Antivírusy ESET-u označovali systémové súbory za zavírené

DSL.sk, 10.3.2009

Slovenský výrobca antivírusového softvéru NOD32 a ESET Smart Security, spoločnosť ESET, v pondelok nášho času distribuoval aktualizáciu, po inštalovaní ktorej antivírusy spoločnosti označili viaceré systémové súbory Windows za infikované trojanom Kryptik.JX a presunuli ich do karantény.

Pre chybu heuristiky boli takto označené napríklad súbory dllhost.exe a msdtc.exe, celkovo bolo podľa niektorých užívateľov chybne označených za zavírené viac ako 15 súborov.

Problém spôsobila definičná aktualizácia 3918 a aktualizácia heuristiky 1091.

Podľa informácií spoločnosti bola distribúcia chybnej aktualizácie stopnutá po desiatich minútach a dostala sa tak na systémy približne 5% užívateľov antivírusových riešení ESET-u.

U verzií 3 a 4 antivírusových riešení ďalšie aktualizácie automaticky chybne označené systémové súbory z karantény obnovili. Z informácií ESET-u ale nie je jasné, či súbory obnovila už aktualizácia 3919 vydaná o tri hodiny po aktualizácii 3918 alebo aktualizácia 3920 vydaná neskôr.

V tejto správe spoločnosť uvádza, že súbory z karantény automaticky obnovila už verzia 3919, podľa tejto správy je pre automatické obnovenie súborov z karantény potrebná aktualizácia minimálne 3920.

V prípade NOD32 2.7 bolo potrebné chybne označené súbory obnoviť manuálne.

Z oznámenia spoločnosti nie je jasné nakoľko falošné označenie systémových súborov poznačilo chod systému Windows a či systém dokázal úspešne nabootovať, ak bol reštartnutý pred nainštalovaním aktualizácie opravujúcej chybu aktualizácie 3918.


Najnovšie články:



Diskusia:

staava sa Od: Nemocnica na Okraji Diskety 32 | Pridané: 10.3.2009 22:01 stane sa...aj nas slovensky antivirus je len clovek ;) hlavne, aby sa to nestalo pravidlom...az vtedy by to bolo zle ;-) Odpovedať Známka: 5.7 Hodnotiť:

Re: staava sa Od reg.: userKO | Pridané: 10.3.2009 22:06 njn, ale ked sa to stalo AVG vsetci ukazovali prstom :) a teraz to chces uzavriet konstatovanim stane sa...? Odpovedať Známka: 0.8 Hodnotiť:

Re: staava sa Od: Nemocnica na Okraji Diskety 32 | Pridané: 10.3.2009 22:56 ja som nan neukazoval :) ...ale myslim, ze u avg to bolo vaznejsie a u vacsieho % ludi...aspon to tak vyznelo,co som cital... Odpovedať Známka: 9.4 Hodnotiť:

Re: staava sa Od: hahiho | Pridané: 10.3.2009 23:04 no lenze system s AVG sa nedal ani spustit a o tomto som ja ani nevedel len z tohto clanku Odpovedať Známka: 10.0 Hodnotiť:

Re: staava sa Od: _xxx | Pridané: 11.3.2009 1:30 u avg to netrvalo 10 minut. Odpovedať Známka: 8.2 Hodnotiť:

Re: staava sa Od: .em | Pridané: 10.3.2009 22:39 Clovek ako ten z reklamy na ESET 4th gen. ... nikdy neomylny... ;) Odpovedať Známka: 6.2 Hodnotiť:

Re: staava sa Od: Nemocnica na Okraji Diskety 32 | Pridané: 10.3.2009 22:58 :D :D ...njn....ale reklama to pekna :) Odpovedať Známka: 9.3 Hodnotiť:

Re: staava sa Od: LK001 | Pridané: 11.3.2009 7:57 Nemocnica na okraji disku. Odpovedať Známka: 5.0 Hodnotiť:

Re: staava sa Od: Nemocnica na Okraji Disku/ety 32 | Pridané: 11.3.2009 14:25 njn...mas pravdu...ale to nie je moc podstatne :) Odpovedať Hodnotiť:

Re: staava sa Od: .......................... | Pridané: 11.3.2009 8:13 Ano stava sa, zhodou okolnosti som si ten update 3918 vcera stiahol (do v. 2.7). Nezdalo sa mi to, tak som porovnal CRC, velkosti a datumy suborov co oznacil za zavirene s druhych XP. Boli rovnake, tak sa mi to nezdalo este viac :) (hlavne ked ich tam oznacil za ciste, lebo uz bol updatnuty z 3919). Ale aj tak som vybral disk a stravil 2 hodiny skenovanim v inom PC, aby som sa dozvedel, ze je cisty, popri tom som hladal co to asi moze byt. V zasade mi na tom vadi len to, ze na stranke Esetu o tom nebola dve hodiny po incidente ani zmienka (resp. som ju nenasiel) ale na www.wilderssecurity.com diskusii uz o tom bolo cele vlakno, kde to bolo reportovane a analyzovane spolu s riesenim.... Odpovedať Známka: 5.0 Hodnotiť:

Re: staava sa Od: Ujo poumu | Pridané: 11.3.2009 15:37 Ako vydet ze nemas co robit a zaoberas sa z takym testovanim hehe asi nechodis do prace :) a preto mas cas na take hluposti Odpovedať Známka: -5.0 Hodnotiť:

Re: staava sa Od: ....................... | Pridané: 11.3.2009 16:12 No prave ze pracujem :) a prave preto si nemozem dovolit aby som mal polovicu disku zakryptovanu :). Zalohu by som obnovil tak tyzden dozadu, takze nic moc.... Myslim, ze som sa spraval presne tak ako by sa spravalo 99% normalnych ludi :), ktori maju na disku dolezite veci :). Navyse to po presunuti do karanteny to sice boot-lo, ale kazdu chvilu to chodilo nejaku error hlasku... Odpovedať Známka: 10.0 Hodnotiť:

\"smrtelne\" omyly Od: mo-si | Pridané: 10.3.2009 22:07 kolko systemovych suborov bolo omylom zmazanych? Odpovedať Známka: -2.5 Hodnotiť:

Re: \ Od: mariooo | Pridané: 11.3.2009 13:30 presunutych do karanteny, to je rozdiel Odpovedať Známka: 10.0 Hodnotiť:

Whitelist Od reg.: TOMxEU | Pridané: 10.3.2009 22:15 Preco AV nemaju whitelist, kde by boli kriticke subory oznacene ako nezmazatelne? Odpovedať Známka: -4.3 Hodnotiť:

Re: Whitelist Od: lollko | Pridané: 10.3.2009 22:18 Kto tu pise o MAZANI??? Odpovedať Známka: 5.0 Hodnotiť:

Re: Whitelist Od reg.: TOMxEU | Pridané: 10.3.2009 22:34 Je jedno, ci je subor v karantene alebo zmazany, vysledok je rovnaky - BSOD. Odpovedať Známka: 1.4 Hodnotiť:

Re: Whitelist Od: _xxx | Pridané: 11.3.2009 1:35 to vobec nie je pravidlo. subory ktore su spomenute su len podporne a system s bez nich nabootuje, nebudu fungovat len urcite sucasti, ktore sa daju povazovat za systemove len koli tomu, ze su sucastou windows a nie preto, ze su kriticke pre beh systemu. Odpovedať Známka: 7.5 Hodnotiť:

Re: Whitelist Od: _xxx | Pridané: 11.3.2009 1:33 aky whitelist mas na mysli? md5/sha1 hashe, alebo na baze nazvu/path suboru? Odpovedať Známka: 3.3 Hodnotiť:

Re: Whitelist Od: iso | Pridané: 11.3.2009 9:08 mozno cely WINDOWSSYSTEM32 hehe Odpovedať Známka: -3.3 Hodnotiť:

false positive Od: rhwk | Pridané: 10.3.2009 22:39 No stava sa to vsetkym AV spolocnostiam. Zaujimave je ze nastastie slo o relativne malo pouzivane subory prepojene so sluzbou RPC Odpovedať Hodnotiť:

svfvsdvf Od: vdfvdv | Pridané: 11.3.2009 0:05 Hah...Antivirusy ESET-u su platne akurat tak na 2 veci... FLAME!! Odpovedať Známka: -6.8 Hodnotiť:

Re: svfvsdvf Od: ajajajajaaaaaaj | Pridané: 11.3.2009 6:26 Netreba flame - je to bohužial pravda. Odpovedať Známka: -6.8 Hodnotiť:

Re: svfvsdvf Od: 432567 | Pridané: 11.3.2009 7:11 jj presne, vsetky antivirusy su na 2 veci Odpovedať Známka: -7.5 Hodnotiť:

Re: svfvsdvf Od: Broadcast | Pridané: 11.3.2009 11:17 A SPECIALNE NOD32 je akurat na to, aby bezal na pozadi :D:D Odpovedať Známka: 3.0 Hodnotiť:

Avira Od: matomato | Pridané: 11.3.2009 7:13 Presiel som na antivirus Avira free a zatial som spokojny. A hned mi nasiel par skrytych trojanov na ktore Nod nenarazil pol roka. Odpovedať Známka: -2.5 Hodnotiť:

Re: Avira Od: Kapor z Vane | Pridané: 11.3.2009 10:42 Avira zistila neskutocne nebezpecny trojan ktory sa nahadza medzi stolickou a klavestnicou, odporucame preto odpojit klavestninu a mys, za ucelom zvysenia bezpenosti Vasho systemu. Odpovedať Známka: 8.8 Hodnotiť:

Re: Avira Od: SMK | Pridané: 11.3.2009 12:15 LOL ze nahadza :D:D u magyar cunt ! :D Odpovedať Známka: 6.2 Hodnotiť:

avira Od: piffle | Pridané: 11.3.2009 7:25 tiez momentalne pouzivam aviru :) ale ak by si to tu cital pravidelne vedel by si ze avira mala vzdy najviac "chybovych" hlaseni, cize tvoji skryty trojani mozno ani trojani neboli :D Odpovedať Známka: 0.0 Hodnotiť:

avira Od: kanaďan | Pridané: 11.3.2009 7:36 presne tak ono obyčajný uživateľ to nemá šancu zistiť či to nie je chybové hlásenie Odpovedať Známka: 2.0 Hodnotiť:

avira Od: wickynko | Pridané: 11.3.2009 7:50 avira free antivirak je cool... Odpovedať Známka: -4.5 Hodnotiť:

Re: avira Od reg.: Mr.Henky | Pridané: 11.3.2009 8:19 Hej, s vyskakujúcimi reklamami, ktoré ti minimalizujú fullscreen aplikácie. Si môžu nechať. Odpovedať Známka: 6.5 Hodnotiť:

Re: avira Od: kredenc | Pridané: 11.3.2009 16:58 da sa to vypnut Odpovedať Známka: -3.3 Hodnotiť:

adasdas Od: dsdfs | Pridané: 11.3.2009 8:46 Je to informacia, nic viac .. napriek tomu je NOD spicka a nie je co riesit. Ked mi bude padat koli tomu system, spolami sa komp potom porozmyslam .. taketo inforsky su len infosky a nie je co diskutovat ;) Odpovedať Známka: 8.6 Hodnotiť:

nod-nikdy Od: antinod | Pridané: 11.3.2009 8:47 nod-nikdy Odpovedať Známka: -10.0 Hodnotiť:

Re: nod-nikdy Od: pytac | Pridané: 11.3.2009 9:15 preco? Odpovedať Známka: 7.5 Hodnotiť:

Re: nod-nikdy Od reg.: Wiko666 | Pridané: 11.3.2009 10:14 lebo GDI je lepsie :D ( C&C ) Odpovedať Známka: 7.1 Hodnotiť:

Falošné poplachy Od: hubak | Pridané: 11.3.2009 9:24 Falošné poplachy by sa nemali stávať, ale pri tom množstve vzoriek čo analytikom denne prejde rukami sa tomu asi nedá úplne zabrániť - reakcia ESETu ale bola v zmysle informácií uvedených v článku rýchla a účinná. Predvčerom a včera sa riešil podobný problém - LavaSoft AdAware AE chytal regulárny EXE súbor WinRAR-u vo verzii 3.80 ako Win32.Worm.Viking a vyriešenie problému trvalo o hodne dlhšie... Odpovedať Známka: 10.0 Hodnotiť:

Re: Falošné poplachy Od: jano*st | Pridané: 11.3.2009 9:40 Este stastie ze to trvalo len desat min a nesposobilo to pad systemu.Inac by som skoncil na dvojtyzdnovej dovolenke Odpovedať Známka: -5.0 Hodnotiť:

Re: Falošné poplachy Od: ....................... | Pridané: 11.3.2009 13:28 V zasade mi na tom vadi len to, ze na stranke Esetu o tom nebola dve hodiny po incidente ani zmienka (resp. som ju nenasiel) ale na www.wilderssecurity.com diskusii uz o tom bolo cele vlakno, kde to bolo reportovane a analyzovane spolu s riesenim.... (zazil som vcera rano na vlastnej kozi) Odpovedať Hodnotiť:

NOD32 Od: MirecU-II | Pridané: 11.3.2009 9:36 Nuz ja som zhodou okolnosti daval skenovat pocitac NODom a vyhadzalo mi 25 suborov, vacsina bola zo service pack 3 a na to windows pytal instalacne CD Windows XP Service Pack 3, ze subory boli zmenene. Ten som nemal, ale windows po restarte pekne nabootoval, zatial ziaden problem (zjavny) nebol. Dobre vediet toto, bo uz som sa cudoval, ze kde sa nabralo tolko infikovanych suborov, ked som len pred tyzdnom preinstaloval windows a zatial som ho ani poriadne nevyuzival ten pocitac, len zrazu bum... :) Odpovedať Hodnotiť:

Online Scanner Od: Jajo2 | Pridané: 11.3.2009 14:58 Mne dnes rano online scanner od esetu oznacil 1500 suborov ako virusy a hned ich aj odstranil. Velmi pekne od neho. Mozem preinstalovat win :-) Odpovedať Známka: -2.0 Hodnotiť:

esetsmart Od: Mr......Fre | Pridané: 11.3.2009 15:41 Volakedy som bol proti software eset ako je nod a pod. no po roznych testoch som presiel na ESET SMART SECURITY a nasadil vo firmach doteraz sme vsetci spokojny a odporucam ho aj kazdemu zakaznikovy no neviedia si ho vynachvalit .. kvalita je kvalita .... PS: vobec ma neodradi ani taka to chyba co sa stalo... pozrite kolko chyb len zasrany win a nikoho ho tak neodradilo ze by si dal nieco ine!... PS2: nezabudnite ma kritizovat plus hladat chyby pravopisne a podobne hovadiny ako viete podaktory xD Odpovedať Známka: 6.0 Hodnotiť:

Re: esetsmart Od reg.: 3hlav | Pridané: 11.3.2009 17:54 taktiez som dal do celej firmy ESS BE, a ziadny problem som nezaregistroval ani v pondelok ani do dnes, a to ho ma vyse 20 userov ostatny: pozrite si statistiky VB alebo av-comparatives.org a uvidite preco je nod najlepsi, aktualny proaktivny test: http://www.av-comparatives.org/ seiten/ergebnisse_2008_11.php Odpovedať Hodnotiť:

Re: esetsmart Od: 2Matrix | Pridané: 11.3.2009 20:58 Co je to 20 userov? To si akoze 20x prdol, ci co? NOD je dost problemovy produkt. Je dobry ak sa vie s nim zobchadzat a spravne nastavit. Paci sa mi aj import-export nastaveni a blokovanie webovych stranok. No stale ma problem korektne detekovat konkurencne nastroje... Obcas zhodi stroj jeho rezidentny modul tak, ze ho nepostavite ani v Nudzovom rezime na nohy... A je to zaroven najkradnutejsi softver na Slovensku... Odpovedať Známka: -3.3 Hodnotiť:

Re: esetsmart Od: mpca | Pridané: 16.3.2009 7:55 to že je "najkradnutejší" na slovensku znamená aj to že je najobľúbenejší? :) NOD SS4 na 6 staniciach, no problemos... Odpovedať Hodnotiť:

bla bla Od: karol k | Pridané: 11.3.2009 17:31 S tebou suhlasim aj ja mam Internet Security od ESETU...a tiez vrelo odporucam...ale co sa tyka Win-u...nemas moc pravdu, kedze vela ludi nevie ci aj daco ine ako win existuje, niekto si mysli, ze win je PC, niekto si nevie hodit nieco ine ako win, a niekomu to co potrebuje na inych OS nejde...kdez to u antiviru...si povies ESET je sprosty, odinstalujes stiahnes AVG a ficis...zistis, ze aj ten je hlupy, tak stiahnes Kaspersky...atd dookola...ale s winom sa to neda... Odpovedať Hodnotiť:

Cely Windows je virus. Od: kraskaAzviera | Pridané: 11.3.2009 18:17 Cely Windows je virus. Preto ho zmazte a nainstalujte linux. A s virmi mate pokoj. Odpovedať Známka: -4.3 Hodnotiť:

Re: Cely Windows je virus. Od: debil gates | Pridané: 11.3.2009 18:30 no jasne linux :DDD a to je co??? nejaka nova planetka??? ako vazne, neviem kto moze pouzivat linux a avast. to radsej nemat pocitac a citat iba noviny... Odpovedať Známka: 2.0 Hodnotiť:

Re: Cely Lunex je virus. Od: 2Matrix | Pridané: 12.3.2009 15:46 Kto Ti povedal taku sprostost, ze na Linux nepolozi skodlivy kod, program ci co? Linux ma len ine potreby na to, aby sa poskladal. A uz vidim ako bezny Matelko da na nohy nejaky Lunex... xi-xi... Odpovedať Hodnotiť:

...hm Od: Swampy | Pridané: 11.3.2009 21:26 A neda sa automaticke obnovovanie z karanteny zneuzit? Odpovedať Hodnotiť:

NOD ESS Od: jo2X | Pridané: 11.3.2009 21:56 Mne sa stalo, že zákazník čakal na mail a po dvoch dňoch mi volá čo sa stalo a kde to viazne a odchádzajúci mail bol u mňa v nevyžiadanej pošte. NOD sa činil. Odpovedať Hodnotiť:

Eset + Counterspy Od: trisis | Pridané: 11.3.2009 23:34 No ja som pred pár dňami bol nútený pristúpiť k reinstallu winu. Eset antivirus + Counterspy antispyware spôsobili nenabotovanie systému i v núdzovom režime. Skúšal som to riešiť cez command prompt, ale nevedel som, ako sa dostať k obnove registrov a celeho systemu. Stalo sa mi to 2x, najprv som myslel, ze to spôsobil registry cleaner od Uniblue, ale ako som nainštaloval tieto dva spomínané software, začali sa ich rezidentné ochrany spolu miešať a counterspy tiež označil nejaké systémové súbory ako infiltráciu a hodil do karantény a už nešlo nabootovať. Odpovedať Známka: 3.3 Hodnotiť:

eeeee Od: jano22 | Pridané: 12.3.2009 6:26 ja som s nodom tiez radsej skoncil..zacal sa spravat divne..a co sa tyka ess..tak slabo chyta spyware..radsej som zakupil riesenie od norton security a zatial chyta vsetko a nehlasi falosne poplachy. Odpovedať Známka: -3.3 Hodnotiť:

Nod32 Od: to je jedno | Pridané: 12.3.2009 12:46 Opravte ma ak sa mylim ale prednedavnom bol podobny problem s NOD-om ked chybne oznacil subory balika Adobe. Mnohym to sposobilo problem nakolko ich chytracky NOD odstanil. Vtedy som sa rozhodol od NOD-u odist a ako pozeram ide to s nimi dolu vodou. Reklamy plna ... ale soft horsi a horsi. Odpovedať Známka: 6.0 Hodnotiť:

vírusy Od reg.: Klerik | Pridané: 14.3.2009 18:42 Nod je parádny, má nízke nároky a odchytí väčšinu vírusov... Ale ak má niekto XP tak potrebuje aspoň 1 000 000 bezpečnostných balíkov aby bol v bezpečí... čiže v linuxe sme v bezpečí (ale nemám ho rád) a rovnako aj vo Viste (tú mám rád, keď ju človek dobre nastaví a nemá PC z roku pána :D tak celkom šlape). Odpovedať Hodnotiť:

neni ant Od: PadRe0000 | Pridané: 14.3.2009 22:55 nemam anivirak..nehlasi mi ziadne spyware..atd a som spokojny:) Odpovedať Hodnotiť:

ako pri virusom Od: KyleXY | Pridané: 7.4.2009 18:29 Ja mam na PC dva winy a iba jeden z nich pouzivam na testovanie pochybneho softu a chodenie do internetu, pricom po nainstalovani som urobil obraz cez Norton Ghost a pri sebemensich problemoch mozem tento testovaci win za dve minuty cely preplacnut cistym winom. Ten druhy win pouzivam iba na serioznu pracu a mam v nom nainstalovane komercne programy, ktore su vseobecne zname a nerobia problemy. A samozrejme mam zalohovany boot sektor (nulty sektor) a takto mi nemoze ziadny virus znicit pocitac. :-)) Odpovedať Hodnotiť:

Pridať komentár