本帖最后由 蝉鸣时 于 2011-7-11 15:09 编辑
写在前面
反病毒软件在保卫我们系统安全的同时,也有可能给我们带来一些麻烦,“误报”就是其中之一。
最近,有关ESET NOD32误报的帖子数量明显增多。缘于此,笔者就来谈谈面对ESET NOD32误报,我们应该如何应对。
本文主要介绍ESET NOD32误报的主要类型与相应的处理方案,希望对各位有所帮助。
ESET NOD32误报的主要类型与相应的处理方案
在ESET NOD32误报的类型中,以文件系统实时防护的误报与Web访问保护的误报为主。
关于文件系统实时防护的误报
文件系统实时防护(Real-time file system protection)是ESET NOD32防护体系中最为核心的部分。
上图显示的就是文件系统实时防护的报警提示。
假使图中的test.exe是安全程序,并非恶意程序,我们又该怎么办呢?
下面就来介绍处理文件系统实时防护误报的步骤。
步骤一 暂时禁用文件系统实时防护(右键单击ESET NOD32的托盘图标,在菜单中选择“禁用文件系统实时防护”,托盘图标将变为红色)。
步骤二 从隔离区中恢复文件(进入ESET NOD32的隔离区,右键单击想要恢复的文件,选择“恢复”)。
有些文件可以选择“恢复并且不再扫描”,那是因为这些文件是被ESET NOD32的启发式扫描(或高级启发式扫描)检测出来的(威胁名称中带有“可能是”字样,或为“未查明的New_Heur病毒”)。这些文件的特征(Signature)并不在病毒库中。这些文件在“恢复并且不再扫描”后,就不必再进行下文中的“排除”工作了。
步骤三 将文件加入“排除”列表(打开ESET NOD32的高级设置,将被误报的文件加入“排除”列表)。
步骤四 重新启用文件系统实时防护(不解释,乃懂的)。
大功告成。此时如果去扫描被加入“排除”列表的文件,ESET NOD32将“直接无视”(实时监控亦“无视”)。
关于Web访问保护的误报
Web访问保护(Web access protection)主要有两种机制:一种是扫描网络流量以检查其中是否含有恶意内容,另一种则是与内置网址名单进行匹配(两种机制是相互伴随的)。
显而易见,上面两张图分别是“流量扫描”与“网址匹配”的警报提示。
针对“流量扫描”的误报,仅需要禁用Web访问保护即可。(可能需要重新启动Web浏览器)
针对“网址匹配”的误报,则要将网址加入“不过滤的地址列表”,并勾选“列出活动地址”。
重新启动Web浏览器后,网站就可以访问了。
结语
面对误报,不要慌张,应该冷静对待,这样才有利于解决问题。
就写到这,谢谢各位。  | 
[复制链接]
发表于 2011-6-24 14:39:24
发表于 2011-6-25 18:43:37
确实遇问题要冷静
