Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

При чтении вируса NOD молчит , Помогите прояснить ситуацию

1
RSS
 
Mik Naumov
Mik Naumov
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 23.03.2010
Размещено 24.03.2010 12:31:16
Случайно обнаружили отсутствие реакции NOD 4.0.474 на чтение вируса:
1. Вирус копировали на компьютер - NOD заругался при создании файла (правильно)
2. Вирус копировали с C: на D: компьютер - NOD заругался при создании файла на D: (правильно) и отсутствие реакции на чтение C: (???)
3. Вирус копировали с C: на другой (без антивируса) компьютер - NOD промолчал
4. Запустили вирус c C: - NOD промолчал
5. Воткнули флешку с вирусом в корне - NOD промолчал
--
Cообщение: Вероятно модифицированный Win32/Agent троянская программа
Система: WinXP SP3, базы свежие, вирус - EXE в базах с февраля 2009.
Настройки меню защита в режиме реального времени - стоят все галки, Кнопка НАСТРОЙКА: объекты стоят загр сектора, файлы; методы - все, кроме расш эвристики; очистка: без очистки; Другое: вкл оптимиз Smart.
Меню доп параметры: все галки, кроме Расширенная эвристика запуска файлов и блокировать съемные носители.
--
Можно было бы попробовать включить Расширенная эвристика запуска файлов и попробовать запустить вирус, но машина рабочая и экспериментировать с ней не очень удобно.
 
AcS
Гость
Размещено 24.03.2010 12:57:01
3. Как копировали: с заражённого пк на чистую машину или на чистой машине с заражённого пк?
4. Запускали локально с этого пк?
5. Автозапуск флешки включен?

Добавьте файл в архив и установите на него пароль, после этого залейте куда-нибудь, к примеру на rapidshare
 
Mik Naumov
Mik Naumov
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 23.03.2010
Размещено 24.03.2010 13:59:27
AcS
Вирус в базе 100% есть
Копировал к себе - NOD сигнализировал, копировал от себя к себе - NOD сигнализировал только на создание копии, копировал от себя по сети на чистую машину - NOD смолчал. Автозапуска флешки нет (как нет и autorun)

но, пошел дальше: врубил настройку Настройки меню защита в режиме реального времени->меню дополнительные параметры-> Расширенная эвристика запуска файлов. NOD сообщил мне настройка будет притормаживать работу (Согласен - доп расходы на проверку запуска). Все же рисканул и запустил EXE c диска С: (получил отлуп-Ура!), а также пошел запрет на чтение файла(FAR->F3). Видимо не совсем правильно перевели этот пункт меню. Но есть два момента:
1. F1 - русс справки на настройке доп меню нет
2. Проходит некоторая задержка времени между изменение данной настройки и поведением рез.защиты  ~ полминуты-минута

В общем окончательно разобрался.
 
Mik Naumov
Mik Naumov
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 23.03.2010
Размещено 24.03.2010 14:17:11
Упс, смотрю вирусяку на С: (FAR->F3) - NOD ругается, вставляю флешку с вирусом и смотрю на ней это же вирус - NOD молчит
 
AcS
Гость
Размещено 24.03.2010 14:55:32
Если автозапуск флешки отключен, то файл будет проверяться при выполнении каких-либо действий с ним(чтение\изменение\запуск).
Приложите отчёт SysInspector-а и семпл вируса в архиве с паролем.
 
1
Читают тему