Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
LinX
Зарегистрирован: 12.12.2004 Сообщения: 6 Откуда: Ukraine
|
Добавлено: Вс Дек 12, 2004 4:41 pm Заголовок сообщения: NOD32 - киллер AstalaVista clientwin2k.exe |
|
|
Антивирус nod32 (последняя версия и последние базы) распознает clientwin2k.exe как ВОЗМОЖНО зараженный "unknown NewHeur_PE virus" и очень легко его удаляет (включая службу), хотя clientwin2k.exe точно ничем не заражен и вирусов на компе нет. Без опции автоматического удаления работать просто невозможно.
Как быть? Не писать же разработчикам nod32, чтобы heuristic analysis переделывали |
|
Вернуться к началу |
|
|
Dimitry
Зарегистрирован: 28.01.2003 Сообщения: 131 Откуда: г. Москва
|
Добавлено: Вс Дек 12, 2004 7:23 pm Заголовок сообщения: |
|
|
Скорее всего это из-за того, что этот файл упакован. Последние версии пакуются с помощью архиватора UPX после чего ещё и немного портится заголовок файла, так что он в принципе не является правильным, но файл работает из-за того что система не проверяет его на правильность. |
|
Вернуться к началу |
|
|
LinX
Зарегистрирован: 12.12.2004 Сообщения: 6 Откуда: Ukraine
|
Добавлено: Вс Дек 12, 2004 7:51 pm Заголовок сообщения: |
|
|
Распаковка файла не помогла.
Запускаем nod scanner - говорит, что в памяти сидит unknown NewHeur_PE virus.
Выгружаем clientwin2k.exe и сканим память - говорит, что в памяти все - ОК! |
|
Вернуться к началу |
|
|
skrol
Зарегистрирован: 18.11.2004 Сообщения: 39 Откуда: Ярославль
|
Добавлено: Пн Дек 13, 2004 12:18 pm Заголовок сообщения: |
|
|
А на кой вам этот антивирус если говориш что вирусов нет??? Забей на всё и выкинь его!!! |
|
Вернуться к началу |
|
|
RoboTact
Зарегистрирован: 23.10.2004 Сообщения: 6
|
Добавлено: Пн Дек 13, 2004 7:07 pm Заголовок сообщения: |
|
|
LinX писал(а): | говорит, что в памяти сидит unknown NewHeur_PE virus. | Это как - Новый Эвристически Неизвестный Вирус, существующий в формате PE? А нельзя просто отключить всю эвристику в антивирусе? Обычна такая опция бывает. Путь проверяет только то что есть у него в базе вирусов. _________________ He thinks that by repeating he creates some kind of truth. |
|
Вернуться к началу |
|
|
vis Site Admin
Зарегистрирован: 18.05.2002 Сообщения: 3830
|
Добавлено: Вт Дек 14, 2004 3:45 am Заголовок сообщения: |
|
|
вааше-то за такие вещи можно уроду нортону иск двинуть
на тему того, что он коммерческий продукт распознаёт как вирус
нанося тем самым правообладателю (мне т.е.) ущерб
касперы на эту тему аккуратней работают
на порядок!
причем это уже с нортоном второй раз за 4 года такая бадяга блин |
|
Вернуться к началу |
|
|
LinX
Зарегистрирован: 12.12.2004 Сообщения: 6 Откуда: Ukraine
|
Добавлено: Вт Дек 14, 2004 8:53 pm Заголовок сообщения: |
|
|
skrol. Это с nod32 вирусов нет, а без него - сколько хочешь.
Для сравнения - до него троян Каспер пятый стоял, говорил, что нет ниодного виря. Нод32 со старыми базами только троянов 4 придавил. |
|
Вернуться к началу |
|
|
LinX
Зарегистрирован: 12.12.2004 Сообщения: 6 Откуда: Ukraine
|
Добавлено: Вт Дек 14, 2004 9:18 pm Заголовок сообщения: |
|
|
RoboTact. Опция отключения эвристики там есть, но отключать эвристику я не собираюсь.
Причина: игровой клуб для иностранцев в полузакрытом учреждении ("нашему" человеку туда попасть почти невозможно). 85% клиентов сидят в интернете на сайтах с "интересным" содержимим, на которых кроме информации ооочень много "интересных" троянов. Эвристика вылавливает примерно 20% троянов. |
|
Вернуться к началу |
|
|
LinX
Зарегистрирован: 12.12.2004 Сообщения: 6 Откуда: Ukraine
|
Добавлено: Вт Дек 14, 2004 9:58 pm Заголовок сообщения: |
|
|
vis, nod32 - это не нортон, как из вашей мысли я понял (www.nod32.com). Нортону, по статистике многих иностранных независимых журналов, нортону до nod32 еще далеко (процентов на 15% разница).
Разработчик иск двинуть может за нанесение ущерба, но из этого, из личного опыта знаю, ничего хорошего не выйдет.
(Была такая же ситуация год назад на фирме, на которой работаю - нортон тогда "выделился" своих эвристическим анализом. Переговоры с ним успехом не увенчались - "нортон" вежливо ответил, сказав что свой антивир они переделывать никак не собираются.
Пришлось немного переделывать уже готовый комерческий продукт. |
|
Вернуться к началу |
|
|
vis Site Admin
Зарегистрирован: 18.05.2002 Сообщения: 3830
|
Добавлено: Ср Дек 15, 2004 9:14 pm Заголовок сообщения: |
|
|
ясен хобот что судиться смысл невелик
и гимору больше чем смысла
про nod вообще первый раз слышу, т.к. темой не занимаюсь
и что это за такое интересное содержимое? |
|
Вернуться к началу |
|
|
eDeth
Зарегистрирован: 12.07.2004 Сообщения: 412 Откуда: Дубна
|
Добавлено: Ср Дек 15, 2004 11:10 pm Заголовок сообщения: |
|
|
Да не нужны в клубе антивирусы если все под юзерами работают.
Даже если тело скачало и поставило трояна (ну вдруг удалось), то при заблокированном компе ничего в Сеть не передастся, а при разблокированном - передается за счет (уже другого) тела.
Далее, что такого супер важного может передать этот троян если запущен из-под юзверя?
IMHO, при правильной настройке:
1) словить трояна практически невозможно
2) если он и словился, то ничего ценного он передать не сможет, потому что ничего ценного юзер видеть не должен
Это грубо говоря.... |
|
Вернуться к началу |
|
|
vis Site Admin
Зарегистрирован: 18.05.2002 Сообщения: 3830
|
Добавлено: Чт Дек 16, 2004 2:06 am Заголовок сообщения: |
|
|
считаю что антивирусы не нуна только в случае, если машина сразу после клиента переливается полностью
а так - нуна хотябы отстреливать бытовуху типа чиха
учитывая тот факт что админам впадлу что-то с машинами делать
и большинству клубов тоже западло патчить реестр под юзера для кучи игр |
|
Вернуться к началу |
|
|
Гость
|
Добавлено: Пт Дек 17, 2004 2:53 am Заголовок сообщения: |
|
|
eDeth писал(а): | Да не нужны в клубе антивирусы если все под юзерами работают.
|
В том и прикол, что на данный момент все под админами работают (контра видите ли у предыдущего админа под юзером не шла и что-то другое (не успел он мне сказать)). Да и времени позаливать заново гиг по 80 на каждый клиент как-то некогда сейчас, чтобы все под юзеров переделать. |
|
Вернуться к началу |
|
|
LinX
Зарегистрирован: 12.12.2004 Сообщения: 6 Откуда: Ukraine
|
Добавлено: Пт Дек 17, 2004 2:58 am Заголовок сообщения: |
|
|
vis писал(а): | про nod вообще первый раз слышу, т.к. темой не занимаюсь
и что это за такое интересное содержимое? |
И, я думаю, что зря. Содержимое действительно интересное, особенно для компьютерных клубов - легкая система администрирования и т.д. |
|
Вернуться к началу |
|
|
eDeth
Зарегистрирован: 12.07.2004 Сообщения: 412 Откуда: Дубна
|
Добавлено: Пт Дек 17, 2004 5:32 am Заголовок сообщения: |
|
|
Anonymous писал(а): | eDeth писал(а): | Да не нужны в клубе антивирусы если все под юзерами работают.
|
В том и прикол, что на данный момент все под админами работают (контра видите ли у предыдущего админа под юзером не шла и что-то другое (не успел он мне сказать)). Да и времени позаливать заново гиг по 80 на каждый клиент как-то некогда сейчас, чтобы все под юзеров переделать. |
Как всё запущено |
|
Вернуться к началу |
|
|
Алексей Сухих
Зарегистрирован: 12.09.2003 Сообщения: 128 Откуда: Москва, Юг
|
Добавлено: Пт Дек 17, 2004 6:25 pm Заголовок сообщения: |
|
|
:вааше-то за такие вещи можно уроду нортону иск двинуть
и будет бедный Петя, засучив рукава, гондурасить в Сибири на стройках социализма...
пятничниый офф |
|
Вернуться к началу |
|
|
Гость
|
Добавлено: Чт Мар 10, 2005 4:10 pm Заголовок сообщения: |
|
|
LinX писал(а): | Распаковка файла не помогла.
Запускаем nod scanner - говорит, что в памяти сидит unknown NewHeur_PE virus.
Выгружаем clientwin2k.exe и сканим память - говорит, что в памяти все - ОК! | хз я меня таже хренатень! |
|
Вернуться к началу |
|
|
Ml Гость
|
Добавлено: Пт Июн 17, 2005 10:05 am Заголовок сообщения: NewHeur_PE |
|
|
Попался вирус, который перемалывает *.doc, в частности, файлы в *.exe. При этом, стоит только вставить дискету в дисковод, как вирус тут же начинает работать.
После удаления NOD'ом этого неизвестного вируса (NewHeur_PE) сканер показал, что вирусов нет в системе. Но обращению к дисководу продолжаются, толбко переодичность сократилась.
Ни кто не сталкивался с такой проблемой? |
|
Вернуться к началу |
|
|
|