Если ваш антивирус нашел что то подозрительное в сборке!!! Внимание всем! Если ваш антивирус нашел что то подозрительное в сборке, прежде чем сообщить об этом, поищите в этом форуме, может вы не первый и ситуация уже обсуждалась. За "кукарекание" об уже найденных и обсужденных "вирусах" будет следовать наказание.
Публикация ключей, номеров, лицензий, всякого рода взломщиков и кряков категорически запрещена.
Стаж: 16 лет 7 месяцев и 10 дней Сообщения: 631 Благодарности: 38915/321
03.11.2007 17:01 Ложные срабатывания антивирусов на файлы в сборках
В данных темах обсуждаем все проблемы вирусной активности и борьбы с ней, преимущества и недостатки антивирусов и т.п. :
Скрытый текст о найденных "вирусах" в сборках Скрытый текст о инсталляции и настройке антивирусов Скрытый текст о вирусной активности и лечении
Внимание всем пишущим!
Сборки не только проверяются на вирусную активность несколькими антивирусными программами, но и отлаживаются тестерами (не заинтересованными в заражении собственных компьютеров). Однако некоторые файлы сборки могут классифицироваться антивирусами как потенциально опасное или нежелательное ПО. Поэтому, прежде чем прокукарекать про найденный "вирус" в сборке, прочитайте FAQ по сборке, поищите в интернете описание найденного "вируса", внимательно изучите материалы данной темы.
Файлы, которые вызывают у вас подозрение, можно проверить: Скрытый текст
Пример Скрытый текст
Квинтэссенция тем про вирусы и антивирусы
Спойлер
Вопрос: Вирусов на компе НЕТ! Ответ: Вы зря с таким апломбом делаете такие заявления. Уместней было бы сказать что вирусов НЕ ОБНАРУЖЕНО! Это немного разные вещи. Невозможно быть абсолютно уверенным, что комп чист от вирусов в любое время, кроме случаев когда на дисках нет разделов и полностью стерт BIOS. Даже если вирусов уже нет, могут остаться последствия их деятельности. Ни один разработчик антивирусных программ не дает 100% обнаружения вирусов, троянов, итд.
Самый лучший антивирус - собственная голова
ЧАВО (FAQ) по материалам этих тем
Спойлер
Вопрос:
Что такое компьютерный вирус? Ответ:
Скрытый текст Вопрос:
Что такое антивирусная программа? Ответ:
Скрытый текст Вопрос:
1.16. У меня антивирус нашел троян, вирус, и т.д и т.п? Ответ:
Все файлы, находящиеся в сборке многократно подвергаются проверке на наличие вирусов несколькими антивирусными продуктами.
1. Файлы которые вызывают у вас подозрение вы можете проверить с помощью on-line проверки файлов на вирусы.
2. Поищите в Интернет информацию о вирусе, который обнаружил ваш антивирус.
3. Вы можете отказатся от сборки если она у Вас вызывает опасения и не задавать кучу идиотских вопросов на эту тему.
Пример:
Файл FastStone.exe получен 2008.05.16
Результат: 2/32 (6.25%)
Avast 4.8.1169.0 2008.05.12 Win32:Trojan-gen {Other}
GData 2.0.7306.1023 2008.05.16 Win32:Trojan-gen
Результат: 2/32 (6.25%)
Расчитать теорию вероятности, включить моск Вопрос:
Антивирус пишет сообщения на иностранном языке.Что мне делать? Ответ:
Вооружитесь словарем и переведите то,что он написал.Например:
Potential unwanted application - потенциально нежелательное приложение! Для Мелкософта все приложения - потенциально нежелательные! За исключением некоторых своих...
Adware agent application - приложение-агент рекламы (или рекламный агент).Вооружитесь Гуглом или Яндексом и поищите: что же такое Adware." Вопрос:
Перестали открываться жесткие диски из моего компьютера, открывается окно "выберите программу для открытия данного файла"и не могу войти в жесткие диски...Что делать?
При двойном клике на иконку диска вылетает нове окно проводника, а не открывается в этом же окне.Что делать? Ответ:
Пролечить комп от вирусов.
У Вас в корне каждого диска находится куча файлов с именем Autorun.Точно такой же набор файлов при заражении находится в папке windows/system32. Этих файлов в системе вообще не должно быть. Лечите и остатки удаляйте вручную. Некоторые файлы помечены как скрытые и системные. Чтобы их увидеть, надо в свойствах обозревателя включить показ скрытых и системных файлов. Либо удалять через Total Commander в защищенном режиме.
Способ Скрытый текстот автозапуска Вопрос:
Скрытый текст... не могу попасть на сайты антивирусников и микрософта!!! На форум захожу с первого раза! Ответ:
В папке: "C:\WINDOWS\system32\drivers\etc"
есть файл "hosts". Открывается блокнотом. Его содержание должно соответствовать эталонному.
Если Вы в него ничего не записывали,значит все лишнее записано вирусами.Удалите лишние записи.
Если после перезагрузки компьютера записи появляются снова - значит вирусы на Вашем компьютере продолжают свою деятельность.
Необходима полная проверка компьютера, желательно несколькими антивирусными программами, после чего снова очистить файл host... Вопрос:
Система выдала следующее:Диспетчер задач отключен администратором Ответ:
Это происки вирусов, попробуйте редактор реестра открыть, скорей всего тоже не получится.Поищите в яндексе по фразе,выданной компьютером и выполняйте рекомендации Вопрос:
Не могу настроить видимость скрытых файлов. Галку в свойствах ставлю, но эффекта нет. И после повторного просмотра свойств галка стоит на прежнем месте (не показывать скрытые). Как быть? Ответ:
Всем спасибо!!! Разобрался. Сам виноват. - подключал сотик. А оказалось на нём сидел trojan.NSAnti.Packed - страшное дело! NOD 32 даже не пискнул! Вопрос:
Разбил 250 гб на 30 (С) и 220 (D) .С форматнул, ставил с Зверь ДВД , Д как обычно не трогал, теперь к Ц пускает а к Д нет через проводник а через тотал командер спокойно. Ответ:
Откройте диск D в тотале настроенном на показ скрытых и системных файлов. Посмотрите в корне диска наличие файлов, которых вы туда не кидали. Обычно такая ситуация появляется когда винда ставится на предварительно зараженный диск. Диск С открывается пока он не заражен, но пройдет время и он перестанет открываться. Вопрос:
Вчера хватанул троянчиков, DrWEB 4.44 на них выругался и удалил.
Но после на рабочем столе появилась картинка:Warning!Win32/Adware.Virtumonde. Ответ:
Это Adware - назойливая гадость, схожая по своей сути с вирусом, только она не прячется, а предлагает что-то скачать или купить (обычно, такую же гадость). Лечится прогами, специально для этого предназначенными - SmitFraudFix,Spybot,Search&Destroy и т.п. Вопрос:
Agnitum Security Siute Pro 2009, настройки антивируса+антишпиона на максимум: 01.09.2008 23:49:18 Заблокирован вредоносный объект "Backdoor.mIRC-Based.AS" (trojan) в d:\zverwpi19\wpi\install\video\vlc.exe Как то непонятно, причем тут mIRC Ответ:
Виноваты настройки антивируса+антишпиона на максимум.При параноидальных настройках почти все антивирусы начинают видеть то, чего не существует. Как говорится: Обжегшись на молоке, дуют и на водку. Вопрос:
Ставил сборку, сразу же копировал iExplorer.exe на сайт http:/_/www.virustotal.com/ru/.В экзешнике обнаружен вирус несколькими антивирусниками.Сборку сам не качал Ответ:
Исполняемый файл IE7 называется iexplore.exe - так что неизвестно, чего вы там посылали на сайт и где это взяли.
Файл находится в Program Files\Internet Explorer Вопрос:
При появлении приветствия "Добро пожаловать", выскакивает окно: Введите код активации,вводишь разные коды - нет эффекта.Есть пункт:отправь смс на какой то номер с каким-то текстом, в ответ получишь код. стоимость 10$. Ответ:
Меньше лазить по порно сайтам.Самый верный способ избавиьтся - переустановить систему.
Еще на заре становления контент-бизнеса в сотовых сетях ходила такая шутка:"Отправь СМС с текстом:"Я не ЛОХ!"на короткий номер ****,чем больше отправишь,тем больше ты не ЛОХ!" Вопрос:
Стоит НОД, но как здравомыслящий человек проверяю раз в неделю свежей утилитой вэба. И постоянно вэб находит файл в папке Local Settings\Temp\stub.exe. Ответ:
Папки Temp желательно ручками регулярно подчищать, из этих папок ничего не должно автозапускаться.
Так что если куреит сказал что троян, спокойно грохните этот файл с помощью того же куреита. Вопрос:
Вот результат сканирования AVG последней DVD сборки.
G:\I386\SVCPACK\Logo.exe;"Virus identified Worm/Autoit.FDU";"Infected" Ответ:
Logo.exe - это самораспаковывающийся архив с бат файлом, считывающим, какой стоит процессор в компьютере и запускающим скрипт, устанавливающий соответствующую картинку в "Свойствах системы" на вкладке "Общие".
Распакуйте этот архив и блокнотом сможете открыть все "вирусы", находящиеся там.
Впрочем, если сборка вызывает у вас подозрения, а читать всю тему вам лень, вы можете отказаться от нее. Мы плакать не будем. Вопрос:
Файл innounp.exe находится Avast и Аvira как троян, на virusinfo вредоносного кода не обнаружено. Хотелось бы узнать что за файл, за что отвечает и что произойдет после удаления? Ответ:
Утилита для распаковки дисрибутивов и для вытаскивания скрипта из инсталятора Inno Setup, работающая из командной строки или как плагин к FAR'у или к TC.После удаления невозможно будет установить многие программы из WPI. Вопрос:
Как в реестре отключить автозапуск со всех носителей? Ответ:
Пуск - выполнить - gpedit.msc - конфигурация компа - административные шаблоны - Система - отключить автозапуск(то,что нужно - включить и выбрать) Вопрос:
При распаковке WPI v3.0 мой НОД ругаеца WPI\Install\MD8\Rus.exe Ответ:
Это файл русификатора для Dreamweaver8, а нод на него ругаеца по причине наличия в экзешнике линка на сайт автора русика. Вопрос:
На диске вирус \WPI\Install\System\Everest.exe - Backdoor.Win32.Turkojan.eex Определено касперским. Ответ:
backdoor.Win32.Turcojan - может и есть такой вирус, по крайней мере под Turcojan понимаются программы, собирающие информацию о системе, запущенных процессах, составе оборудования и пр. (что и делает эверест) и устанавливающиеся в скрытом от пользователя режиме без возможности вмешательства пользователя в процесс установки (в WPI применяется unattended инсталлятор программы без вывода каких либо окон и вопросов пользователю). Вот совмещение этих двух моментов и приводит в ярость всю команду доктора касперского. Поэтому даже перепакованный по-всякому эверест, прошедший проверку сегодня тем же касперским, завтра уже становится новой модификацией туркожана. Процесс испробован практически: в течение недели я донимал вирустотал эверестом , упакованным разными упаковщикакми, но всеми в режим unattended(скрытый). И в течение недели реакция следовала на следующий день одинаковая - туркожан с новым хвостиком на конце.
Так что умные люди могут успокоиться, остальным сборка запрещена к употреблению. Наиболее характерные и частые вопросы, связанные с необычным открытием дисков из Мой компьютер, видимостью скрытых и системных файлов, а также пропаданием Диспетчера задач и строки меню Свойства папки.Скрытый текст А так же,многие эти и другие вопросы более подробно раскрыты в темах текущего раздела
Пожалуйста, после скачивания сборки по-новой просканируйте её еще раз свежим Доктором и, если будут срабатывания приведите здесь имя этого файла и как именно ругается Доктор. Отправим ему в вирлаб на исправление ложного срабатывания.
Хотя, что-то мне подсказывает, что Вы за вирус могли принять детект со словом Tool, что вовсе и не вирус.
SergM Вы были правы. Доктор ругается на архив nirsoft, пишет "архив содержит инфицированные объекты", а в архиве как раз все tool. скриншот прикрепил, если нужно.
Отправьте запрос им в вирлаб запрос о ложном срабатывании или не пользуйтей этой программой _________________ Решение на поверхности, надо только копнуть поглубже. Скрытый текст
По поводу последнего usbguard не запаривался, ибо сам и кому ставил систему, устанавливал 5.4.0.6, оно как-то привычнее, попроще и на эту версию ругани не наблюдается.
Однако два дня назад дрвэбщикам я отправил жалобку на ложное срабатывание на свежий Shockwave Player. Дык сегодня прислали ответ, что исправили.
Это я к тому, что не поленитесь запросики отправлять. Они частенько переусердствуют, приходится одёргивать. _________________ В порочащих связях был незаменим... Скрытый текст
Они частенько переусердствуют, приходится одёргивать.
Тут обычно дело не в человеческом факторе, а в срабатывании автоматики - робот добавляет по заранее сформированным правилам, например, в случае с usbguard по упаковщику. А запросики на исправление ложняков, действительно, лучше отсылать (в правильную категорию), и человеки всё руками исправят.
Всё в ваших руках, отошлите файлец разрабам этих антивирусников с вопросиком - что бы это значило _________________ В порочащих связях был незаменим... Скрытый текст
User sent us a suspicious file.
User ip: **.**.**.**
User agent: Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.8.131 Version/11.11
User comment: Ваш продукт определяет этот файл как троян даунлоадер. Назначение файла - тихая установка программы USB Disk Security. Во время установки никаких вирусных проявлений не замечено. После установки в операционной системе ваш же антивирус не детектирует ни одного вируса. Установщик делался на чистой операционной системе с помощью программы Smart Install Maker с ультра-сжатием и отключением пользовательского интерфейса.(Это информация получена от автора перепаковки программы).
Возможно имеет место ложное срабатывание антивируса.
User language: ru
User email: ********@mail.ru
Original file name: USBGuard.exe
File size: 4375032
MD5: 0267eb16e561511fdb39cc3fc1f6c234
__________ Information from ESET NOD32 Antivirus, version of virus signature database 6219 (20110618) __________
The message was checked by ESET NOD32 Antivirus.
Скрытый текст
сейчас ожидается аналогичный ответ от аналитиков Касперского.
Но, отправлять депеши аналитикам всех антивирусов поголовно я не собираюсь. Мне достаточно мнения 5 основных антивирусных монстров - Avast, Avira, Kaspersky, Nod32, dr.Web. Ну еще майкрософтовский антивирус имеет кое какой вес, но не решающий.
Eastoop
Я в курсе. Drweb пользую давно (ключик официальный), и несколько раз отсылал им запросы о ложных срабатываниях. Последний был совсем недавно по поводу свежего Shockwave Player. Приняли, проверили, осознали и исправили
Подобные срабатывания исправляли ещё по двум программкам, которые юзал - vso photodvd и convertxtodvd.
Я тоже ориентируюсь на заключения монстриков. Если человеку важно мнение антивирусов из его списка пусть сам и запрашивает. О чем и отписал ему. _________________ В порочащих связях был незаменим... Скрытый текст
Это было ошибочное срабатывание.
Оно будет исправлено.
Благодарим Вас за помощь.
С уважением, Иван Каргапольцев
Вирусный аналитик
>From: *******@mail.ru
>Sent: 20.06.2011 13:28:00
>To: "New Virus" <[email protected]>
>Subject: [VirLabSRF][False alarm on a file][M:1][LN:RU][L:0]
>
>
> LANG: ru
> email: *******@mail.ru
>
> description:
> Ваш антивирус определяет файл, как Trojan-GameThief.Win32.Lmir.tln. На самом деле файл чистый и вирусов не содержит. Представляет из себя тихий установщик программы USB disk security. По словам автора упаковки программы в инсталлятор, упаковка производилась на чистой системе с помощью программы smart install maker с применением алгоритма ультра-сжатия lzma. После установки программы из данного инсталлятора система проверялась на наличие вирусов целым рядом антивирусных продуктов, в том числе и вашим антивирусом. Вирусного заражения обнаружено не было. Специалисты
> аборатории dr.web признали ложное срабатывание их продукта на данном файле и скорректировали свои антивирусные базы.
>
> Загруженные файлы:
> USBGuard.exe
>
>
123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1
Тел./факс: + 7 (495) 797 8700
Скрытый текстСкрытый текст
__________ Information from ESET NOD32 Antivirus, version of virus signature database 6222 (20110620) __________
The message was checked by ESET NOD32 Antivirus.
Скрытый текст
Ответ от Авиры в оригинале на русском так прислали
Имя файла Результат
USBGuard.exeFALSE POSITIVE
Файл 'USBGuard.exe' отмечен как 'FALSE POSITIVE'.Это означает, что данный файл не опасен и это ложное срабатывание с нашей стороны.Образец распознавания не будет удален, так как речь идет о нерегулярном ПО, которое используется для обхождения механизмов защиты в компьютерных программах. Если будет определено вирусное содержимое либо злокачественные свойства, то данный файл будет включен в распознавание при следующем обновлении файла VDF. Если распознавание со стороны AntiVir уже присутствует, то оно не изменяется и не адаптируетс я.Образец распознавания будет добавлен при одном из следующих обновлений файла определения вирусов (VDF).
_________________ Решение на поверхности, надо только копнуть поглубже. Скрытый текст
Последний раз редактировалось: glax24 (22.06.2011 17:04), всего редактировалось 1 раз
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах Вы не можете вкладывать файлы Вы не можете скачивать файлы