Jump to content
Sign in to follow this  
akimsanya

Карантин AVZ

Recommended Posts

Уважаемый Олег!

 

Пожалуйста, объясните мне и другим не очень продвинутым благодарным пользователям замечательной утилиты AVZ, что такое карантин и что происходит с файлами, которые "попали" туда в результате проверки утилитой AVZ. Имеется ввиду карантин именно утилиты AVZ, а не антивируса Лаборатории Касперского или какого либо другого...

Возможно, вопрос может показаться слишком глупым, возможно, так оно и есть, но:

- в окне утилиты AVZ просмотра карантина есть кнопка "Восстановить", помимо "Удалить", "Архивировать" и др.;

- в результате поисковых запросов типа "как восстановить файлы из карантина AVZ" получил очень, очень много страничек различных ресурсов где люди задают подобный вопрос, но не нашел ответа типа "как сделать так как было до проверки"б\, это только укрепило меня в мысли, что вопрос - глупый, и...;

- на этом ресурсе я нашел Вашу фразу:

"А если не секрет - а зачем восстанавиливать kcs.dll из карантина ?! AVZ просто констатирует факт наличия этой DLL в логе и ничего с ней не делает (может еще как максимум автоматически в карантин скопировать (именно скопировать, не трогая оригинал)).";

 

Правильно ли я понял, если не нажимать кнопку "Удалить" или "Архивировать", то с оригиналами файлов, которые указаны в карантине останутся на своем первоначальном месте, в смысле все будет работать как и раньше?

 

Если для проверки выбраны методики лечения "Вирусы: Удалить", "AdWare: Удалить", "SpyWare: Удалить", "Dialer/PornWare: Удалить" , "HackTool: Лечить" , "RiskWare: Удалить", то файлы именно УДАЛЯЮТСЯ? Или перемещаются в карантин? Или ... что?

 

Аналогичные вопросы по поводу папки "Infected"

 

Да, я обратил внимание, что в заголовке окна карантина написано: "Карантин - папка с копиями подозрительных объектов". Именно КОПИЯМИ... а как тогда происходит лечение/очистка?

 

Скорее всего этот вопрос вызовет смех или даже раздражение, но утилита AVZ действительно очень полезна для пользователей, которым приходится работать на расстоянии в тысячи километров и десятках дней не только от интернета, но и от цивилизации. В абсолютном большинстве случаев мы понимаем очень мало из того о чем ведутся дискуссии на этом ресурсе, но нам очень важно знать что после проверки и, как цели, избавления от вредоносного Ad... Spy... (какого бы то ни было) Ware, нам не прийдется все переустанавливать.

 

Да, я понимаю, что если мы работаем в таких условиях, то должны принимать надлежащие меры для обеспечения защиты от проникновения нежелательного "ware", но не все обращают на этот факт должное внимание. Люди не идеальны. Как и программное обеспечение, даже антивирусное. Так что приходится работать в условиях, в которых приходится работать... :)

 

Я пытался найти информацию, которая помогла бы мне во всем разобраться, и в Справке и в Сети. Но... Но нет уверенности что я все понял праваильно. Будьте снисходительны, объясните обычным рядовым пользователям, которые вынуждены именть дело с такими не рядовыми проблемами.

 

Мой личный ноутбук защищен лицензионным платным антивирусным программным обеспечением, но работать вынужден на машинах, которые "защищают" разнообразные "бесплатные" приложения...

 

Заранее благодарен!

Александр

 

 

avz_log.txt

Share this post


Link to post

Следует опираться на следующие постулаты:

1. Карантин в AVZ - это копии объектов. Объект может копироваться в карантин в случае, если по неким причинам нужна его копия (для отправки на анализ, восстановления в случае неуспешного лечения, автоматически при некоторых условиях, скриптом и так далее). Как следствие, при копировании объекта в карантин с самим объектом ничего не происходит. Одно из основных назначений карантина - сбор копий файлов, вызывающих некое подозрение, или сбор копий неопознанных как безопасные файлов для того, чтобы потом из заархивировать и отправить на исследование. Для этой цели карантин используется в 99% случаев, и именно поэтому по умолчанию все подозрительное без повторов копируется в карантин.

2. Удаление объектов в AVZ никак с карантином не связано. Т.е. объект может быть удален вручную, скриптом, в ходе автоматического лечения (в общем-то не важно, как именно), но главное - объект удалится с диска и в карантин не попадет.

3. Для подстраховки опционально в ходе автоматического лечения перед удалением объекты могут копироваться в особый карантин, именуемый Infected. Отдельная папка карантина сделана специально для того, чтобы отличать копии объектов, сделанные для каких-то целей типа отправки на изучение (п.п. 1), и копии объектов перед удалением, сделанные в ходе автоматического лечения. По умолчанию чекбоксик "Копировать в Infected" выключен, и нередко получается так, что зловреда не удается копировать в карантин, но удается удалить (т.е. наличие копии не гарантируется).

4. Кнопка восстановления есть и в карантине, и в папке Infected. Она предназначена для выполнения попытки восстановить файл на прежнем месте. Применяется очень редко, так как в основном чистка ПК ведется скриптом, и автор скрипта принимает решения, что удалять и почему. Применять эту кнопку нужно только в том случае, если точно известно, что восстанавливаемый объект удален с диска, удален ошибочно и нужно его восстановить.

Share this post


Link to post

Уважаемый Олег,

очень благодарен Вам за подробный и ПОНЯТНЫЙ ответ!!!

 

Теперь не так страшно использовать утилиту AVZ! :)

 

Есть еще один вопрос. Даже, скорее, просьба: не могли бы Вы сообщить, возможно ли вылечить компьютер, зараженный "Packed.Dromedan!gen16" с помощью AVZ? Заражены очень важные машины, то есть "пробовать" не очень хочется. Необходимо сохранить работоспособность системы и установленных приложений.

Возможно ли лечение "вручную"? То есть так, чтобы не устанавливать ничего на зараженный компьютер?

 

Надеюсь, что мой вопрос не слишком уж... э-э-э... странный...

 

Заранее благодарен,

Александр

 

 

Следует опираться на следующие постулаты:

1. Карантин в AVZ - это копии объектов. Объект может копироваться в карантин в случае, если по неким причинам нужна его копия (для отправки на анализ, восстановления в случае неуспешного лечения, автоматически при некоторых условиях, скриптом и так далее). Как следствие, при копировании объекта в карантин с самим объектом ничего не происходит. Одно из основных назначений карантина - сбор копий файлов, вызывающих некое подозрение, или сбор копий неопознанных как безопасные файлов для того, чтобы потом из заархивировать и отправить на исследование. Для этой цели карантин используется в 99% случаев, и именно поэтому по умолчанию все подозрительное без повторов копируется в карантин.

2. Удаление объектов в AVZ никак с карантином не связано. Т.е. объект может быть удален вручную, скриптом, в ходе автоматического лечения (в общем-то не важно, как именно), но главное - объект удалится с диска и в карантин не попадет.

3. Для подстраховки опционально в ходе автоматического лечения перед удалением объекты могут копироваться в особый карантин, именуемый Infected. Отдельная папка карантина сделана специально для того, чтобы отличать копии объектов, сделанные для каких-то целей типа отправки на изучение (п.п. 1), и копии объектов перед удалением, сделанные в ходе автоматического лечения. По умолчанию чекбоксик "Копировать в Infected" выключен, и нередко получается так, что зловреда не удается копировать в карантин, но удается удалить (т.е. наличие копии не гарантируется).

4. Кнопка восстановления есть и в карантине, и в папке Infected. Она предназначена для выполнения попытки восстановить файл на прежнем месте. Применяется очень редко, так как в основном чистка ПК ведется скриптом, и автор скрипта принимает решения, что удалять и почему. Применять эту кнопку нужно только в том случае, если точно известно, что восстанавливаемый объект удален с диска, удален ошибочно и нужно его восстановить.

 

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.