18 ответов в этой теме

[nick7inc]

Добрый день.

Уже который раз сталкиваюсь с этой проблемой, честно говоря - достало. Похоже на глупую ошибку в логике антивируса.

 

 

По шагам.  Симптомы. Есть портабельная программа - Foxit PDF EDITOR 3. Периодически (раз в пару месяцев) DrWeb кидается на этот файл, прячет его в карантин. Я обновляю базы, запускаю сканирование файла в карантине. Отчёт - вируса нет. Восстанавливаю файл из карантина. Файл появляется, но доступа к нему нет (делаю вывод, что любой доступ блокируется антивирусом). Первый вопрос - какого хрена? После перезагрузки компьютера файл пропадает. Его нет ни в карантине, ни на диске. То есть чистый файл DrWeb просто трёт при загрузке системы. А вот это уже чистое вредительство!

Прикрепленные файлы:

•  NASTYA_Admin2_180518_115658.zip   12,38Мб   1 Скачано раз

[nick7inc]

Что же получается. При добавлении файла в канантин антивирус оставляет в драйвере дисковой системы пометку о блокировке файла по данному пути до перезагрузки, а ещё - подарочек: автоудаление файла при ближайшей перезагрузке. Ты же только что его проверил и самолично извлёк из карантина, придурок!

[VVS]

Нужно сперва перезагрузиться, а потом восстанавливать.

Так что никакой ошибки в логике нет.

[VVS]

И ещё:

Имя файла?

Время, когда наблюдалась проблема?

[nick7inc]

MD5: 6a981ce1839bb274516a9c604a37a3ea *Foxit Advanced PDF Editor 3.0.4 EN Portable.exe

Нужно сперва перезагрузиться, а потом восстанавливать.

Положение указателя мыши изменилось, для того, чтобы изменения вступили в силу требуется перезагрузка.

[nick7inc]

никакой ошибки в логике нет

Нет, есть. Блокировать и добавлять автоудаление при перезагрузке надо, если при перемещении файла в карантин оригинал не удалось удалить (блокировка вирусом). Или антивирус не может достоверно проверить наличие файла (зачем тогда нужны все эти перехваты системных вызовов, если такую простую операцию нельзя реализовать)? Тем более, если файл был признан чистым и при помощи антивируса был извлечён из карантина, то эти две операции надо убирать.

 

Зачем тогда нужен карантин, если антивирус в любой момент может молча грохнуть файл и не оставить резервной копии?

Сообщение было изменено nick7inc: 18 Май 2018 - 15:38

[VVS]

 

никакой ошибки в логике нет

Нет, есть. Блокировать и добавлять автоудаление при перезагрузке надо, если при перемещении файла в карантин оригинал не удалось удалить (блокировка вирусом).

Или в расчёте на то, что вирус многокомпонентный и попытается восстановить удалённый компонент.

Так что с логикой всё нормально.

[VVS]

MD5: 6a981ce1839bb274516a9c604a37a3ea *Foxit Advanced PDF Editor 3.0.4 EN Portable.exe

 

 

Нужно сперва перезагрузиться, а потом восстанавливать.

Положение указателя мыши изменилось, для того, чтобы изменения вступили в силу требуется перезагрузка.

Если Вы не понимаете, почему так сделано, из этого никоим образом не следует, что неверна логика разработчиков, а не Ваша.

И да: был второй вопрос - время, когда наблюдалась проблема?

[nick7inc]

Чистый файл удаляется в принудительном порядке без бекапа  (зачем тогда вообще карантин нужен, если он нихрена не работает) и вы говорите, что нет ошибки? Что же тогда по вашему ошибка? Удаление MFT?

[nick7inc]

время, когда наблюдалась проблема

Сегодня. Сразу после исчезновения файла (уже ожидал подобное) я сделал отчёт, приложенный к 1му сообщению, т.к. у меня эта гадость случается уже не первый раз и именно с этим файлом.

Сообщение было изменено nick7inc: 18 Май 2018 - 15:50

[nick7inc]

неверна логика разработчиков

Да, вы абсолютно правы. Я помню, как антивирус отключался обычным переводом даты. И это при том, что разработчики знали об этой проблеме более, чем за год до эпидемии вирусов, которые, естественно, этим воспользовались. Слава разработчикам.

 

Извините, не верю.

[VVS]

Чистый файл удаляется в принудительном порядке без бекапа  (зачем тогда вообще карантин нужен, если он нихрена не работает) и вы говорите, что нет ошибки?

Раз антивирус его удалил, значит антивирус не считает его чистым.
Ложное это срабатывание или нет - это уже другой разговор.
 

Что же тогда по вашему ошибка? Удаление MFT?

Ошибка - это Ваши рассуждения, когда Вы не хотите понять, то, что Вам написано.

[nick7inc]

вирус многокомпонентный и попытается восстановить удалённый компонент

Ещё раз: файл проверялся в карантине и был признан чистым самим антивирусом, потом им же и был извлечён из карантина, заблокирован, а потом - удалён при перезагрузке.

Сообщение было изменено nick7inc: 18 Май 2018 - 15:56

[VVS]

 

неверна логика разработчиков

Да, вы абсолютно правы. Я помню, как антивирус отключался обычным переводом даты. И это при том, что разработчики знали об этой проблеме более, чем за год до эпидемии вирусов, которые, естественно, этим воспользовались. Слава разработчикам.

 

Извините, не верю.

Лично меня вопросы веры в данном контексте не интересуют.

Я Вам объяснил, почему так сделано и как нужно поступать, а во что Вы верите или не верите - это к обсуждаемому вопросу вопросу отношения не имеет.

[VVS]

 

вирус многокомпонентный и попытается восстановить удалённый компонент

Ещё раз: файл проверялся в карантине и был признан чистым самим антивирусом,

 

Да, потому что он был задетекчен не сигнатурно, а по поведению.
 

потом им же и был извлечён из карантина, заблокирован, а потом - удалён при перезагрузке.

Да, и я Вам уже объяснил, почему так сделано и как этого избежать.

PS
И да - для файла нужно создать правило в превентивной защите, разрешив ему инжект.

[nick7inc]

для файла нужно создать правило в превентивной защите, разрешив ему инжект.

Я такого пункта не вижу. "Целостность запущенных приложений" - это оно?

[VVS]

 

для файла нужно создать правило в превентивной защите, разрешив ему инжект.

Я такого пункта не вижу. "Целостность запущенных приложений" - это оно?

 

Да, оно.

[nick7inc]

Понял, спасибо.

[Konstantin Yudin]

такие файлы до ребута не должны давать восстанавливать из карантина. но есть один нюанс который пока не исправлен в итоге пометка не поставилась на этот файл что его нельзя восстанавливать. доработаем.