Перейти к содержанию

Карантин и KAV 2009


Nikolay Lazarenko

Рекомендуемые сообщения

При проверке KIS обнаружил вирус HEUR:Trojan.Script.Generic. В списке действий рекомендуемым было помещение на карантин. Я удалил его. Почему KIS предложил поместить вирус на карантин, если это не подозрительный объект, а вирус?

Возможно это был важный файл для системы.

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 32
  • Created
  • Последний ответ

Top Posters In This Topic

  • Mark D. Pearlstone

    9

  • Nikolay Lazarenko

    8

  • Денис-НН

    4

  • Kapral

    3

Top Posters In This Topic

Posted Images

Paddington, сработла Проактивная защита. Это не 100% детект, а "предположение".

Такие файлы следует не удалять, а помещать на карантин. Здесь они проверяются после каждого обновления: если "диагноз" подтверждается, файл будет удален. Если нет - файл удален не будет. Поэтому антивирус предложил поместить его на карантин, и пока не удалять.

Ссылка на комментарий
Поделиться на другие сайты

Бывает,что бэкдур или троян перехватывает некоторые файлы и функции ОС и скрытых файлов раздела HDD.Антивирус же удалят не только вирус,но и полезный файл,который НЕ заражен,а использовался вирусом и получается что если такой вирь(троян,бэкдур) в карантин тащить,то можно не гробить файлы винды...

Не слышал о таких случаях.

 

Упрощая ситуацию - есть два варианте - классический "файловый" вирус: такой не удаляется, а лечится. Если лечение возможно. Причём лечить файловые вирусы желательно загрузившись с другой ОС. Такие ситуации сейчас встречаются не часто.

 

И второй вариант - троянцы, черви и пр. Их лечить невозможно, надо удалять целиком. Удаляется такой файл при совпадении с вирусной базой и удаляется один. Не прихватывая с собой полезных файлов. Другое дело, что в реестре могут остаться ссылки на запуск этих вредоносных программ и отсутствие на нужном месте файла может вызвать сбои в работе ОС.

Здесь уже надо чистить реестр.

 

И название места - куда удаляют заражённые файлы роли не играет. Карантин или резервное хранилище - разницы нет. Результат один - файл недоступен для ОС.

Ссылка на комментарий
Поделиться на другие сайты

Kapral

Теперь понятно. :drinks: А где можно найти информацию, например, что HEUR - это эвристик? Для того, чтобы узнать в следующий раз, что название означает. В справке KIS и на сайте ТП не нашел.

Изменено пользователем Paddington
Ссылка на комментарий
Поделиться на другие сайты

а если файл системный, важный и не поддается лечению KAV

 

Полностью с вами согласен,НОД32 важные заражённые системные файлы в карантин тащит,и не только НОД...притом с сохранением работоспособности этого файла

Ссылка на комментарий
Поделиться на другие сайты

НОД32 важные заражённые системные файлы в карантин тащит,и не только НОД...притом с сохранением работоспособности этого файла

Как такое возможно. Смысл тогда добавлять его в карантин, копию что ли берут.

 

Вот со справки KIS

При помещении объекта на карантин выполняется его перемещение, а не копирование: объект удаляется с диска или из почтового сообщения и сохраняется в карантинном каталоге. Файлы на карантине хранятся в специальном формате и не представляют опасности.
Изменено пользователем Mark D. Pearlstone
Ссылка на комментарий
Поделиться на другие сайты

Как такое возможно. Смысл тогда добавлять его в карантин, копию что ли берут

 

В НОДЕ оригинальный вирь перед удалением копируется в карантин,а затем копия виря находиться в карантине и работает с сохранением работоспособности ОС, т.е. файл виря участвует в работе в безопасном виде

Ссылка на комментарий
Поделиться на другие сайты

В НОДЕ оригинальный вирь перед удалением копируется в карантин,а затем копия виря находиться в карантине и работает с сохранением работоспособности ОС, т.е. файл виря участвует в работе в безопасном виде

Как может заражённый файл безопасно участвовать в системе, тем более в карантине. Это возможно только если файл вылечен.

Лазаренко Николай, можете дать выписку со справки НОД, как я дал со справки KIS?

Ссылка на комментарий
Поделиться на другие сайты

Если вирь находится в карантине и продолжает работать , нафига такой карантин? Например - популярные в последнее время блокираторы виндовс. Поймал такой вирь - поместил на карантин а он продолжает оттуда работать "в безопасном виде" и блокирует запуск виндовс? Так что-ли?

Ссылка на комментарий
Поделиться на другие сайты

Как может заражённый файл безопасно участвовать в системе, тем более в карантине. Это возможно только если файл вылечен.

Лазаренко Николай, можете дать выписку со справки НОД, как я дал со справки KIS?

 

Виноват!Мне такое мой товарищ говорил,может быть врал...

Но по идеологии НОДа помещение в карантин(не резерв) копии удаленного вируса лучше чем удаление "голое"

Ссылка на комментарий
Поделиться на другие сайты

Виноват!Мне такое мой товарищ говорил,может быть врал...

Но по идеологии НОДа помещение в карантин(не резерв) копии удаленного вируса лучше чем удаление "голое"

Перестраховывается на случай ошибки и возможного исправления при новом обновлении :drinks:

Ссылка на комментарий
Поделиться на другие сайты

Перестраховывается на случай ошибки и возможного исправления при новом обновлении :drinks:

 

Растолкуйте,пожалуйста вашу фразу,я не совсем понял...

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ГНФ
      От ГНФ
      Здоровья всем, заглянувшим в тему.
         У моего товарища, как и у меня, на ПК установлен KAV-19, с отменённым обновлением программных модулей, и он не собирается менять его на другие приложения Касперского. Это приложение нравится ему и мне тем, что в рём можно настроить его работу так, как нам нужно, а не так, как навязывают своим пользователям, разработчики программы в своих новых версиях приложений антивируса.
         Но сейчас, для таких, как мы с другом любителей всего старого и надёжного, наступили чёрные времена. Разработчики отменили продление лицензии по коду активации, предлагая продлить закончившуюся подписку, купив лицензию для новых приложений. Ближайшим по функциональности к KAV приложением оказался Kaspersky Standard. Я успел приобрести подписку на это приложение до того, как закончилась моя подписка на KAV, а так как мой компьютер был прописан в моём аккаунте на My Kaspersky, то по окончании старой подписки по коду активации, он был автоматически подключён к новой подписке для Kaspersky Standard. С этой подпиской мой KAV-19 прекрасно работает, как до этого проработал 5 лет. Базы обновляются, сетевые атаки и загрузка несанкционированного мною контента пресекаются.
         У товарища же, ситуация другая, он прозевал окончание старой подписки, и теперь, для продления подписки (при уже купленной подписке на Kaspersky Standard), ему предлагается установить вместо KAV, это новое приложение, а в его приложении KAV (значок в трее - красный), висит сообщение: "Срок действия лицензии истёк" и активна кнопка: "Купить". В новой подписке на странице его аккаунта, красным написано: "Не используется", а подключённых устройств нет. При попытке подключить устройство, предлагается ссылка для скачивания и установки Kaspersky Standard.
      Я решил попробовать обмануть программу и оформил на ПК временную подписку. Попытка была успешной, и теперь у него в аккаунте висят две подписки - одна пробная, на 30 дней (Активна), у которой в устройствах указан ПК друга, с зелёным экраном и всеми настройками приложения KAV-19, а ниже - подписка на Kaspersky Standard (Активна), в которой нет подключённых устройств и предлагается подключить устройство.
         У меня к сообществу вопрос - перейдёт ли новая подписка на ПК друга автоматически, после окончания действия пробной подписки, как это произошло у меня, или придётся искать другие пути, для того, чтобы сохранить на ПК друга KAV-19?
    • Bulef
      От Bulef
      Здравствуйте. По ошибке занёс в карантин безобидный файл и не могу восстановить. Пишет: "Cannot create file: "*". Отказано в доступе." Помогите пожалуйста.

    • Александр4321
      От Александр4321
      KAV Endpoint Security  примерно каждые 20 минут создает в папке c:\windows\temp  папку с названием вроде "CEA8337C74B14948939ADB5A1E7D097A". В ней вложенные папки clr\all\, в которых ини файлы, соответствующие названию популярных антивирусов. 
      Сообщения из логов системы, которые совпадают со временем создания файлов:
      Cобытие 1042, MsiInstaller : Окончание транзакции установщика Windows: C:\ProgramData\Kaspersky Lab\KES\Patches\kes11\kes11_8\aes56\ru\kes_win.msi. ИД клиентского процесса: 8048.
      Cобытие 1033, MsiInstaller : Установщик Windows выполнил установку продукта. Продукт: Kaspersky Endpoint Security для Windows. Версия: 11.8.0.384. Язык: 1049. Изготовитель: АО "Лаборатория Касперского". Установка завершена с состоянием: 1603.
      Cобытие 11708, MsiInstaller : Программа: Kaspersky Endpoint Security для Windows -- Установка программы завершена с ошибкой.
       
      Вопрос: как корректно обновить антивирус и как заставить его убирать за собой?
    • Зелёный глаз
      От Зелёный глаз
      Добрый день!
       
      Пытался установить наш продукт сыну на стационарный компьютер.
      KAV начинал крутить проценты установки, перезагрузил комп, опять побежали проценты. Где-то на 60% установщик схлопнулся, ничего не сказав.
      Зашёл в тему на форуме (https://forum.kaspersky.com/topic/%D0%BD%D0%B5-%D0%B7%D0%B0%D0%BF%D1%83%D1%81%D0%BA%D0%B0%D0%B5%D1%82%D1%81%D1%8F-%D1%83%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D1%89%D0%B8%D0%BA-%D0%B0%D0%BD%D1%82%D0%B8%D0%B2%D0%B8%D1%80%D1%83%D1%81%D0%B0-27705/)
      Стал запускать KVRT (что-то нашёл, удалил), AVBR (нашёл пользователя John, удалил), AdwCleaner.
      После этого KAV всё равно не встаёт, жалуясь на отсутствие прав администратора, хотя логин админский.
      После этого в разных комбинациях запускал вышеупомянутые лечилки, на сейчас имеем:
      KVRT ничего не находит, чисто.
      AVBR в процессе работы выводит окно про майнер, нажатие на любую кнопку в этом окне (Yes, No, Ignore) приводит в перезагрузке.
      KAV не встаёт, но уже сразу с неизвестной ошибкой.
       
      Regards, Vadim
      CollectionLog-2023.06.23-19.18.zip
    • Григорий Срибный
      От Григорий Срибный
      На форуме была эта тема ещё и закрыта
      Ну обозвали пользователя идиотом сказали ищи там... 
      А я вот то-же не нашел, как вернуть сожранный без спросу файл.
      Я ведь не в юмористическую передачу пишу, чтоб посмешить раз хочу вытащить, значит надо.
      Я шел вот так, но пришел в никуда... Другого пути на нашёл. Может глаз "замылился", ну не вижу и всё. ((
       
      Раньше просто было открыл сканировать... внизу ссылка файлы в карантине... Зачем закопали в чёртикуда!?
      Простота спасла мир, простота. А не дебри... 
       
      Исправить не прошу, прошу подсказать где и как попасть. Если есть... - 
      а то у меня то-же впечатление, что нет такой функции - "восстановить файл". 
       





×
×
  • Создать...