[Hully]

Tere kõigile!

Lugu ise selline.
Tegin 3 kuud tagasi arvuti kõvakettal olevatest failidest varukoopia ja pakkisin .rar-iga kokku ning salvestasin mälupulgale.
Kui tekkis vajadus pakitud dokumentide seast otsida kadunud doc, proovisin mälupulgalt infot kätte saada.
Nigu masinasse, milles töötas taustal antiviirus TRENDMICRO OfficeScan, mälupulga panin, tuli teade: arvutis viirus, kustutan või paigaldan nakatunud faili karantiini (umbes selline jutt oli, sõna-sõnalt ei mäleta).
Ja .rar laiendiga fail oligi mälupulgalt kadunud. Paigaldas SUSPECT kausta ja sealt enam tervelt kätte ei saanud. Kui püüdsin .rar laiendiga faili seal kaustas avada, andis veateate - corrupted fail.

Õnneks oli cd-le ka varukoopia tehtud ja sain uurida, mis seal siis "viirus" oli. Otsingumootor Graagle. Maybe!? (võib ka olla), aga miks on vaja selleks terve arhiveeritud kataloog ära purustada?

Arvutis on TRENDMICRO OfficeScan 7.3 viiruseandmebaas uuendatud 2.03.2008.

Ja nüüd siis peamine, miks ma selle kirjutise ette võtsin:

Antiviirused on head ja kasulikud, kuid....

OLGE ANTIVIIRUSTEGA ETTEVAATLIKUD EELNEVALT ARHIVEERITUD-PAKITUD TEILE VAJALIKE FAILIDEGA.
võivad sisaldada sellist faili, mida kunagi ei loetud viiruseks ja nüüd on. Ja siis olete oma arhiivist lahti;)


P.S. kui oli pakitud passwordiga rar - siis antiviirus ei lõhkunud struktuuri ära, lihtsalt ei leidnud "viirust"

Terv,
Hully

[angel]

loll viirusetõrje siis... kasutan nod32 üle pikka aja ja kordagi ei ole sellist jama andnud... + kui karantiini paneb siis enne küsib su nõusolekut ja kui lähebki talle sinna purki siis pärast annab sealt kenasti tagasi.. olgu või puhas viirus.

[Dogbert]

Kui õigesti mäletan, siis andis Trend Microt ka seadistada, et ta selliseid tobedusi ei teeks (näiteks ära keelata arhiivifailide sisu skännimine real-time skänneriga - arhiivi lahtipakkimisel teeb ta seda ju nagunii. Lisaks võtab nina toppimine arhiividesse meeletult ressurssi - mõttetult).

Samas saab ka NOD32 edukalt faile puhastama ja karantiini ajama panna ilma luba küsimata. Nii et kõik oleneb ikkagi tihendist.

Ja päris kindlasti annab ka Trend Micro karantiinist faili kätte, kui real-time skännimise selleks ajaks välja lülid või arhiivifailide skännimise keelad. Arhiivi nimetab WinRAR vigaseks tõenäoliselt selle tõttu, et Trend Micro real-time skänner blokeerib failile ligipääsu selle avamise ajal.

[angel]

nod32 vähemalt seni ei ole default seadistusega sellist jama teinud... kasutusel olnud nii 2.7 kui nüüd 3.0 vms uuem versioon.

[Dogbert]

[HacaX]

NODi puhul mainiks ära, et ehkki vaikimisi on ta mõistlik on ta paljudel ebamõistlikult konfitud. Põhjus on lihtne - too Wilders Security foorumis leiduv "põhjalike sätete" õpetus mida sageli soovitatakse ning miseenesest igati asjalik on sisaldab juhiseid justnimelt käesoleva teema tinginud stiilis konffimiseks, s.o. ilma kasutajat informeerimata puhastama (ja kui puhastamine ebaõnnestub siis kustutama). Õnneks soovitatakse ka karantiini kopeerimine aktiveerida, aga kas see oli nüüd koheselt või alles siis kui disinfitseerimine ei õnnestu pole hetkel meeles.
Keskmisel kasutajal kes piraadiks olemises probleemi ei näe soovitaks tõenäoliselt ka "possibly harmful" (või kuidas see täpne nimetus oligi) rakenduste jälgimise kinni keerata, kuna peamine mida selle käigus otsitakse ongi kõikvõimalikud kräkid/keygen/jms.

[UrmasL]

Trendi versiooni järgi oletan, et tegu corporate variandiga mis tsentraalselt hallatav? Peksa siis oma AV adminni, kes Trendi püsti pani. Olen ise kümmekond Trendi win domeenides püsti pannud. 5 kuni 50 kasutajaga võrgud. Mulle tema funktsionaalsus ning tegumood täitsa meeldisid. Default seadistusi tuleb loomulikult sättida, kuid corporate versiooni puhul polegi mõtet "out-of-box-running" lahendusest rääkida. Palun mitte solvuda, kuid need kes siin oma Nood'i kiidavad pole vist tsentraalselt hallatavat AV'd lähedalt näinudki.

Kui oma admin ei taha või ei saa, siis võin mõõduka kompensatsiooni eest ära konffida

[Dogbert]