чукча - писатель!


#2 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 25 Июль 2012 - 21:05

Как добавка - в карантине оного файла отчего-то тоже нет - странно, да?

Галка "Показывать резервные копии" установлена?

меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#3 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 25 Июль 2012 - 23:35

Вообще-то эту галку надо по дефолту делать включенной. Многие не понимают и не знают про нее.

#4 DoC

DoC

    Добрый Э-э-х

  • Posters
  • 1 476 Сообщений:

Отправлено 26 Июль 2012 - 07:11

Если вы оба про настройки в пауке в трее - таки да - включена и включал сразу же при установке.
В сканере не нашел работы с карантином (однако).

Собственно получается два глюка - неверная обработка сканером установленных действий и пропажа файла из карантина...

Чукча не читатель! Чукча - писатель!


#5 DoC

DoC

    Добрый Э-э-х

  • Posters
  • 1 476 Сообщений:

Отправлено 26 Июль 2012 - 07:18

Кстати - сторож обрабатывает оный файл как нужно - т.е. игнорирует согласно настройкам... все чудесатей и чудесатей...

Чукча не читатель! Чукча - писатель!


#6 #user

#user

    Member

  • Posters
  • 406 Сообщений:

Отправлено 26 Июль 2012 - 11:43

Вообще-то эту галку надо по дефолту делать включенной.

А для чего эта галка вообще существует, и почему отображение резервных копий по-умолчанию отключено?

#7 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 26 Июль 2012 - 11:44

>А для чего эта галка вообще существует, и почему отображение резервных копий по-умолчанию отключено?

Действительно. А для чего?
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#8 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 26 Июль 2012 - 11:53

>А для чего эта галка вообще существует, и почему отображение резервных копий по-умолчанию отключено?
Действительно. А для чего?

Неужели никто не знает правильного ответа? :)
С уважением,
Борис А. Чертенко aka Borka.

#9 account has been deleted

account has been deleted

    Massive Poster

  • Posters
  • 2 837 Сообщений:

Отправлено 26 Июль 2012 - 11:56

А для чего эта галка вообще существует, и почему отображение резервных копий по-умолчанию отключено?

Защита от дурака, первое что сделает большинство все зачистит. Потом когда что либо перемещенное неожиданно востребуется ну просто край, будут шумные варианты.
www.surfpatrol.ru

#10 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 26 Июль 2012 - 11:57

А для чего эта галка вообще существует, и почему отображение резервных копий по-умолчанию отключено?

Защита от дурака, первое что сделает большинство все зачистит. Потом когда что либо перемещенное неожиданно востребуется ну просто край, будут шумные варианты.

Володя, самому не смешно? :)
С уважением,
Борис А. Чертенко aka Borka.

#11 account has been deleted

account has been deleted

    Massive Poster

  • Posters
  • 2 837 Сообщений:

Отправлено 26 Июль 2012 - 12:01

Володя, самому не смешно?

Сам так делал. Потом искал где что и все из за того что стаяла галка изначально. :)
www.surfpatrol.ru

#12 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 26 Июль 2012 - 12:06

Изначально птица никогда там не стояла...
С уважением,
Борис А. Чертенко aka Borka.

#13 account has been deleted

account has been deleted

    Massive Poster

  • Posters
  • 2 837 Сообщений:

Отправлено 26 Июль 2012 - 12:08

Изначально птица никогда там не стояла...

Я ее изначально поставил потом пытался найти

not-a-virus:PSWTool.Win32.Agent.qz Undefined 26.07.2012 11:15:19 C:\Opera Unofficial\Misc\OperaPassView\ operapassview.exe
www.surfpatrol.ru

#14 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 26 Июль 2012 - 12:12

Изначально птица никогда там не стояла...

Я ее изначально поставил потом пытался найти

А, это другое дело. :) И чем ситуация после установки птицы будет отличаться от той, когда пользователь сам ее усьановил? :) Кстати, насколько я вижу, вопросы про отсутствие файлов в карантине задаются куда как чаще, чем про уделенные оттуда файлы. ;)
С уважением,
Борис А. Чертенко aka Borka.

#15 account has been deleted

account has been deleted

    Massive Poster

  • Posters
  • 2 837 Сообщений:

Отправлено 26 Июль 2012 - 12:21

И чем ситуация после установки птицы будет отличаться от той, когда пользователь сам ее усьановил?


Ну мое предположение уже было, зачем показывать всем то что не всем понятно. Дело в том что более продвинутые в настройках АВ разделяют карантин и хранилище, наверно тоже из каких то соображений которые пришли в процессе эксплуатации продукта. :) Ну и как вариант авто откат из хранилища для таких вот ситуаций:
HEUR:Worm.Win32.Generic Quarantined 26.07.2012 9:20:15 C:\temp\ malware_evaxp_665.exe

Сообщение было изменено evaxp: 26 Июль 2012 - 12:25

www.surfpatrol.ru

#16 DoC

DoC

    Добрый Э-э-х

  • Posters
  • 1 476 Сообщений:

Отправлено 26 Июль 2012 - 13:12

блин - народ - идите флудить в другое место!
по существующей ситуации - какие-либо предложения или мысли есть?

больше всего смущает разная реакция монитора и сканера на один и тот же файл с одинаковыми настройками

если что - ссылка на проверку:
https://www.virustotal.com/file/f6018aae2edbf28bbbc7378ea349b6cb54b553d28336cb83f3a1810d27294530/analysis/1343297577/

Сообщение было изменено DoC: 26 Июль 2012 - 13:16

Чукча не читатель! Чукча - писатель!


#17 userr

userr

    Newbie

  • Members
  • 16 310 Сообщений:

Отправлено 26 Июль 2012 - 13:25

DoC,

Собственно получается два глюка - неверная обработка сканером установленных действий и пропажа файла из карантина...

Собственно пока получается разговор о (возможных) глюках.
У Вас актуальная 7-я версия, я надеюсь? нужны
1. штатный отчет drweb
2. скриншот настроек карантина, где видно, что стоит Галка "Показывать резервные копии"
3. скриншот настроек сканера, где видно какие стоят действия для угроз (агент--карантин--настройки)

В сканере не нашел работы с карантином (однако).

что имеется ввиду? у карантина свой менеджер.

из поста 1 я понял так, что у Вас стоит применение действий автоматом в сканере. это так?

#18 DoC

DoC

    Добрый Э-э-х

  • Posters
  • 1 476 Сообщений:

Отправлено 26 Июль 2012 - 13:33

DoC,

Собственно получается два глюка - неверная обработка сканером установленных действий и пропажа файла из карантина...

Собственно пока получается разговор о (возможных) глюках.
У Вас актуальная 7-я версия, я надеюсь? нужны
1. штатный отчет drweb
2. скриншот настроек карантина, где видно, что стоит Галка "Показывать резервные копии"
3. скриншот настроек сканера, где видно какие стоят действия для угроз (агент--карантин--настройки)

В сканере не нашел работы с карантином (однако).

что имеется ввиду? у карантина свой менеджер.

из поста 1 я понял так, что у Вас стоит применение действий автоматом в сканере. это так?


Именно - менеджер карантина один, который вызывается из значка агента в трее. версия 7 с последними обновлениями на момент инцидента.
Действия - автоматические, но за все время как-то не наблюдал разницы в определении в Spider и в Scanner
логи сделаю только вечером (если все такие недоверчивые и не верят, что настройки именно те, которые я указал и галки все стоят именно там где нужно)

Чукча не читатель! Чукча - писатель!


#19 userr

userr

    Newbie

  • Members
  • 16 310 Сообщений:

Отправлено 26 Июль 2012 - 13:39

DoC,
Ну Вы же не первый день на форуме. :(
Не думал, что даже Вам я должен объяснять, что без полной и объективной информации, т.е. логов, невозможно понять и решить проблему. :(

#20 DoC

DoC

    Добрый Э-э-х

  • Posters
  • 1 476 Сообщений:

Отправлено 26 Июль 2012 - 13:43

DoC,
Ну Вы же не первый день на форуме. :(
Не думал, что даже Вам я должен объяснять, что без полной и объективной информации, т.е. логов, невозможно понять и решить проблему. :(


вот скрин.
отчет выложить не могу - не принимает форум - грит файл большой слишком...

ссылка на отчет: http://narod.ru/disk/57931012001.832493ad7c2089efe4092d971f969e70/DOC_slalom_260712_143513.zip.html

Прикрепленные файлы:


Сообщение было изменено DoC: 26 Июль 2012 - 13:45

Чукча не читатель! Чукча - писатель!



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых