Trovato Virus Bloodhound.PDF.20 sul disco esterno della macchina del tempo, come rimuovere


1

Ho appena acquistato un macbookpro nuovo di fabbrica, caricato con la protezione degli endpoint Symantec (non per scelta), ha meno di 2 settimane. Creazione del backup utilizzando il software della macchina del tempo e l'endpoint si attiva ogni volta che ho collegato l'unità quando ho iniziato a lavorare e ho iniziato a scansionare l'unità. Di solito interrompo il processo di scansione.

Questa mattina ho collegato l'unità e sono andato a prendere un caffè, quando sono tornato endpoint ha identificato un virus Bloodhound.PDF.20 su un file sotto ./DocumentRevisions-V100 nella cartella di backup. Quindi ho alcune domande: 1. /.DocumentRevisions-V100 richiede l'accesso come root, quindi l'endpoint non può eseguire la scansione sul mio computer (non sull'unità esterna), il che significa che è probabile che il virus risieda anche sul mio computer? Se è così, come può sbarazzarsene. Non posso effettuare il cd in ulteriori cartelle in .DocumentRevisions-V100 anche con comando sudo. Non ho ancora provato sudo su.

  1. È possibile ottenere endpoint per eseguire la scansione della cartella .DocumentRevisions-V100 con privilegio di root?

Ho intenzione di riformattare il mio disco esterno e avviare una nuova sessione di macchina del tempo. A questo punto, la mia preoccupazione è il mio computer e se ha un virus o meno.

Qualsiasi suggerimento è apprezzato.

ps. Sì, ho preso in considerazione rm -rf /.DocumentRevisions-V100 ma è fortemente sconsigliato dopo un po 'di google

Risposte:


1

Quando elimini un file, tutte le revisioni vanno via, quindi dovrai prima attaccare il file con il problema eliminandolo.

Se non è possibile eliminarlo, spostarlo su un'unità USB esterna e quindi eliminarlo.

A quel punto, puoi consentire allo scanner di vedere se le copie di backup sono ancora interessate - ma sei corretto - non vuoi mai usarlo rm su file sottoposti a backup. Eliminali utilizzando l'interfaccia Time Machine per eliminare un file in tutti i backup o un'istanza di un file o un'istanza di backup. Puoi anche usare tmutil delete rimuovere le istantanee dall'unità di backup.


il file identificato è /DocumentRevisions-V100/.cs/ChunkStorage/0/0/0/1, se copio questo file su un'unità esterna, Symanetec lo preleva immediatamente. Questo potrebbe essere un falso positivo? Sto esitando a rimuovere questo file manualmente poiché non so cosa faccia. La dimensione del file è 525k
adjfac

Dopo alcuni scavi sembra che sia solo un file "chuck". Alcuni post hanno suggerito di eliminarlo senza problemi (perché stava crescendo in dimensioni), al momento, lascerò che sia solo dalla parte della sicurezza.
adjfac
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.