为啥ESET NOD32 杀毒防不住这个病毒呢？

con16

Eset是查殺很厲害，不過中標後就未必好

碰過一直跳窗，怎樣都刪不掉。

yanjay

ESET NOD32看着挺霸气 用起来中毒也很正常 因为中毒重做系统的经历 一共只有两次 都是用的ESET NOD32，之后就再也没用过ESET NOD32 也没中过毒了

bbszy

关闭智能优化试试呢。

帮助文档的内容：

To ensure a minimal system footprint when using real-time protection, files that have already been scanned are not scanned repeatedly (unless they have been modified). Files are scanned again immediately after each update of the detection engine. This behavior is controlled using Smart optimization. If this Smart optimization is disabled, all files are scanned each time they are accessed.

likexcm

xxiang52 发表于 2024-11-4 15:23
我重做系统了，论坛有个跟我一样中这个病毒的贴子你参考https://bbs.kafan.cn/thread-2268470-1-1.html

这个样本还有存着，这个病毒我当时已感染机器使用的是ESET解决的
https://pan.huang1111.cn/s/P6ZyoCm

likexcm

裂空我爱杰 发表于 2024-11-4 16:04
好奇怪，我看下面eset解压就杀了。。。不该中啊

是的，非常的奇怪，当时我中这个病毒的时候是用ESET解决的，只不过当时ESET是直接删掉所有感染了的EXE而不是修复，后来有些需要用到的单独的EXE文件我整出来用火绒修复了一下。
之前有些国内杀毒软件无法清除的复合感染ESET反倒能够修复

感染型病毒在ESET中很多次都处理的很好，根据默认配置的逻辑，在文件创建修改打开的时候都会进行扫描，文件的MD5变化后也不会有扫描缓存，因此正常情况下这种也不会出现已知感染型病毒感染文件。


不清楚会不会是因为lz把感染了的文件/文件夹加了白或者是有病毒感染了白文件/文件夹
如果勾选了只在执行时扫描的话会不会也会导致这种情况？

ジ蓅暒划过づ

likexcm 发表于 2024-11-11 19:58
是的，非常的奇怪，当时我中这个病毒的时候是用ESET解决的，只不过当时ESET是直接删掉所有感染了的EXE而 ...

那这种就奇怪了，你中过一样的病毒用eset可以解决，楼主可能使用环境不一样

xxiang52

likexcm 发表于 2024-11-11 19:58
是的，非常的奇怪，当时我中这个病毒的时候是用ESET解决的，只不过当时ESET是直接删掉所有感染了的EXE而 ...

我现在严重怀疑是被我排除那个程序感染了我全盘exe，问题是就算我排除了感染源，但是在感染的全部exe的过程中ESET咋都没发现呢，还是在虚拟机访问宿主机共享文件的时候被拦截下来，这时候已经晚了。

xxiang52

ジ蓅暒划过づ 发表于 2024-11-11 22:00
那这种就奇怪了，你中过一样的病毒用eset可以解决，楼主可能使用环境不一样

eset是可以查杀的这种病毒的，就是我可能是失误排除的带毒的exe，然后被全盘感染，这个过程ESET没有监控到

ジ蓅暒划过づ

xxiang52 发表于 2024-11-12 00:26
eset是可以查杀的这种病毒的，就是我可能是失误排除的带毒的exe，然后被全盘感染，这个过程ESET没有监控 ...

其实我看的也有点乱，不过你这个贴子倒是让很多平时看不上ESET的人来庆祝了。。其实我平时不管用卡巴还是ESET都会下个360急救箱备用的，不怕一万只怕万一，，哈哈哈

bbszy

xxiang52 发表于 2024-11-12 00:24
我现在严重怀疑是被我排除那个程序感染了我全盘exe，问题是就算我排除了感染源，但是在感染的全部exe的过 ...

我用eicar代码做了一个测试。

前提1：把eicar代码手工复制粘贴、保存到txt文件或者使用批处理echo命令输出到txt文件，eset直接监控到并删除文件。

前提2：宿主机和虚拟机都开一个共享文件夹。

测试结果1：只要有eicar代码的这个文件在本地，eset都能检测到并删除。

测试结果2：一旦包含eicar代码的这个文件不在本地，而是在共享文件夹，无论手动还是批处理把eicar代码写进文件（无论什么后缀名），浏览到这个共享文件夹或者右键查看文件属性，eset都不检测（但是文件监控记录里能看到监控了这个文件）。

测试结果3：把共享文件夹里的eicar代码文件后缀名改成vbs，然后在本机的文件管理器双击，虽然看到eset的文件监控监控到了共享文件夹里的vbs以及本机的wscript.exe，但eset依然不检测。

测试结果4：把eicar代码文件后缀名改成exe或者com，在本机的文件管理器双击，eset才检测到并删除。

测试结果5：关闭eset的智能优化，不影响上述结果。

对比测试：卡巴、sep对于任何形式的共享文件夹里的eicar代码文件的访问都能够拦截。

个人认为，eset为了性能，内置了一套排除策略，即便监控到了文件改动依然对文件进行了跳过，且这个策略无法通过设置进行更改。