В ответ на пометку этого вопроса как дубликата я добавил в конце раздел, объясняющий, почему это не общий вопрос удаления вредоносных программ.

Сегодня у меня появилось всплывающее окно с сообщением, что я выйду из системы через 1 минуту. Конечно же, это случилось.

Я обновил определения вредоносных программ MSE, Malwarebytes Free и Spybot S & D free, а затем провел полное сканирование по порядку. Последние два ничего не придумали, но MSE сообщил о Nemucod и привел c:\ProgramData\Microsoft\Search\Data\Applications\Windows\tmp.edb. Я сделал выбор GUI, чтобы удалить это, и мне предложили перезагрузиться. При повторном входе в систему MSE отображает сообщение о том, что оно очищает вредоносное ПО и ничего не нужно делать. Через несколько минут MSE снова отображает предупреждение, и подробности снова относятся к Nemucod. Итак, я снова выполняю процедуру удаления, но это похоже на "бесконечный" цикл (под которым я и имею в виду итерации). Отметка времени tmp.edb всегда выглядит так же недавно, как и самая последняя перезагрузка.

Я использовал учетную запись администратора и попытался вручную удалить tmp.edb, но мне сказали, что ресурс занят. Я загрузился в безопасном режиме, но tmp.edb нигде не было видно. Только когда я снова загрузился в обычном режиме, tmp.edb воссоздается.

Просмотр веб-страниц показывает, что tmp.edb - это файл базы данных, используемый Windows, хотя я не уверен, что это тот же путь, что и выше.

Я боюсь, что вредоносное ПО действительно не исчезло, и что MSE снова выдаст предупреждение.

Что я должен делать? Я использую 64-битную Windows 7 Professional.

Почему это не общий вопрос удаления вредоносных программ

Один читатель пометил этот вопрос как дублирующий общий поток рекомендаций и восстановления, но если он принят как дубликат, то это означает, что общий оригинал исключает любые дальнейшие вопросы о вредоносном ПО. Специфика этого вопроса заключается в том, что он не обязательно спрашивает, как удалить вирус. Это даже не предполагает, что есть инфекция. Я описываю, как два других AV не отмечают проблему, которую делает MSE, и тот факт, что цитируемый файл является файлом Windows. Тот, который уходит, когда я загружаюсь в безопасном режиме. Некоторыми новыми деталями, которые делают это еще более трудным для оценки, является тот факт, что показатели присутствия Nemucod сильно различаются (например, здесь и здесь), что затрудняет проверку того, является ли это ложноположительным.

ОБНОВИТЬ

Чтобы увидеть, могут ли новые определения MSE теперь исключать этот триггер, я обновил определения в 2:00 2018-12-16 EST и провел полное сканирование. Триггер повторяется. Поскольку определения все еще были созданы на 2018-12-15 годы, это не должно быть сюрпризом. Поскольку tmp.edb - это файл поиска Windows, я отключил поиск Windows, как предложил Jatmin, и подтвердил отсутствие tmp.edb после перезагрузки. В качестве дополнительной меры я скачал новые определения MSE, созданные в 2018-12-16 07:44 EST, и сделал полное сканирование, которое оказалось чистым. Однако я считаю, что Windows Search полезен, поэтому я снова включил его, что вызвало аварийные сигналы MSE после перезагрузки (и снова появился файл tmp.edb). Я надеялся, что новые определения, созданные 12:47 EST, не вызовут тревогу, но они все же сделали. В положительном плане я обновил определения MalwareBytes Free и включил обнаружение руткитов - сканирование прошло без ошибок.

ОБНОВИТЬ

Я не могу поверить, что эта проблема сохраняется с определениями вирусов от 2018-12-25. Почему никто не сталкивается с этим?

Я разместил это на форуме Microsoft и сообщил об этом в Microsoft.

2 ответа2

1

У вас есть несколько вариантов подтвердить или опровергнуть утверждение конкретного продукта безопасности о том, что файл заражен. Обратите внимание, что оба эти метода требуют предоставления файла третьему лицу *:

  1. Сканирование подозрительного файла с продуктами безопасности от нескольких других поставщиков. Поскольку большинство продуктов безопасности не следует устанавливать рядом на одном компьютере, я знаю, что для этого проще всего использовать сайт VirusTotal.com. Согласно их странице « Как это работает» :

    VirusTotal проверяет элементы с более чем 70 антивирусными сканерами и службами черного / черного списка URL-адресов, а также множеством инструментов для извлечения сигналов из исследуемого содержимого ....VirusTotal часто обновляет сигнатуры вредоносных программ, так как они распространяются антивирусными компаниями, что гарантирует, что наш сервис использует самые последние наборы сигнатур.

    Однако, если вы не хотите использовать этот (или аналогичный) сайт, вы можете удалить существующее антивирусное программное обеспечение и установить другое, хотя это кажется болезненным. Другой вариант - перенести файл на другой компьютер, но при этом существует опасность распространения угрозы, если она законна.

  2. Отправьте ложноположительный отчет поставщику антивируса. Процесс вендора для этого различен, и если вам действительно нужно получить от них ответ о том, является ли угроза реальной или нет, может потребоваться открыть запрос в службу технической поддержки, а не просто использовать процесс ложно-положительных отчетов. Вам будет предложено отправить им копию файла как часть этого.


* В комментариях вы поделились своим беспокойством по поводу передачи потенциально зараженного файла третьей стороне. Хотя это и понятно, вы должны понимать, что если вы не сможете самостоятельно проанализировать файл, у вас не будет другого выбора, кроме как привлекать третье лицо. И поскольку никто не может сказать вам, заражен ли файл, не проверив его, очевидный вывод состоит в том, что вам обязательно нужно будет поделиться файлом с тем, кого вы просите определить, заражен ли он или нет.

-3

Просто глупо предлагать здесь. Временно отключите поиск Windows и посмотрите, исчезнет ли tmp.edb после перезагрузки. Если это произойдет (должно быть), просто добавьте расширение .edb к исключениям MSE или, по крайней мере, ТО файл tmp.edb к исключениям. Кажется, что WinBlows обнаруживает себя как вирус .... что означает, что он, наконец, делает что-то правильно! (хихикает, в действительности я люблю winblows - он запускает игры намного лучше, чем мои Linux-боксы :-).

https://community.sophos.com/kb/en-us/118310

https://answers.microsoft.com/en-us/protect/forum/all/is-tmpedb-a-threat/f219d7aa-3368-4d51-b4df-53400e3cbb96

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .