详解eset恢复被隔离清除文件的方法
本帖最后由 tianzhenbo 于 2010-6-24 10:10 编辑在和用户的交流中,会发现nod32的一个隔离问题,nod32告知用户文件已经被隔离,具体隔离到哪儿了,对隔离的文件如何处理,对系统是否会造成影响,用户会有疑虑,这篇文章对这个问题进行了详细的阐述。
一:首先我们来了解一下eset的杀毒性能
1:实时保护 (查杀未知病毒)
ESET NOD32采用了先进的启发式来发现新的威胁是体现其性能的主要元素,但ESET NOD32也同时包
括了基于病毒库的扫描来提高它对已知威胁的保护能力。这两种技术被结合在一个名叫 ThreatSense(TM) 的单一引擎
里,成为ESET NOD32的优势所在,大大地提高了它对已知及未知威胁(包括病毒,间碟软件,甚至恶意攻击)的
防范能力。
2:※ThreatSense(R) 引擎技术
ThreatSense(R) 引擎是一个非常复杂和成熟的技术,它平衡了高级启发式技术和病毒库扫
描技术,以提供最好的防病毒效果,同时还不会拖慢电脑.
所以..eset不同于传统病毒库杀软有着体积小..查杀迅速..查杀未知病毒高的特点
二:报警隔离
eset报警后..通常都不会直接删除文件..而是将文件全部放入到隔离区内....在主界面点开工具就能看到
这些文件通常都保存在我们电脑的\"
C:\\Documents and Settings\\Administrator\\Local Settings\\Application Data\\ESET\\ESET NOD32
Antivirus\\Quarantine 备份病毒库也就是这里面的文件
一般有四种情况,文件会被NOD 32隔离:
1:确认是病毒,但是无法将其删除,所以隔离。
2:系统文件或其它正常文件被病毒感染,若强行删除可能会引发不可预知的后果,所以NOD 32将其隔离。
3:不能断定某个文件是否安全,但通过对其行为分析,若有不良企图嫌疑便将其隔离。
4:NOD 32检测出病毒威胁,但是文件的扩展名不符。举两个例子:
第一个例子:“X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*3” 将引号内的内容保存为文本文件,NOD 32立该报告该文件是Eicar 测试文件,并隔离。
第二个例子:从网上找到autorun.inf的病毒找码粘贴到一个文本文档中保存,nod 32立刻报告该文件是特洛依木马,并隔离。
被NOD 32隔离的文件,不敢说肯定就是病毒,但决大多数是,反正我只相信NOD 32,用这长时间了,还没发现它误报过。
如果是误报,隔离区的文件你随时可以恢复出来,但是直到卸装你也不恢复,那么我认为不仅是NOD32,任何杀软在被卸载时都应该本着为用户负责任的态度,一并把隔离区的文件删除,以免给用户留下隐患。既然文件被放置在隔离区,那么说明用户没用能力确认这些文件是否安全,那么杀软就应该责无旁贷地担起这个重任,把病毒威胁随杀软一起带到“远方”,为最后一次服务尽善尽美,画上一个圆满的句号。
了解这些..你就不会慌了..eset报警删除的文件都还在电脑内...并不向部分人认为的..删除以后..就没了....
所以我们就有办法能轻松的恢复那些误报的软件...
切忌:恢复之前,一定要对报警文件上报分析或者在线查毒..确信的确是无毒文件以后在进行恢复工作...这一步至关重要
eset报警时通常的几种表现方式为:仅以图示.内容无关.
右下角弹窗:
http://www.killdu.cn/uploads/allimg/090727/12224V115-1.jpg
扫描时报警
http://www.killdu.cn/uploads/allimg/090727/12224U361-3.jpg
执行界面上显示:
http://www.killdu.cn/uploads/allimg/090727/12224R002-5.jpg
执行操作后..隔离区内就会有这样的显示
http://www.killdu.cn/uploads/allimg/090727/12224R0I-7.jpg
这个是点开在新窗口显示的图...原图就是图一那样子
以上这几种都是最常见的几种形式
第一种是xxx文件是XXX木马...
第二种是xxx可能是xxx木马的变种....这类可能是便是由eset独有的高启发方式所报毒..
第三种是xxx潜在不安全应用程序
三:下面我们就来说下恢复方法
1:eset对由启发扫描出来的可能是xxx木马变种的这一类及及潜在不安全变种程序,我们可以直接在
主界面上操作..双击你要恢复的文件...但这一种方式只是暂时恢复..当你下次在运行时..他仍然还会
报警隔离..原因是他只是仅仅的恢复文件.并没有排除文件..这也是为什么有的人说.恢复都不管用的结果
2:所以正确的是在要恢复的文件右键.....选择恢复和排除扫描...这是麦大汉化版的提示
http://www.killdu.cn/uploads/allimg/090727/12224W328-9.jpg
中文正式版提示为:恢复不扫描
这样操作以后..在隔离区里就看不到了..文件已恢复到原来的位置..并且自动加入到排除中去了:如图
http://www.killdu.cn/uploads/allimg/090727/12224S953-11.jpg
3:但是如果出现上面的第一种情况..就是直接报警xxx文件是xxx木马时...这样的方法就没用了..
因为这类文件eset是不允许恢复的.右键点击时恢复和不扫描选项是灰色的.所以不管是不是误报....
如永恒心锁的绿色大蜘蛛5.0,
http://www.killdu.cn/uploads/allimg/090727/12224RF1-13.jpg
恢复和不扫描灰色.无法选择.双击之后.运行时又再次报警隔离
http://www.killdu.cn/uploads/allimg/090727/12224T456-15.jpg
恢复提示还没完..没等运行又隔离了.可见防护能力之强,,,有些朋友就是在这卡壳了
http://www.killdu.cn/uploads/allimg/090727/12224VS9-17.jpg
这时应将隔离文件完整路径添加到高级设置---排除---添加...如上图
这样.加入到排除以后..无论以后怎么扫描也都不会报警了..程序都能正常运行..如图
http://www.killdu.cn/uploads/allimg/090727/12224S392-19.jpg
http://www.killdu.cn/uploads/allimg/090727/12224W3G-21.jpg
http://www.killdu.cn/uploads/allimg/090727/12224R014-23.jpg
最后在重申一次:
1:就是大多数杀毒软件都会对绿色汉化和破解软件报毒.eset也不例外.所以下载这类文件一定要到正规网站
这是保证安全的最基本条件之一.
2:另外还有些负责的作者还会在下载的压缩包会提供相应的md5..就是为了防备些小人改动文件或者中马
请仔细核对.不要忽视
3:人无完人.金无足赤.任何杀软都有漏报误报.eset也一样.不要出现问题之后就口水这那的
4:最重要的一点.还是那句话..恢复起来简单..但恢复之前的分析上报一定要做足功夫.不要怕麻烦图一时之快..给自己带来无穷的麻烦
页:
[1]