Recommended Posts

Доброго дня.

 

Версия Emsisoft Anti - Malware 7.0.0.16

Операционная система: Windows 7 х64 со всеми обновлениями.

HIPS не установлен, других АВ-продуктов тоже не имеется.

 

История такова.

 

15 января сработал антивирус с таким детектом

Служба ТП Mail.ru ответила : " Вполне возможно, что файл заражается на вашем ПК после скачивания. Рекомендую выполнить полную проверку и, возможно, отказаться от вашего текущего антивируса.

https://www.virustotal.com/file/a181...is/1358194708/"

 

После чего я отправил из карантина данный файл на проверку, указав его как Ложное срабатывание, а также отправил его сюда.

 

17 января по тех. причином ОС была переустановлена. И снова загружен Игровой Центр Мэйл.ру

 

Реакция Emsisoft аналогична, но с другим определением зловреда

 

Обратите внимание, контрольные суммы одинаковы.

 

Файл добавил в исключения изо всех видов проверок Emsisoft Anti - Malware.

 

В аттачах:

1.Лог сканирования по требованию установленным продуктом Emsisoft Anti - Malware.

2.Полное сканирование продуктом Emsisoft Emergency Kit.

3.Выборочное сканирование продуктом Emsisoft Emergency Kit.

4 и 5 Логи OTL.

 

ПС. Аттачи отправлены также в http://support.emsisoft.com/forum/6-help-my-pc-is-infected/

 

Чему верить и что делать?

 

 

 

 

 

  • Upvote 1

Share this post


Link to post
Share on other sites

Вот распаковал и тоже отправил на проверку https://www.virustotal.com/file/49e69cead765cfc52d023c732480d708b1aaa9c93001e9dfdb27e61cbbf2a80b/analysis/1358511474/ как видно срабатывает Битдефендер и другие, похоже на сработку проактивки. Видимо сам файл игрового центра сам видоизменяется постоянно, генерируется. И это смахивает на технологии видоизменения (маскировки) вирусами. Скорее всего ложный детект.

Share this post


Link to post
Share on other sites
Вот распаковал и тоже отправил на проверку https://www.virustotal.com/file/49e69cead765cfc52d023c732480d708b1aaa9c93001e9dfdb27e61cbbf2a80b/analysis/1358511474/ как видно срабатывает Битдефендер и другие, похоже на сработку проактивки. Видимо сам файл игрового центра сам видоизменяется постоянно, генерируется. И это смахивает на технологии видоизменения (маскировки) вирусами. Скорее всего ложный детект.

 

Странная работа АВ-Лаборатории тогда.

За ТРОЕ суток файл не только не добавлен, как false_positive, а наоборот, ПЕРЕПРОВЕРЕН сотрудниками и изменён в описании.

Кстати, у вас другой файл отправлен на ВТ. А мои оба раза одинаковы.

При этом проактивка как раз и молчала о видоизменении файла.Это чисто сигнатурный детект.

Share this post


Link to post
Share on other sites

Я имею ввиду проактивные методы битдефендора, у меня при установке получился такой файл и его тоже видят некоторые антивири как модификацию, про это я и пишу. Может майл сам в этом виноват. На валькирии тоже проактив сработал. Перепроверка через час и ещё панда добавилась как подозрительный файл https://www.virustotal.com/file/49e69cead765cfc52d023c732480d708b1aaa9c93001e9dfdb27e61cbbf2a80b/analysis/1358517736/

Share this post


Link to post
Share on other sites
Я имею ввиду проактивные методы битдефендора, у меня при установке получился такой файл и его тоже видят некоторые антивири как модификацию, про это я и пишу. Может майл сам в этом виноват. На валькирии тоже проактив сработал. Перепроверка через час и ещё панда добавилась как подозрительный файл https://www.virustotal.com/file/49e69cead765cfc52d023c732480d708b1aaa9c93001e9dfdb27e61cbbf2a80b/analysis/1358517736/

Вы путаете проактивку c эвристиком BD. Но я вас понял.

Ждем спеца СТП.

Share this post


Link to post
Share on other sites
Ну да, эвристик, не так выразился. А вот что сказала валькирия на файл WarfaceLoader.exe - http://v.comodo.com/Result.html?sha1=fc037b5d7c4624b0480320d7729e3d1b020d3509&&query=0&&filename=WarfaceLoader.exe

Зато не сам лоадер, а распакованный файл: http://v.comodo.com/Result.html?sha1=f94ea62c96b56872b109a445781016eecaaeb540&&query=0&&[email protected]

Share this post


Link to post
Share on other sites

Я проверил и распакованный файл (писал выше), сработал только  эвристик валькирии (третий пункт Advanced Heuristics)

Share this post


Link to post
Share on other sites

Я на Анубис сразу закинул, но прошло два часа и время не уменьшилось, а увеличилось... Оставил почту, результат придёт после проверки.

Share this post


Link to post
Share on other sites
Кстати проактив тоже сказал своё слово attachicon.gif2013-01-18_175936.png

 

Я сразу добавил его в Исключалки после первого же обнаружения, не запуская сам файл.

 

Кстати, англоязычная СТП тоже молчит. Хотя 4 часа прошло.

Share this post


Link to post
Share on other sites

Здравствуйте,nomad32! :) 

 

Странная работа АВ-Лаборатории тогда.

За ТРОЕ суток файл не только не добавлен, как false_positive, а наоборот, ПЕРЕПРОВЕРЕН сотрудниками и изменён в описании.

Это нормальное явление в плане изменения в описании.Касаемо Вашего обращения в http://support.emsisoft.com/topic/10394-need-help/,пожалуйста,подождите.Вам обязательно окажут помощь в решении вопроса.

Share this post


Link to post
Share on other sites

Ответ Emsisoft Employee:

 

"It is very probable that this is a false positive, based on the fact that it is the BitDefender engine that is consistently detecting the file as infected"

 

Создал тему http://support.emsisoft.com/topic/10399-false-positive-genvariantstrictor10889/

 

Ждем результатов.

 

Спасибо отозвавшимся.

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.

  • Recently Browsing   0 members

    No registered users viewing this page.