谈个人对NOD 32清除能力的认识！

曲中求

一直以来，认为NDO 32的清除能力不怎么好，因为之前在朋友机子里通过查看进程发现中了viking，用NOD 32上来本来想清除一下，但NOD 32居然报的是win32/pacex.gen，而不是报的viking，结果把整个感染的exe程序是全部删除了，而不是清除。所以当时就误以为pacex是viking的一个变种报法。

卡巴7用了一段时间了，测试阶段已经结束，所以用回NOD 32了，今天上午刚刚装上NOD 32，扫了一下，发现IE的临时文件夹卡巴漏了一个ANI（正常的说），而NOD 清除成功（注意，解除TCP的限制工具是删除，而ANI是清除），扫描日志如下：

已开启反隐藏功能.
已扫描的磁盘，文件夹及文件：C:; F:\Temporary Internet Files\
C:\Documents and Settings\Administrator\NTUSER.DAT - 开启 (文件被锁定)时发生错误. [4]
C:\Documents and Settings\Administrator\ntuser.dat.LOG - 开启 (文件被锁定)时发生错误. [4]
C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - 开启 (文件被锁定)时发生错误. [4]
C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG - 开启 (文件被锁定)时发生错误. [4]
C:\Documents and Settings\All Users\「开始」菜单\程序\辅助工具\修改系统TCPIP连接数限制.exe - Win32/Tool.EvID4226 应用程序 - 无法清除 - 已删除
C:\Documents and Settings\LocalService\NTUSER.DAT - 开启 (文件被锁定)时发生错误. [4]
C:\Documents and Settings\LocalService\ntuser.dat.LOG - 开启 (文件被锁定)时发生错误. [4]
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - 开启 (文件被锁定)时发生错误. [4]
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG - 开启 (文件被锁定)时发生错误. [4]
C:\Documents and Settings\NetworkService\NTUSER.DAT - 开启 (文件被锁定)时发生错误. [4]
C:\Documents and Settings\NetworkService\ntuser.dat.LOG - 开启 (文件被锁定)时发生错误. [4]
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - 开启 (文件被锁定)时发生错误. [4]
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG - 开启 (文件被锁定)时发生错误. [4]
C:\System Volume Information\MountPointManagerRemoteDatabase - 开启 (访问拒绝)时发生错误. [4]
C:\WINDOWS\system32\config\default - 开启 (文件被锁定)时发生错误. [4]
C:\WINDOWS\system32\config\default.LOG - 开启 (文件被锁定)时发生错误. [4]
C:\WINDOWS\system32\config\SAM - 开启 (文件被锁定)时发生错误. [4]
C:\WINDOWS\system32\config\SAM.LOG - 开启 (文件被锁定)时发生错误. [4]
C:\WINDOWS\system32\config\SECURITY - 开启 (文件被锁定)时发生错误. [4]
C:\WINDOWS\system32\config\SECURITY.LOG - 开启 (文件被锁定)时发生错误. [4]
C:\WINDOWS\system32\config\software - 开启 (文件被锁定)时发生错误. [4]
C:\WINDOWS\system32\config\software.LOG - 开启 (文件被锁定)时发生错误. [4]
C:\WINDOWS\system32\config\system - 开启 (文件被锁定)时发生错误. [4]
C:\WINDOWS\system32\config\system.LOG - 开启 (文件被锁定)时发生错误. [4]
F:\Temporary Internet Files\Content.IE5\8K883HCX\ad[1].jpg - Win32/TrojanDownloader.Ani.Gen 木马的变种
已扫描的文件数目：54308
已发现的病毒数目：2
已清除病毒的文件数目：2
完成时间： 09:51:38 总扫描时间：586 秒 (00:09:46)

而今天又在样本区去试了下（发现NOD 32最近表现还不错，^_^），发现连最为常见的onlinegames木马也是报pacex.gen，由此可以推断，NOD 32的这个命名个人怀疑为类似无法脱壳的报法，也就是说，感染这种启发报的病毒以后，NOD 32由于无法识别其恶意程序的具体性质（worm or trojan），故只能做删除处理，因为发现如果NOD 32是报viking或者是ANI的时候，清除能力还是可以，当然，也不是100%的，可以肯定的一点是，也很有可能会删除所有感染的exe程序，但是，我个人认为，由于viking的兴风作浪，NOD 32的清除能力在某种程度上我们对其有一定的误解，故谈谈个人的认识，不一定正确，因为目前系统补丁已打全，可能有些类似ANI或者是viking之类的东东无法发作，以后有时间或者是有机会找个陈旧的XP做个测试，这个就当作为序吧。

danger

学习了。。。。。

woai_jolin

我觉得现在nod对味精的清毒能力比较强

风野胤

原帖由 promised 于 2007-7-8 13:12 发表
凝逸。。。。。。。。。。。。。

不要怨念了 凝逸清毒能力是不错
但是我可不敢电脑上光装个凝逸

promised

凝逸是免安装的

欠妳緈諨

貌似现在大家最关心的是侦测率，清不了就删除吧

曲中求

呵呵，虽然清除实乃亡羊补牢，不过的确是非常有作用的。。。

The EQs

eset早期没有对onlinegame进行定义。。一直是用win32/paceX.Gen代替的。。。。现在已经定义了onlinegame

[ 本帖最后由 EQ2 于 2007-7-8 15:11 编辑 ]

风野胤

原帖由 promised 于 2007-7-8 13:18 发表
凝逸是免安装的

那什么时候可以用来玩玩的说

xffsfy

原帖由 风野胤 于 2007-7-8 13:18 发表

不要怨念了 凝逸清毒能力是不错
但是我可不敢电脑上光装个凝逸

他是怎么弄的啊？