nod32 и BestCrypt , работа с виртуальными дисками и пр.

RSS
Ищу решение проблемы.
Система WinXP SP3.
Есть nod (версии 3.0.694 и 4.2.40). Есть BestCrypt, который подключает свой контейнер (файл) как ещё один диск в систему (сравнимо с Daemon Tools, создающим виртуальный привод).
Проблема в том, что добавить этот диск/файлы на нём в исключения не представляется возможным. Исключения работают до переподключения диска. Стоит отключить/подключить диск и нод забывает про все исключения и начинает удалять файлы (при открытии папок к примеру), которые он считает вирусами.
Добавление масок папок типа G:\*.* или файлов *filename* не помогает.
Думаю, что проблема не с BestCrypt. Практически уверен, что такая беда будет с любым подключаемым диском, неважно чем и как он создан.
Что делать-то?

P.S. Поиск на форуме работает криво. Искать он ищет, но перейти в найденную тему нельзя - перекидывает на главную страницу.

Ответы

по моему нормально, что для исключения из поверки надо указывать полный путь на файл, или папку... представьте себе, что если бы вы исключили из проверки просто userinit.exe (к примеру), это значит, что он может запуститься без проверки откуда угодно. Для исключения из проверки масок файлов лучше использовать механизм исключения расширений в настройках сканера или резидентной защиты.
Цитата
al v пишет:
Ищу решение проблемы.

Думаю, что проблема не с BestCrypt. Практически уверен, что такая беда будет с любым подключаемым диском, неважно чем и как он создан.

Что делать-то?

Диск создан в Steganos Safe 2007, ESS 4.2.58, Windows XP SP3
диск монтируется постоянно как Z
создана запись исключения Z:\security\*.*
при удалении записи из исключений имеет следущий результат.

Цитата
28.07.2010 11:37:46 - Module Real-time file system protection - Threat Alert triggered on computer ***:  Z:\security\Cryptography\BestCrypt\8.20.6.3\kg.exe contains probably a variant of Win32/Agent trojan.
при восстановлении записи в исключение кейген остается на месте.
Перемонтирование диска,
исключение продолжает работать.
Snap1.jpg (22.33 КБ)
Изменено: santy - 28.07.2010 08:54:33
Цитата
по моему нормально, что для исключения из поверки надо указывать полный путь на файл, или папку... представьте себе, что если бы вы исключили из проверки просто userinit.exe (к примеру)то значит, что он может запуститься без проверки откуда угодно.
Нет, не нормально. Если пользователь сам вручную внес такое исключение, тем самым изъявив желание исключать определённый процесс из сканирования независимо от его местоположения, то резонен вопрос - почему ему мешают это сделать? Потому что Eset просто перестраховывается от случайностей и криворуких пользователей. Ну да ладно, меня это не столь волнует.

santy, спасибо за эксперимент. Значит не с любым проблема такая. Но суть это не меняет - проблема всё равно есть. И она определённо со стороны нода.

В саппорт eset я отписал, приложив все запрошенные ими логи и конфиги. После переписки ответили:
Цитата
Здравствуйте.
Ваш запрос передан специалистам «2 линии поддержки», так как является достаточно сложным.
Вторая линия отвечает на запросы по будням с 9.00 до 21.00
Пожалуйста, дождитесь ответа специалистов.
Изменено: al v - 28.07.2010 15:40:22
проверил еще на двух шифроконтейнерах: Truecrypt 7 и BestCrypt (8.20.6.3, демо режим до августа 2010), windows XP SP3, EAV 4.2.58. На первом вообще без проблем, да и постоянно работаю с этим шифроконтейнером, BestCrypt при первом монтировании_размонтировании отправил систему в перезагрузку, но после перезагрузки вроде все нормально работало, несколько раз проверил при монтировании и размонтировании:

без исключения
Цитата

Scan Log
Version of virus signature database: 5319 (20100728)
Date: 28.07.2010  Time: 20:49:15
Scanned disks, folders and files: U:\security
U:\security\gaqrszw.Vexe - Win32/Spy.Shiz.NAL trojan
U:\security\Trojan.Spy.Shiz.Nal.rar » RAR » gaqrszw.Vexe - Win32/Spy.Shiz.NAL trojan
Number of scanned objects: 2
Number of threats found: 2
Number of cleaned objects: 0
Time of completion: 20:49:15  Total scanning time: 0 sec (00:00:00)
с исключением
Цитата

Scan Log
Version of virus signature database: 5319 (20100728)
Date: 28.07.2010  Time: 20:50:36
Scanned disks, folders and files: U:\security
Time of completion: 20:50:36  Total scanning time: 0 sec (00:00:00)
c DiskCryptor-ом, думаю, тоже проблем не будет.
Изменено: santy - 28.07.2010 18:09:10
santy, вся проблема в том, что вы запускаете сканирование, которое действительно не игнорирует исключения. Проверил только что у себя - у меня тоже работают исключения при сканировании.
А попробуйте теперь зайти в ту папку, где находится вирус. Вот тут собака и зарыта.
Если не затруднит - отпишитесь пожалуйста о результатах.
AcS, если Вас не затруднит, попробуйте пожалуйста тот же эксперимент.
Цитата
al v пишет:
Нет, не нормально. Если пользователь сам вручную внес такое исключение, тем самым изъявив желание исключать определённый процесс из сканирования независимо от его местоположения, то резонен вопрос - почему ему мешают это сделать? Потому что Eset просто перестраховывается от случайностей и криворуких пользователей.
вот именно, если я указал *.dbf, то он должен не проверять такие файлы ВЕЗДЕ, а не на тех дисках которые были на ПК в момент импорта настроек и не проверять на сетевых ресурсах типа \\сервер\шара\. Раз я вношу исключения значит это исключения. Если Нод беспокоиться о том что ктото может чтто туда вписать помимо пользователя - то есть пароль на защиту настроек.

я юзаю Radmin и мне пришлось почти все его файлы прописывать в абсолютных путях - меня это мало радует.
Цитата
al v пишет:
А попробуйте теперь зайти в ту папку, где находится вирус. Вот тут собака и зарыта.
Если не затруднит - отпишитесь пожалуйста о результатах.

контейнер BestCrypt (демо до августа 2010), Windows XP SP3, ESS 4.2.58
в этот раз не было глюков системы при установке и переподключениях,
хм, да, согласен.
исключение не работает после переподключения,
активно "трогаем файл": переименование скажем из типа vexe (выставлено в настройках не трогать этот тип) в exe,
и файл удаляется, при включенных исключениях на папку тома V (v:\security)
Цитата

29.07.2010 12:56:27 - Module Real-time file system protection - Threat Alert triggered on computer ****:  \\?\Volume{cef95ced-9ace-11df-acec-005056c00008}\security\Install_ contains a variant of Win32/Sirefef.N trojan.

т.е. исключение работает, если оно создано в цикле текущего монтирования диска,
после нового монтирования,
прежняя запись не работает при активных операциях с файлом: переименование, просмотр свойств,
надо заново создавать запись исключения.

идентификатор диска, судя по логу, вроде прежний остается при новом монтировании.
Цитата

29.07.2010 13:37:44 - Module Real-time file system protection - Threat Alert triggered on computer ***:
\\?\Volume{cef95ced-9ace-11df-acec-005056c00008}\security\Install_ contains a variant of Win32/Sirefef.N trojan.
Изменено: santy - 29.07.2010 11:02:53
первый лог для шифроконтейнера BestCrypt, второй для Steganos Safe 2007.

Цитата
29.07.2010 14:37:08 Real-time file system protection file \\?\Volume{cef95ced-9ace-11df-acec-005056c000 Win32/LockScreen.A trojan cleaned by deleting - quarantined ***** Event occurred on a file modified by the application: C:\Program Files\Total Commander\Totalcmd.exe.

Цитата

29.07.2010 14:31:35 Real-time file system protection file Z:\virus!\sysstem.VV##ex Win32/LockScreen.A trojan cleaned by deleting - quarantined ***** Event occurred on a new file created by the application: C:\Program Files\Total Commander\Totalcmd.exe.
santy, спасибо Вам за отзыв. Теперь я спокоен :)
Кстати, активно трогать файл не надо - достаточно просто зайти в папку и немного подождать (пока AV сканирует её содержимое).
Такой вот баг :(
Eset превзошел все мои ожидания.
Предложили в BestCrypt включить опцию "монтировать диски как съемные", а в настройках антивируса исключить съемные диски из сканирования.
И это при учете того, что ежедневно к ПК подключаются десятки флешек со всякими каками.
Оригинальный текст
Цитата
Hello,
I've succesfully reproduced the problem you descibed. The exclusions does not work due to the nature how virtual drives are being mounted and dismounted - whole drive is removed. But the workaround for this issue is to set "mount drives as removable" in the BestCrypt options and disable scanning of removable media in the ESS/EAV.
Читают тему (гостей: 4)