博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 2354|回复: 1

详解eset恢复被隔离清除文件的方法

[复制链接]
发表于 2010-6-24 10:03:23 | 显示全部楼层 |阅读模式
本帖最后由 tianzhenbo 于 2010-6-24 10:10 编辑

在和用户的交流中,会发现nod32的一个隔离问题,nod32告知用户文件已经被隔离,具体隔离到哪儿了,对隔离的文件如何处理,对系统是否会造成影响,用户会有疑虑,这篇文章对这个问题进行了详细的阐述。
一:首先我们来了解一下eset的杀毒性能
1:实时保护 (查杀未知病毒)
  ESET NOD32采用了先进的启发式来发现新的威胁是体现其性能的主要元素,但ESET NOD32也同时包
括了基于病毒库的扫描来提高它对已知威胁的保护能力。这两种技术被结合在一个名叫 ThreatSense(TM) 的单一引擎
里,成为ESET NOD32的优势所在,大大地提高了它对已知及未知威胁(包括病毒,间碟软件,甚至恶意攻击)的
防范能力。
2:※ThreatSense(R) 引擎技术
  ThreatSense(R) 引擎是一个非常复杂和成熟的技术,它平衡了高级启发式技术和病毒库扫
描技术,以提供最好的防病毒效果,同时还不会拖慢电脑.
所以..eset不同于传统病毒库杀软有着体积小..查杀迅速..查杀未知病毒高的特点

二:报警隔离
eset报警后..通常都不会直接删除文件..而是将文件全部放入到隔离区内....在主界面点开工具就能看到

这些文件通常都保存在我们电脑的\"
C:\\Documents and Settings\\Administrator\\Local Settings\\Application Data\\ESET\\ESET NOD32
Antivirus\\Quarantine   备份病毒库也就是这里面的文件

一般有四种情况,文件会被NOD 32隔离:
1:确认是病毒,但是无法将其删除,所以隔离。
2:系统文件或其它正常文件被病毒感染,若强行删除可能会引发不可预知的后果,所以NOD 32将其隔离。
3:不能断定某个文件是否安全,但通过对其行为分析,若有不良企图嫌疑便将其隔离。
4:NOD 32检测出病毒威胁,但是文件的扩展名不符。举两个例子:
第一个例子:“X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*3” 将引号内的内容保存为文本文件,NOD 32立该报告该文件是Eicar 测试文件,并隔离。
第二个例子:从网上找到autorun.inf的病毒找码粘贴到一个文本文档中保存,nod 32立刻报告该文件是特洛依木马,并隔离。
被NOD 32隔离的文件,不敢说肯定就是病毒,但决大多数是,反正我只相信NOD 32,用这长时间了,还没发现它误报过。
如果是误报,隔离区的文件你随时可以恢复出来,但是直到卸装你也不恢复,那么我认为不仅是NOD32,任何杀软在被卸载时都应该本着为用户负责任的态度,一并把隔离区的文件删除,以免给用户留下隐患。既然文件被放置在隔离区,那么说明用户没用能力确认这些文件是否安全,那么杀软就应该责无旁贷地担起这个重任,把病毒威胁随杀软一起带到“远方”,为最后一次服务尽善尽美,画上一个圆满的句号。

了解这些..你就不会慌了..eset报警删除的文件都还在电脑内...并不向部分人认为的..删除以后..就没了....
所以我们就有办法能轻松的恢复那些误报的软件...
切忌:恢复之前,一定要对报警文件上报分析或者在线查毒..确信的确是无毒文件以后在进行恢复工作...这一步至关重要

eset报警时通常的几种表现方式为:仅以图示.内容无关.
右下角弹窗:




扫描时报警



执行界面上显示:



执行操作后..隔离区内就会有这样的显示



这个是点开在新窗口显示的图...原图就是图一那样子

以上这几种都是最常见的几种形式
第一种是xxx文件是XXX木马...
第二种是xxx可能是xxx木马的变种....这类可能是便是由eset独有的高启发方式所报毒..
第三种是xxx潜在不安全应用程序


三:下面我们就来说下恢复方法
1:eset对由启发扫描出来的可能是xxx木马变种的这一类及及潜在不安全变种程序,我们可以直接在
主界面上操作..双击你要恢复的文件...但这一种方式只是暂时恢复..当你下次在运行时..他仍然还会
报警隔离..原因是他只是仅仅的恢复文件.并没有排除文件..这也是为什么有的人说.恢复都不管用的结果
2:所以正确的是在要恢复的文件右键.....选择恢复和排除扫描...这是麦大汉化版的提示



中文正式版提示为:恢复不扫描

这样操作以后..在隔离区里就看不到了..文件已恢复到原来的位置..并且自动加入到排除中去了:如图




3:但是如果出现上面的第一种情况..就是直接报警xxx文件是xxx木马时...这样的方法就没用了..
因为这类文件eset是不允许恢复的.右键点击时恢复和不扫描选项是灰色的.所以不管是不是误报....
如永恒心锁的绿色大蜘蛛5.0,




恢复和不扫描灰色.无法选择.双击之后.运行时又再次报警隔离



恢复提示还没完..没等运行又隔离了.可见防护能力之强,,,有些朋友就是在这卡壳了



这时应将隔离文件完整路径添加到高级设置---排除---添加...如上图
这样.加入到排除以后..无论以后怎么扫描也都不会报警了..程序都能正常运行..如图







最后在重申一次:
1:就是大多数杀毒软件都会对绿色汉化和破解软件报毒.eset也不例外.所以下载这类文件一定要到正规网站
这是保证安全的最基本条件之一.
2:另外还有些负责的作者还会在下载的压缩包会提供相应的md5..就是为了防备些小人改动文件或者中马
请仔细核对.不要忽视
3:人无完人.金无足赤.任何杀软都有漏报误报.eset也一样.不要出现问题之后就口水这那的
4:最重要的一点.还是那句话..恢复起来简单..但恢复之前的分析上报一定要做足功夫.不要怕麻烦图一时之快..给自己带来无穷的麻烦
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-1 08:02 , Processed in 0.087665 second(s), 16 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表