Файл содержит вирус или потенциально нежелательную программу. Сообщение «обнаружены потенциально опасные программы» от защитника Windows. Что делать? Как их увидеть
При работе с какими-либо файлами пользователь может столкнуться с сообщением «Операция не была успешно завершена, так как файл содержит вирус или потенциально нежелательную программу», после чего запуск указанного файла оказывается заблокирован. Причиной блокировки является системный антивирус (обычно это «Защитник Windows»), ограничивший пользовательский доступ к подозрительному файлу. Ниже разберём суть данной дисфункции и методы её решения.
Корпорация Майкрософт уделяет повышенное внимание борьбе с вредоносными вирусными программами. Вследствие чего современная Виндовс 10 обзавелась встроенным антивирусом, известным под названием «Защитник Виндовс».
По умолчанию Защитник Виндовс активирован, и постоянно проверяет пользовательский софт на наличие потенциально опасных программ. При нахождении такой программы доступ к ней блокируется, а сама вредоносная программа может быть помещена в карантин. В таком случае пользователь получает уже упомянутое сообщение «Операция не была успешно завершена, так как файл содержит вирус или потенциально нежелательную программу» , а запуск указанного файла становится невозможен.
Под подобную блокировку может попасть как вирусный файл, так и вполне безопасный софт, используемый на протяжении многих лет. В последнем случае это доставляет ряд неудобств, так как мы не можем воспользоваться проверенным софтом, необходимым нам для различных задач.
Как исправить дисфункцию «Файл содержит вирус или нежелательную программу»
Наиболее простым и очевидным решением в данной ситуации является . Но спешить с подобным отключением я бы не советовал, особенно в ситуации, когда на вашем ПК отсутствует постоянно работающий антивирус. В этом случае вы рискуете сделать вашу систему уязвимой для вирусных программ, что приведёт к её потенциальному выходу из строя.
Проверьте запускаемый файл на вируса
Первым делом для исправления «Операция не была успешно завершена, так как файл содержит вирус» рекомендую проверить запускаемый файл на вирусы с целью убедиться, что Защитник Виндовс «ругается» на файл зря. Для этого можно использовать как альтернативные антивирусные программы уровня «ДокторВеб Кюрейт», так и загрузить файл на специализированный проверочный ресурс уровня virustotal.com для проверки.
Проверьте файл на virustotal
Добавьте проблемный файл в исключения антивируса
Если файл оказался чист, стоит добавить его в исключения «Защитника Виндовс» или установленного на вашем ПК антивируса. В случае Защитника рекомендуется нажать на «Пуск», выбрать там «Параметры», далее «Обновление и безопасность», потом «Защитник Виндовс», и затем «Открыть Центр безопасности защитника Виндовс».
Аналогичную опцию исключений можно найти и в настройках других антивирусов.
Временно отключите ваш антивирус
Довольно эффективным способом решения проблемы «Операция не была успешно завершена» является временная деактивация антивируса. В случае Защитника Виндовс это делается следующим образом:
- В панели задач нажмите на кнопку поиска (с лупой), в строке запроса пишем «защита», кликаем вверху на найденную опцию «Защита от вирусов и угроз»;
- В открывшемся окне находим «Параметры защиты от вирусов и других угроз» и также кликаем на неё.
- В очередном открывшемся окне находим опцию «Защита в режиме реального времени» и деактивируем её.
Какое-то время Защитник будет деактивирован, но позже может опять включится самостоятельно (под действием очередного обновления системы). Чтобы он не включался, мы можем отключить его с помощью системного реестра.
Выполните следующее:
- Нажмите на Win+R, введите там regedit и нажмите на ввод;
- Перейдите по пути
- Наведите курсор на пустую панель справа, щёлкните правой клавишей мышки, и выберите «Создать» — «Параметр DWORD 32 бита», дайте ему имя «DisableAntiSpyware» и нажмите ввод;
Обновите проблемный софт
Если антивирусное ПО продолжает сигнализировать о неблагонадёжности вашего софта, попробуйте скачать и установить его самую свежую версию. В некоторых случаях это позволяет избавиться от ошибки «Операция не была успешно завершена» на вашем ПК.
Восстановите работоспособность Эксплорера
В ряде случаев проблемы с файлом explorer.exe могут вызывать рассматриваемую в статье дисфункцию. Запустите командную строку от админа, и в ней последовательно наберите, не забывая нажимать на ввод после каждой команды:
sfc /SCANFILE=c:windowsexplorer.exe
sfc /SCANFILE=C:WindowsSysWow64explorer.exe
Выполнение данных команд может устранить ошибку «файл содержит вирус» на вашем компьютере.
Заключение
Появление сообщения «Операция не может быть завершена, так как в файле содержится вирус или потенциально нежелательная программа» сигнализирует о нахождении антивирусом (обычно это «Защитник Виндовс») потенциально небезопасного файла. Оптимальным решением в данном случае является занесение проблемного файла в исключения антивируса при условии, что пользователь уверен в чистоте данного файла. Отключать антивирус полностью не рекомендуется – это может стать причиной проникновения на пользовательских ПК потенциально опасных программ.
Вконтакте
Большинство пользователей знают, что.exe файлы могут быть потенциально опасными, но это не единственное расширение, которого следует остерегаться в Windows. Существует и целый ряд других расширений, которые могут нанести вред вашей системе или файлам.
Зачем мне знать, какие типы файлов могут быть опасными?
Знание расширений файлов, которые могут быть потенциально опасными, поможет вам понять, насколько безопасен файл, присланный как вложение в e-mail письме или загруженный с интернета. Даже файлы скринсейверов могут представлять угрозу в Windows.
Когда вы сталкиваетесь с подобными расширениями, будьте бдительны и соблюдайте осторожность. Просканируйте эти файлы вашим антивирусом, а еще лучше загрузите их на специальный сервис типа VirusTotal для проверки, чтобы убедиться в безопасности файла.
Рекомендую всегда ставить антивирус, регулярно обновляющий свои базы и работающий в фоновом режиме. Но знание нижеописанной информации поможет вам еще больше снизить риски возможного заражения какой-либо малтварью или вирусом.
Почему эти расширения потенциально опасны?
Расширения отнесены к потенциально опасным, так как они могут содержать код либо исполнять произвольные команды. Формат.exe может представлять опасность, поскольку это программа, которая может делать все что угодно. Различные медиафайлы (картинки.JPG, .PNG, музыка.MP3) не опасны, так как не могут содержать код. Встречаются случаи специальным образом сформированного медиафайла, которые могут эксплуатировать уязвимость в приложении, через которое они обычно открываются, но это редкие случаи и быстро закрываются разработчиками.
С учетом вышеизложенного вы понимаете, как важно знать, какие типы файлов могут содержать код, скрипты и прочее потенциально опасное содержимое.
Программы
.exe — исполняемый файл программы. Большинство всех программ на Windows имеют такое расширение.
.pif — файл с информацией о DOS программах, параметрах их запуска и прочих настройках. Во времена DOS’а и ранних версий Windows был популярным и распростаненным файловым форматом. Такой файл может быть выполнен как.exe, если содержит исполняемый код.
.application — xml инсталлятор приложения по технологии Microsoft ClickOnce (используются фреймворки Windows Forms или Windows Presentation Foundation)
.gadget — файл гаджета, небольшого приложения, работающего в боковой панели Windows (использовались в Vista и Windows 7).
.msi — программа с этим расширением создана для установки приложений с помощью технологии Microsoft Windows Installer.
.msp — файл патча, предназначенный для какой-либо программы или обновления от Microsoft.
.com — это исполняемый файл во времена MS-DOS. Часто использовались в качестве досовских утилит и драйверов. Они также могут быть выполнены в Windows в режиме эмуляции MS-DOS. Если вам прислали e-mail с вложенным файлом.com, то это 100% злоумышленник. Удаляйте такое письмо.
.scr — исполняемый файл программы-заставки в Windows или скринсейвера. Злоумышленники нередко маскируют различные троянцы и вирусы под этим расширением. Увидев такое расширение будьте вдвойне бдительны и проверьте файл антивирусом или на VirusTotal.
.hta — исполняемый файл, содержащий html-код, возможно, сценарии на vbscript или jscript. Это не html страничка, которая открывается браузером, а специальное приложение, оно открывается системной утилитой mshta.exe (Microsoft HTML Application Host).
.cpl — апплет Панели управления. Все значки в Панели управления вашей Windows являются файлами с расширением.cpl
.msc — файл-элемент Microsoft management console, MMC (Консоль управления Microsoft). Например, Редактор групповой политики или Управление дисками представляют собой файлы.msc.
.jar — Если у вас установлена Java, то данное расширение позволяет запускать программы на языке программирования Java. И не все из таких программ полезные.
Скрипты
.bat – командный файл. Содержит список команд, которые будут выполнены в заданном порядке при запуске. Впервые начали применяться еще в MS-DOS. И до сих пор применяются.
.cmd – тоже командный файл. Похож на .bat , но появился чуть позже (в Windows NT).
.vb , .vbs – скрипт на языке сценариев VBScript. При запуске будет исполнен код VBScript внутри файла. По сути простой текстовой файл, который можно открыть Блокнотом и проверить, какой именно код будет исполнен.
.vbe – зашифрованный скрипт VBScript. Похож на.vbs или.vb, но сложно сказать, что произойдет при запске такого файла, какие инструкции в нем зашиты.
.js – скрипт на языке JavaScript. Обычно широко используются на веб-сайтах в интернете.
.jse – зашифрованный JavaScript файл.
.ws , .wsf – файл сценария Windows (Windows Script file).
.wsc, .wsh – файлы Windows Script Component и Windows Script Host.
.ps1 (а также .ps1xml, .ps2, .ps2xml, .psc1, .psc2) – расширения файлов, содержащих инструкции для Windows PowerShell.
.msh (а также.msh1, .msh2, .mshxml, .msh1xml, .msh2xml) – файл-скрипт Monad, который позже был переименован в PowerShell, упомянутый чуть выше.
Ярлыки
.scf – командный файл проводника Windows. Может передать потенциально опасные команды Проводнику на исполнение.
.inf – текстовый файл для автозапуска содержимого диска. Ранее часто использовался вирусописателями для автоматического запуска всяких вирусов, троянцев с CD диска или флешки. С флешками это происходило особенно часто.
Разное
.reg – файл Редактора реестра Windows. Он содержит список ветвей и разделов реестра, который будут добавлены или удалены при запуске.reg файла. Вредоносные reg-файлы могут удалить важную информацию из реестра, заменить ее на неверную или добавить вредоносные данные. Содержимое.reg файла можно посмотреть в Блокноте.
Макросы
.doc, .xls и.ppt – файлы документов Word, Excel и PowerPoint. Могут содержать макровирусы, написанные на VBA (Visual Basic for Applications).
.docm, .dotm, .xlsm, .xltm, .xlam, .pptm, .potm, .ppam, .ppsm – новые расширения документов, впервые представленных в 2007 офисе. Буква M в конце расширения файла указывает на то, что документ содержит макросы. Например, файл .docx не содержит макросов, в то время как .docm — содержит их.
Это не исчерпывающий список. Есть и другие типы файлов, типа.PDF, который имеет ряд проблем с безопасностью. Тем не менее, большинство вышеуказанных типов файлов были созданы для того, чтобы запускать код или исполнять команды в ОС. Ведь это всего лишь инструмент, а кто и как им воспользуется и для каких целей — вопрос, который каждый автор приложения решает сам.
А что вы можете добавить к этому списку?
Один из явных признаков, помогающих отличить опытного пользователя от начинающего, это их отношение к расширениям файлов. Первые с одного взгляда могут сказать, какой файл является картинкой, какой программой, а какой вообще лучше не открывать без предварительной проверки антивирусом. Вторые обычно просто не понимают о чем идет речь и как эти самые расширения файлов выглядят. Именно для них в этой статье мы хотим осветить тот необходимый минимум, который понадобится им для безопасной работы на компьютере под управлением Windows.
Что такое расширения?
Как говорит нам Wikipedia, и у нас нет совершенно никаких оснований спорить с ней в этом вопросе, расширение файла — это последовательность символов, добавляемых к имени файла и предназначенных для идентификации типа (формата) файла. Это один из распространённых способов, с помощью которых пользователь или программное обеспечение компьютера может определить тип данных, хранящихся в файле.
Как их увидеть?
По умолчанию отображение файлов в Windows отключено. Мне не совсем понятна логика разработчиков, кроме как оградить неокрепшие умы пользователей от лишних (с их точки зрения) знаний. Взамен получаем широчайшую дыру в безопасности и юзеров, которые ориентируются только на названия файлов и кликают на все подряд.
Для того, чтобы включить отображение расширений файлов, откройте Панель управления , найдите там иконку Параметры папок . В появившемся окошке на вкладке Вид снимите галку с опции Скрывать расширения для зарегистрированных типов файлов .
Не получается? Попросите своего продвинутого компьютерного товарища.
Каких расширений файлов следует опасаться?
Теоретически, исправная антивирусная программа со свежими базами может в значительной мере обезопасить вашу работу. Но любой, даже самый совершенный антивирус может ошибиться или не успеть внести заразу в свои фильтры. Поэтому дополнительным фактором защиты лучше включать свою голову вооруженную необходимыми знаниями.
Если вы получили файл из подозрительного источника, например по почте от незнакомого человека, то необходимо обратить внимание на его расширение и, если оно входит в предложенный нами список, то лучше его не открывать, а отослать на проверку в VirusTotal .
Программы
- .EXE — исполнимый программный файл. Большинство программ в Windows имеют именно такое расширение.
- .PIF — это специальный файл, содержащий информацию для DOS-программ. Несмотря на то, что не содержат исполнимого кода, могут быть потенциально опасны.
- .APPLICATION
— установщик приложения, использующий технологию ClickOnce от Microsoft.
- .GADGET — гаджет для отображения на рабочем столе в Windows Vista и 7.
- .MSI — запускает процесс установки программы на вашем компьютере.
- .MSP
— установка обновлений для уже установленных программ.
- .COM
— программы для MS-DOS.
- .SCR — файл скринсейвера.
- .HTA
— веб-приложение. В отличие от html приложений исполняемых в вашем браузере, могут быть опасны.
- .CPL — файл Панели управления. Все элементы в панели управления имеют это расширение.
- .MSC
— файл консоли управления Microsoft. Такие приложения, как редактор групповых политик и инструмент управления дисками имеют расширение.MSC.
- .JAR — исполнимый код для среды Java.
Скрипты
- .BAT
— пакетный файл, содержащий последовательность команд для вашего компьютера. Изначально использовался в MS-DOS.
- .CMD — пакетный файл наподобие.BAT, но это расширение файла было введено в Windows NT
- .VB , .VBS, .VBE — файл VBScript. Будет при запуске выполнять свой VBScript код.
- .JS, .JSE — файл JavaScript. При использовании на веб-страницах является относительно безопасными, если работать в веб-браузере. Тем не менее, Windows может открывать эти файлы вне браузера и это несет угрозу.
- .WS , .WSF, .WSC , .WSH — файлы Windows Script.
- .PS1
, .PS1XML
, .PS2
, .PS2XML
, .PSC1
, .PSC2
— командный сценарий для Windows PowerShell.
- .MSH
, .MSH1
, .MSH2
, .MSHXML
, .MSH1XML
, .MSH2XML
— командный сценарий для Monad. Monad позже был переименован в PowerShell.
Ярлыки
- .SCF
— командный файл Windows Explorer. Может содержать потенциально опасные команды.
- .LNK
— ссылка для запуска программы. Может содержать атрибуты командной строки, которые делают опасные вещи, такие как удаление файлов без спроса.
- .INF
— текстовый файл, используемый для автоматического запуска с подключаемых носителей. Часто используется для заражения с флешек или дисков.
Остальные
- .REG
— файл реестра Windows. Эти файлы содержат список записей реестра, которые будут добавлены или удалены, если вы запустите их. Опасность заключается в том, что вы можете удалить важные сведения из реестра, внести в него нежелательные или вредоносные данные.
Офисные макросы
- .DOC
, .XLS
, .PPT
— документы Microsoft Word, Excel, PowerPoint. Они могут содержать вредоносный программный код макроса.
- .DOCM
, .DOTM
, .XLSM
, .XLTM
, .XLAM
, .PPTM
, .POTM
, .PPAM
, .PPSM
, .SLDM
— новые расширения офисных файлов, введенные в Office 2007. «M» в конце расширение указывает, что документ содержит макросы. Например, .DOCX
файл не содержит макросов, в то время как файл .DOCM
может содержать макросы.
И это все мне надо запомнить?
Перевод: Александр Рябов
В наши дни интернет наводнен вредоносными программами. Вы никогда не можете быть уверены, что загруженный вами файл не окажется каким-нибудь вредоносным, притворяющимся безвредным. Фактически многие из вредоносных файлов разработаны, чтобы делать именно это. Эта статья объяснит, как отличить опасный файл от безопасного.
Несмотря на то, что это может показаться грандиозной задачей, я обещаю, что это будет не так уж трудно. Сегодня есть много как очень сложных, так и простых онлайновых служб, которые позволяют проверить файл на безопасность. Если вы полагаете, что файл, вероятно, безопасен, то убедитесь, что вы прочли , прежде чем продолжать. Это может сэкономить вам много времени.
1. Проверьте, не находится ли файл в белом списке Comodo
Если вы уже считаете, что рассматриваемый файл, вероятнее всего, безопасен, то следование дальнейшим шагам, описанным в этой статье, может не понадобиться. Сначала закачайте файл на . Это бесплатная услуга, предоставляемая компанией Comodo, которая позволяет пользователям загружать файлы, объемом до 20 МБ, которые будут проанализированы почти сразу же. После закачки файла посмотрите в левый верхний угол. Там есть надпись "SHA1". Скопируйте всю строку букв и чисел, которая следует за ней. Теперь перейдите на страницу .
Мы воспользуемся этой службой, чтобы выяснить, не был ли файл уже проверен ранее на безопасность и не находится ли он в огромном списке безопасных файлов Комодо. На этом сайте переключите поисковую панель с режима "Search by Filename" на "Search by SHA1". После этого вставьте из буфера обмена SHA1 и нажмите "Search Now". Посмотрите информацию, которая появилась. Если ответ был "The file is safe" ("Файл надёжен"), то сразу смотрите результаты Comodo Valkyrie. Если окончательный результат (Final Result) от Comodo Valkyrie сообщает, что файл безопасен или неизвестен, тогда вы можете доверять этому файлу. Вам не нужно переходить к остальной части шагов. Однако, если Comodo Valkyrie сообщает, что файл вредоносный, тогда вы, возможно, захотите перейти ко , чтобы убедиться, что файл действительно безопасен. Он почти наверняка безвреден, но проверка с помощью еще нескольких методов не займет много времени.
2. Проверьте файл с помощью Comodo Valkyrie
Comodo Valkyrie - это бесплатная веб-служба Comodo, которая позволяет пользователям загружать файлы до 20 МБ для быстрого анализа. Эта служба может быть найдена на . Просто перейдите к сайту и найдите файл, который хотите оценить. Теперь закачайте туда этот файл. Загруженные файлы проверяются с помощью проверок многих типов, включая статический метод обнаружения, поведенческий анализ, независимо от того, обнаружены они антивирусом Comodo или с помощью продвинутой эвристики.
Используя эти проверки, служба может дать прогноз относительно того, является файл нормальным (“Normal”), неизвестным (“Unknown”) или вредоносным (“Malicious”). Оценка “Normal” означает, что файл безопасен. “Malicious” означает, что он опасен. Если служба посчитала, что файл неизвестен (“Unknown”), это значит, что "она не уверена".
2.1 Используйте Валькирию, чтобы узнать наверняка, безопасен ли файл
Кроме того, некоторые файлы, возможно, уже были вручную проанализированы сотрудниками Comodo. Если они были проанализированы сотрудниками, то у них будет статус нормальных, неизвестных или вредоносных. Если там дали оценку "Unknown" или "Malicious", то я советовал бы избавиться от этого файла. Я не стал бы ему доверять.
Кстати, наличие их анализа файла вручную - это единственная возможность быть абсолютно уверенным, что файл безопасен. Таким образом, если вы хотите быть уверены в надежности файла, который еще не был проанализирован, вы можете сами отправить файл персоналу Comodo на анализ. Чтобы сделать это, сперва убедитесь, что у вас есть учетная запись в Comodo Valkyrie и что вы вошли. Если у вас еще нет учетной записи, то ее очень легко получить. Просто перейдите по ссылке «Sign Up», введите новое имя пользователя, предоставьте подлинный адрес электронной почты и создайте пароль. Я очень советую вам создать учетную запись. После того, как вы войдете, вы увидите, что в верхней части страницы показаны фото сотрудников-аналитиков, которым можно поручить анализ файла. Вы можете выбрать любого из них. Не имеет значения, кого вы выберете.
После передачи файла сотруднику там вручную проанализируют его и дадут вам результат. Возможные варианты оценок уже объяснены выше. Этот анализ обычно занимает меньше 24 часов. Если вы решили получить результаты "анализа вручную", то вы не должны волноваться ни о каких других методах, обсуждавшихся еще в этой статье. Просто отправьте файл и ожидайте результатов. Однако, если вы хотите узнать больше о файле и не хотите ждать результатов ручной работы, то остальная часть этой статьи должна быть очень полезной для вас.
2.2 Интерпретируйте результаты автоматического анализа самостоятельно
Если вы решили не ждать анализа, тогда вы можете также использовать эту службу, чтобы сразу же получить больше информации о файле. После того, как файл проанализирован, наиболее важным моментом, заслуживающим вашего внимания, будут пункты "Auto Result" ("Автоматический результат") и "Final Result" ("Окончательный результат"). Оба результата даны вверху страницы. "Auto Result" даст вам полный итог статического сканирования. "Final Result" комбинирует результаты всех типов сканирования, предоставляя общий прогноз по поводу безопасности файла. Веб-службы более подробно рассмотрены ниже. Если обе из них дают оценку "нормально", тогда файл, вероятнее всего, безопасен. Однако, перед тем, как посмотреть общие результаты, проверьте вкладки "Dynamic Detection" и "Advanced Heuristics", чтобы убедиться, что они закончили анализировать. Это займет больше времени, чем статический метод обнаружения. Однако, чтобы получить еще большее понимание, действительно ли безвреден файл, вам также захочется более тщательно рассмотреть результаты для каждой вкладки.
Обратите внимание, что для некоторых файлов вместо результата будет выведено "No PE File". Это означает, что файл не содержит достаточной информации для Valkyrie, чтобы его можно было запустить. Более подробную информацию можно найти на . Таким образом, если вы получаете этот результат, я рекомендую вам перейти к следующему разделу и продолжить анализировать файл, используя альтернативные методы, обсуждаемые в этой статье.
После того, как файл проанализирован, вам будут показаны три информационные вкладки. Первая называется “Static Detection” (Статический метод обнаружения). Вкладка показывает оценку 17-ти различных детекторов AI, которые проверяли файл. Отдельные оценки этих детекторов не важны. Comodo использует очень сложный алгоритм, чтобы вынести итоговую оценку на основе работы каждого из этих детекторов. То, что важно, это общий результат, показанный внизу экрана. Будет показана автоматическая оценка под надписью “Static Verdict Combination” (“Суммарная оценка статического сканирования”). Также под надписью “Probability of Static Verdict” (“Вероятность статической оценки”) будет показана степень вероятности.
На вкладке "Dynamic Detection" есть результаты как от Comodo Antivirus (CAV), так и от Comodo Instant Malware Analysis - модуля, также известного как CAMAS. Секция для Comodo Antivirus сообщит вам, если в текущий момент что-то обнаружено антивирусом Comodo, и, если это имеет место, какого типа вредоносное ПО он обнаружил. CAMAS, также известный как CIMA, является поведенческим анализатором. Чтобы узнать больше о том, как понимать результаты, смотрите данной статьи. В результатах Валькирии опция "Report URL" соединит вас с результатами CIMA. Это полезно, поскольку вы можете понять, что, во всяком случае, было установлено что-то подозрительное в поведении файлов. Однако знайте, что есть такая ошибка, что, если вы выбираете "Report URL", тогда как в поведении ничего не обнаружено, вы вместо этого переместитесь на страницу "Static Detection".
Еще одна вкладка, которую мы рассмотрим, называется “Advanced Heuristics” (“Продвинутая эвристика”). Здесь при исследовании файла используются более чувствительные алгоритмы. Здесь больше вероятности, что они поймают вредоносное ПО, но также здесь более вероятна неправильная идентификация файла в качестве "Неизвестного" (“Unknown”) или "Вредоносного" (“Malicious”). Пожалуйста, имейте это в виду, когда интерпретируете эти результаты.
3. Проверьте файл с помощью VirusTotal
Еще вы можете проверить файл в разных антивирусах. Одна из лучших веб-служб для этого - . Ее можно найти на этой странице . Эта служба просканирует любой файл, который вы закачаете, с помощью более чем 40 различных антивирусных продуктов и покажет результаты отдельно по каждому из них. Вы можете закачать файлы размером до 64 МБ, и весь процесс займет около минуты.
Безусловно самая трудная часть использования VirusTotal - интерпретация результатов. Иногда по результатам бывает трудно сказать, какова вероятность, что файл окажется опасным. В основном тогда, когда значительное количество сканеров показывает предупреждение о его вероятной опасности. Однако, даже если лишь немногие это обнаруживают, это не обязательно означает, что он безопасен. Ниже приведены примеры результатов для двух файлов, которые являются действительно вредоносными.
Использование VirusTotal имеет несколько недостатков. Один из них - то, что вредоносное ПО конечно может оказаться столь новым, что ни один антивирус не распознает его. Я лично видел такое много раз. Поэтому, даже если VirusTotal показывает, что ни один из антивирусов не обнаруживает опасности, это не означает, что файл не опасен. Связанная с этим проблема состоит в том, что вредоносное ПО создается так быстро, что антивирусные компании вынуждены использовать эвристическое обнаружение и универсальные сигнатуры в стремлении не отставать от него. Проблема с этим подходом состоит в том, что при этих методах обнаружения безвредный файл может быть неверно идентифицирован как вредоносный. Это известно как ложное срабатывание (false positive). Эти типы ошибок действительно происходят и с возрастающей частотой.
Таким образом, если только некоторые антивирусы определяют угрозу с помощью эвристики, а другие не определяют, то это может быть ложным срабатыванием. Однако, это не гарантирует, что так и есть. Именно поэтому вы должны всегда проверять файл, используя все три метода, рассмотренные в этой статье. Ниже приведены результаты в качестве примера полноценных файлов, которые VirusTotal неверно идентифицирует как опасные.
Я хочу внести ясность, что, даже если только один антивирус определил файл как вредоносный, или даже ни один из них не определил, то файл все же может быть опасным. VirusTotal нельзя использовать с тем, чтобы гарантировать, что файл безопасен. Однако, если очень большое количество антивирусов определяют, что файл вредоносный, то вероятно так и есть. В этом и есть истинная сила VirusTotal.
4. Проверьте файл на вредоносное поведение
В дополнение к вышеупомянутым методам вы можете также пожелать проверить файл на вредоносное поведение. Есть много замечательных веб-служб, которые помогут сделать это, но я выбрал две из них, которые я особенно рекомендую. Помните, что хорошие файлы в них могут быть отмечены как подозрительные и что вредоносное ПО также может оказаться нераспознанным. Фактически, некоторые вредоносные программы даже могут заявить, что они запущены в виртуальной среде, и, таким образом, откажутся работать. По этой причине, опять же, для проверки файла лучше всего использовать все три метода, рассмотренные в этой статье.
4.1 Используйте Comodo Instant Malware Analysis
Веб-служба Comodo Instant Malware Analysis (CIMA) (Быстрая проверка на вредоносность от Comodo) может быть найдена на . Думаю, отчет проверки этой службы будет понятен всем пользователям. Вы можете загружать туда файлы любого размера, и, после того, как загрузка будет завершена, сразу начнется проверка файла. Продолжительность в основном зависит от размера файла и сложности его поведения, однако в большинстве случаев это довольно быстро. Я настоятельно рекомендую использовать эту службу, поскольку она очень эффективна при распознавании подозрительного поведения. Как только анализ завершен, результаты будут даны в конце отчета.
Оценкой может быть “Suspicious” ("Подозрительный"), “Suspicious+” или “Suspicious++”. Если выдана любая из них, это означает, что возможно вредоносное поведение было обнаружено. Также непосредственно под оценкой будут указаны причины, по которым файл был помечен как таковой. Оценка “Suspicious++” означает наиболее подозрительное поведение.
Если вместо этого в результатах автоматического анализа (“Auto Analysis Verdict”) вы получаете оценку “Undetected” (Не обнаружено), значит подозрительных действий замечено не было. Это не гарантирует, что нет опасности, но говорит о большей вероятности этого. Таким образом, если на вышеупомянутых шагах не было обнаружено вредоносного поведения, и того же ни разу не сделал CIMA, то вы можете быть относительно уверены, что файл безопасен.
4.2 Используйте Anubis
Наиболее опытные пользователи могут также пожелать использовать Anubis. Эту веб-службу можно найти вот на . Это еще одна очень эффективная служба проверки на поведенческом уровне. Однако, загрузка файлов иногда занимает очень много времени, а результаты труднее интерпретировать. Тем не менее эта служба предоставляет много информации о поведении файла и послужит прекрасным вторым голосом в добавление к CIMA. Если вы продвинутый пользователь, я вам очень рекомендую проверять поведение файлов еще и в Anubis.
5. Сообщайте об опасных файлах куда следует
Если ваш анализ показал, что определенный файл опасен, я рекомендую, чтобы вы в качестве вероятно опасного отправили его в как можно большее количество лабораторий, занятых в области антивирусного ПО. Самый простой способ сделать это - последовать совету, который я даю в своей статье "Как сообщить о вредоносном программном обеспечении или о ложных срабатываниях в многочисленные антивирусные лаборатории" (). Выполняя шаги, описанные в ней, вы можете помочь противодействовать распространению этого вредоносного ПО.
Нашли опечатку? Нажмите Ctrl + Enter
Недавно, в Windows 10 Fall Creators Update , я пытался загрузить файл и не смог, попытки скачать файл с помощью - Google Chrome, Microsoft Edge и Mozilla Firefox, закончились неудачей, потому что все они блокировали загрузку файла из-за вируса, который был обнаружен во время проверки безопасности.
- В Chrome отображается сообщение «Ошибка – Обнаружен вирус»
- Microsoft Edge «[имя файла] содержал вирус и был удален»
- Firefox просто отказался начинать загрузку.
Быстрая проверка показала, что встроенный инструмент безопасности - Антивирусная программа «Защитник Windows», действительно отвечала за блокировку загрузки файла на компьютере.
В данном случае, я был уверен, что это ложное срабатывание, и в следующих пунктах описывается, как я пытался загрузить файл в систему.
Первое
, что я сделал, это запустил Центр безопасности Защитника Windows, чтобы узнать больше об этой угрозе.
Откройте меню «Пуск» нажатием клавиши с логотипом Windows, и начните печатать на клавиатуре- Защитник , в отображаемых результатах выберите элемент «Центр безопасности Защитника Windows» .
Защита от вирусов и угроз Windows 10
В Центре безопасности Защитника Windows , нажмите на значок гамбургера в левом верхнем углу, чтобы отобразить названия разделов меню, рядом с значками и выберите «Защита от вирусов и угроз» .
Затем нажмите с правой стороны на ссылку «Журнал сканирования» . Защитник Windows может сообщать вам, что текущих угроз нет . Сначала это может выглядеть озадачивающим, но программа Защитника покажет вам только те угрозы, которые требуют пользовательского вмешательства.
Поскольку загруженный файл был автоматически помещен в карантин, не требуется никаких дальнейших действий пользователя, что, в свою очередь, означает, что фактически, текущих угроз нет.
После нажатия ссылки «Посмотреть журнал полностью» , вы увидите, список угроз на карантине. Если вам повезет, вы можете увидеть имя вируса, обнаруженного Защитником Windows, когда он сканирует скачиваемый файл. В списке журнала, имя загружаемого файла не указано, но даты, может быть вполне достаточно, чтобы найти неудавшуюся загрузку.
Клик по строке журнала, отображает ссылку для восстановления файла или его удаления. Подробности отображает имя файла, но этого может быть недостаточно для идентификации нужного файла, так как Защитник Windows может отображать временное имя.
Если требуется вмешательство пользователя вам будет предложены Варианты действий:
- Удалить – Безвозвратно удалить файл из системы
- Поместить в карантин – Файл перемещается в папку Карантин, доступ к файлу блокируется.
- Разрешить на устройстве – Файл, в нашем случае, будет восстановлен в папке Загрузки и вы можете получить к нему доступ
В текущей версии Центра безопасности Защитника Windows
имеется немало проблем в этом отношении. Я уже упоминал об отсутствии подробностей блокируемого файла, но это лишь одна из проблем, с которыми вы можете столкнуться.
Вторым является тот факт, что Центр безопасности Windows ограничивает текущие угрозы на этой странице до пяти. Для просмотра полного списка вы должны нажать «просмотреть журнал полностью»
, будут показаны все элементы, сохраненные в карантине, но вы сразу заметите, что кнопки для удаления или восстановления файлов там отсутствуют.
То, что вы можете попробовать, - если вы уверены, что скачиваемый файл безопасен, это очистить историю, Отключить защиту и повторить загрузку.
Выключите «Защиту в реальном времени» и снова загрузите файл. Обычно не рекомендуется отключать средства безопасности системы, но иногда нет другого выхода, кроме как сделать это. Так что вы можете на короткое время отключить этот параметр, после чего он будет снова включён автоматически.
Перейдите в раздел «Защита от вирусов и угроз» → , чтобы отключить «Защиту в реальном времени» и заново загрузите файл, на этот раз загрузка завершится успешно.
Добавьте файл, который вы только что загрузили, в Список исключений , Вы найдете этот параметр на странице настроек защиты от вирусов и угроз. «Защита от вирусов и угроз» → «Параметры защиты от вирусов и других угроз» → (вы не можете сделать это до его загрузки) и снова включите модуль Защиты в реальном времени.
Вывод: Весь процесс разблокировки файлов, которые заблокированы Защитником Windows, но которые вы хотите загрузить, весьма не прост и в какой-то степени запутанно сложный. Почему у пользователя нет возможности для удаления или восстановления файлов в полном журнале сканирования, почему нужно совершить несколько переходов, чтобы узнать больше об угрозе, и почему в главном интерфейсе иногда нет угроз, при блокировке файла - который вы хотите восстановить?