Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Expirio.T - очистка не возможна

1
RSS
 
__alex
__alex
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 25.01.2012
Размещено 25.01.2012 13:45:48
Исправление: вирус был Expiro.T, а не как указано в теме.

Доброго времени суток!

Вчера лечил компьютер (Windows XP SP3), уже несколько дней как зараженный упомянутым вирусом. При этом, там был установлен ESET Smart Security 4.2.71.3 (rus) с последними обновлениями базы. Проблемы были в том, что:
  • Антивирус игнорировал зловред в памяти, который тем временем заражал исполняемые файлы десятками;
  • Сканер лечил лишь часть зараженных файлов на диске, оставляя другие нетронутыми ("очистка невозможна").
Ну первый пункт ладно, но второй! Я не понимаю логики работы программы, объясните пожалуйста!
Почему антивирус лечил одни файлы и не мог вылечить другие? Поясню, "другие" - это в основном файлы из c:\windows\system32: cmd.exe, например. Всего около 20 файлов, причем они не были загружены в память, их можно было удалять/изменять в то время! Мало того, я мог читать эти файлы - доступ не блокировался! (запускать, правда, не пробовал - рука не поднялась).
Ради эксперимента скопировал эти зараженные файлы в произвольную папку на диске. Мигнули окошки об обнаружении зараженных файлов, но они были успешно скопированы. Запустил проверку этой конкретной папки - в отчете о проверке написано "обнаружено: ..., очищено: 0". Просто нет слов.

Я не прошу помочь с лечением компьютера - это уже сделано, пожалуйста, объясните причину такого поведения антивирусной программы!
Изменено: __alex - 25.01.2012 15:47:50
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.01.2012 13:52:05
проверьте возможность лечения системных файлов из под Live.CD
[ Как создать образ автозапуска? ]
 
__alex
__alex
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 25.01.2012
Размещено 25.01.2012 14:31:16
Цитата
santy пишет:
проверьте возможность лечения системных файлов из под Live.CD
Цитата
__alex пишет:
Я не прошу помочь с лечением компьютера - это уже сделано, пожалуйста, объясните причину такого поведения антивирусной программы!

И вообще, ливсиди - это ливсиди. Я про поведение виндовой программы говорю.
Просто не зависимо от производителя, если антивирус (любой) мониторит файлы в реальном времени, то он не позволяет открыть зараженный файл! А уж сканер... я тереюсь в догадках. Вот тот же cmd.exe - ну нету, нету его в списке процессов! Доступ к файлу проверял - можно было удалить, без проблем. И тем не менее, "очистка невозможна".
Ничего не понимаю. Но хочу разобраться! :)

Насчет проверок - скачивал зараженные файлы на свой компьютер с установленным... эээ... тут можно упоминать названия других антивирусов? Вобщем, не ESET'овский. Дык на файлы лету лечились, как и должны. Потом закачивал их обратно на комп с ESS.
Изменено: __alex - 25.01.2012 14:39:23
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.01.2012 16:36:14
ну, здесь возможно играет роль, в каком состоянии система на которой вы пролечиваете зараженные файлы.
Если активное заражение есть - это одно.
Если чистая система и вы кидаете в нее зараженные файлы - это другое.
------
упоминать другие антивирусы не возбраняется.
Только в контексте нашего раздела.
Если мы решим, что имеет место банальная реклама другого антивируса, а не реальная просьба помочь в активном заражении,
то перенесем тему в специальный раздел.
Изменено: santy - 25.01.2012 16:38:55
[ Как создать образ автозапуска? ]
 
__alex
__alex
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 25.01.2012
Размещено 25.01.2012 16:45:28
Цитата
santy пишет:
ну, здесь возможно играет роль, в каком состоянии система на которой вы пролечиваете зараженные файлы. Если активное заражение есть - это одно. Если чистая система и вы кидаете в нее зараженные файлы - это другое.
Активное заражение? Ну это ж не руткит! Кроме того, перед сканированием я выгрузил все зараженные процессы из памяти. Можно это НЕ считать активным заражением?
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 25.01.2012 16:53:28
__alex
Что произойдёт при переименовании системных файлов и назначения им произвольных наименований ?
Было бы интересно узнать результат.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 25.01.2012 17:06:32
Цитата
__alex пишет:
Активное заражение? Ну это ж не руткит! Кроме того, перед сканированием я выгрузил все зараженные процессы из памяти. Можно это НЕ считать активным заражением?

Expiro.T - файловый инфектор и заражает он exe файлы, если бы Вы выгрузили все процессы система ушла в ребут!
Потому давайте прекратим оффтопить! Expiro.T и другие его модификации W,E,O лечатся только с диска во избежания лишних проблем.

Поскольку все что можно обсудили тему закрываю.
 
1
Читают тему