Jump to content
Sign in to follow this  
HalfHuman

Постоянно обнаруживается несуществующий файл в необработанных объектах [В процессе]

Recommended Posts

да, файл в карантине, и проверяется каждый раз при обновлении баз, я об этом уже писал.

Так удалите из Карантина. Что, тогда всё равно заново появится?

Share this post


Link to post

нет, не появляется. и об этом я тоже писал 31.03.2017 11:13 "при удалении из карантина перестал проявляться"

у меня в карантине 5 файлов, а постоянно появляется только два - одного типа, они на скриншоте два разных файла. То есть какие-то зловреды антивирус обрабатывает некорректно. - вытаскивает, проверяет и запихивает в необработанные. Другие - как лежали молча в карантине, так и лежат. То, что антивирус перепроверяет файлы после получения обновления - нормально. Но то, что он два из 5 вытаскивает в необработанные - ненормально.

то есть если удалить файлы из необработанных и в карантине на 5 файлов сказать - перепроверить, то 2 из них появляются в необработанных.

Причем интересная особенность - в списке карантина дата события у тех файлов, которые появляются в списке необработанных - не меняется. А у трех других, которые не появляются в необработанных - устанавливается дата события, равная дате проведению перепроверки. (как после обновления, так и вручную).

такое впечатление, что попадаются файлы, на которых процедура перепроверки падает в ступор - и при этом файл попадает в необработанные и не меняется дата события.

 

Share this post


Link to post

Здесь как будто зависит от файла или типа вируса - не знаю, могу только предполагать. Это конкретный вопрос поддержке!

 

Почему я привязался к письму - потому что часто так было раньше (сейчас как-то мало стало вирусных писем). АВ поймал вирус в письме, но он не может как я понял вылечить письмо. Вот и висит в необработанных и каждый раз просит вручную принять решение.

Может в вашем случае сам файл Ворда тоже несет какую-то инфу (не чисто вирус) и АВ не берет ответственность удалить файл полностью... Черт его знает.

Но с тех пор я всегда чищу Карантин.

Share this post


Link to post

В моем случае при попытке по дате изначального файла найти письмо - при просмотре письма антивирус успешно удалил из письма весь файл (само письмо уже хранилось локально в PST), при этом не положил оригинал (само тело письма) в резервное хранилище. Так что я играюсь с самим файлом, который тогда при получении сохранил из письма.

Share this post


Link to post
В моем случае при попытке по дате изначального файла найти письмо - при просмотре письма антивирус успешно удалил из письма весь файл (само письмо уже хранилось локально в PST), при этом не положил оригинал (само тело письма) в резервное хранилище. Так что я играюсь с самим файлом, который тогда при получении сохранил из письма.

Просто странный временный путь к документу получился. Или так всегда из письма доки открываются?

Больше похоже, что в письме была ссылка, а там уже качнулся типа документ...

Share this post


Link to post

нет, там файл в архиве (я думаю, что уже ни для кого не секрет, что docx/xlsx/pptx это пожатые ZIPом папки с файлами xml), файл реально внутри есть. что делает файл после запуска - не знаю, не помню, что там было, когда я исследовал файл в прошлом году, а сейчас уже неинтересно ковыряться.

 

при перепроверке файл из карантина вынимает во временную папку, сканирует его, находит зловреда, удаляет временный файл, пытается открыть или что-то сделать с именем файла с учетом нахождения его в контейнере по оригинальному пути, создает файл в необработанных с именем файла, который открыть не смог, при этом время файла в карантине не меняется.

 

на другие файлы срабатывает по-другому:

при проверке файл пропадает из списка карантина, потом заново там появляется с новым временем (текущее время проверки)

 

складывается впечатление, что из-за попытки что-то сделать с несуществующим именем файла в контейнере логика перепроверки дает сбой и не убирает за собой мусор.

 

и обычно при исследовании вирусов я употребляю выражение "открыть файл" подразумевая нажатие F3 (просмотр) в FAR Manager.

Edited by HalfHuman

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.