» Обзор антивирусов под Windows

Panzer
У меня все так, как я написал. Как и куда выкладывать файл я не знаю, но ты легко это проверишь, скопировав свой файл на флэшку и высчитав MD5 у обоих.
QartushH
Спасибо, успокоил. У меня такие MD5 и есть на флэшке. Но настаиваю, что

Цитата:

У работающих файлов на обоих компах MD5 одно и то же
d41d8cd98f00b204e9800998ecf8427e

.
Интересно, что для

Цитата:

рус. WinXP SP2 => b63c563be89f50b9e6f94d89528acb37 *sfc_os.dll

вирустотал дает
Ikarus T3.1.1.12 2007.11.19 Virus.Win32.Banker.CUU,
а позавчера этого не было!




Добавлено:
Сегодня, почти сразу после включения компа, еще одна загадка.
1. При переходе из личной страницы моего персонального счета у провайдера по введенной в адресную строку ссылке вылез запрос Аутпост:
    "процесс С:\msntfxpc.exe просится в инет,
    запущен интернет эксполорером IE6".
Я дал команду заблокировать выход в инет этому процессу.
    ПРИМЕЧАНИЕ. Хрюша стоит на D:\ (на C:\ стоит Win98)!!!

2. Поиск (во всех папках и дисках) на компе дал результат:
файл MSNTFXPC.EXE-34FB35A7.pf в D:\WINDOWS\Prefetch 61,4 КБ (62 966 байт)
Создан 20 ноября 2007 г., 13:56:24
Изменен 20 ноября 2007 г., 13:56:26
MD5 01e781fd81e70c98d84941069cae683a (в D:\WINDOWS\Prefetch),
MD5 01e781fd81e70c98d84941069cae683a (копия на флэшке)
MD5 01e781fd81e70c98d84941069cae683a (на вирустотал, вируса нет)

3. DefenceWall HIPS зафиксировала в 13:56:15 такие действия от С:\msntfxpc.exe:
- Attempt to set value History within the key
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\
- Attempt to set value Cookies within the key
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\
- Attempt to set value Directory within the key
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\
- Attempt to set value Cache within the key
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\
- Attempt to set value ProxyEnable within the key
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
- Attempt to set value AppData within the key
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\
- Attempt to set value Common AppData within the key
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\

4. Поиск в Гугле по "msntfxpc": 0 ссылок.

Что ж это за MSNTFXPC.EXE у меня проскочил, оставив след в виде MSNTFXPC.EXE-34FB35A7.pf и почему его нет в Гугле?
Связано ли это с позавчерашним глюком AVASTа у меня, а на вирустотале глюком Ikarus?

Sssvan

Цитата:

У меня все так, как я написал. Как и куда выкладывать файл я не знаю, но ты легко это проверишь, скопировав свой файл на флэшку и высчитав MD5 у обоих.

Разумеется у меня MD5 у них одинаковые.

Цитата:

"процесс С:\msntfxpc.exe просится в инет,
запущен интернет эксполорером IE6".

А вот это очень подозрительно. Проверяйся по полной программе - свежие cureit, avz, ...
MSNTFXPC.EXE-34FB35A7.pf смотреть нет смысла - этот файл создает Винда для оптимизации запуска приложений.

Sssvan
Почитай здесь: http://virusinfo.info/showthread.php?t=1235

Теоретически вирус может подменять sfc_os.dll (при необходимости). Можно сравнить "работающую" dll с dll-кой из \WINDOWS\system32\dllcache (или любой другой копией, предварительно переименовав её в .txt или т.п.)

Если ты можешь подсчитать MD5 у "работающей" dll-ки, то и можешь заархивировать её (может удасться выцепить копию dll с неправильным MD5).

Panzer
Значит, у меня кривая считалка (CalcMD5v2 с http://stakanov.narod.ru/progs/calcmd5/index.html). Какой ты считаешь?

Цитата:

Проверяйся по полной программе

Боюсь, что "полной программой" с неполным пониманием матчасти я только угрохаю систему. Но QartushH за ссылку спасибо; подожду, что будет дальше - может придется воспользоваться.
Не верится, что в систему проник шпион, который умеет менять своё наименование (а есть ли такие?), но не смог проскочить сквозь старенькую Outpost Firewall Pro ver. 2.7.


Добавлено:
QartushH
У меня нет папки dllcache.
Сегодня выяснилось, что 18/11/7 был глюк AVASTа с файлом sfc_os.dll (причем только Русский (0x419) - по твоей же классификации). Они это уже исправили. А моя прога для MD5, похоже, кривая. Это еще больше сбило с толку.
Сейчас остался неясным вопрос по возникшему и тут же пропавшему MSNTFXPC.EXE.

Цитата:

слепой параноик,
шустрик-торопыга
и старый маразматик с большим животом

хаха ))

Цитата:

У меня нет папки dllcache.

Sssvan
C:\WINDOWS\system32\dllcache\ является скрытой папкой...

Часто приходится работать на завирусованных клиентских машинах. Обычно загружаю их с CD-диска на основе WinPE, и затем чищу Dr.Web`ом с флешки. Схема ни разу не давала осечки... кроме последнего случая: после загрузки, и 4-часовой чистки около 60Гб содержимого двух логических дисков (найдено около 10 разновидностей вирусов и около 470 тел) решил что всё закончилось, загрузил комп в нормальном режиме и начал ставить касперского. инсталляция прошла нормально (внешне), однако мастер настройки не запустился, и значок в трее после рестарта тоже не появился! при попытке запуска через меню пуск пишет "не найден файл...". Ладно, решил поставить Dr.Web. Инсталлятор всегда застревал на установке SpiderMail. SpiderGuard тоже не работал! Попробовал перезагрузить машину в безопасном режиме: не загружается. Далее решил поставить Avast 4.7 Home. Инсталляция прошла успешно, базы обновил с помощью экзешника-обновлялки. Сразу после рестарта Avast обнаружил какой-то троян! После этого комп и работал нормально, и в безопасном режиме грузился нормально. В общем после этого я решил что нельзя пользоваться только одним антивирусным продуктом, нужно обязательно что-нибудь с собой иметь "на всякий пожарный...". Хотя до этого пару лет назад пользовался авастом и у меня к нему были нарекания по ложным срабатываниям. Видимо современный аваст стал лучше...

Regsnap
Похвальное и в общем то абсолютно мудрое решение, но только вот смотри.
Вот переодически я беру свои "игрушки" и проверяю их кучей антивирусов.Когда вижу что на данный конкретный день какая-то "игрушка" стала детектироваться пятеркой самых известных антивирусов (хоть каким-нибудь), я делаю легкие пассы ручками (либо мне помогают) и... все пять снова молчат. ну а если молчат эти пять, молчат и оставшиееся более 20 антивирусов с пресловутого вирустоталком.
Зачем мне это надо? А затем, чтобы ни на секунду не расслабляться, осознавая, что если даже я , не является спецом по темным технологиям могу так просто найти средства и обладаю минимальными знаниями, чтобы обмануть практически любой антивирус на не всех конечно "игрушках", но на своих любимых - стопроцентно, то что же тогда можно говорить о профи?!
так что, хоть 10 антивирусов применяй, это не панацея.

Понятно, что обьекты не обнаруживаемые антивирусами приходится удалять вручную. Для этой цели я лично пользуюсь набором кучей мелких утилит от Sysinternals (autoruns, process explorer, ...), Nirsoft (injectdll, shellexview, ...), Malwarebytes, и кое-чем ещё. Но они позволяют вывести из игры только активные обьекты. А как быть с многочисленными телами вирусов щедро разбросанных по всему диску, и которые пользователь может случайно запустить? Так что как ни крути, а приходится пользоваться разными антивирусниками. А какой из них лучше - мы видимо никогда не узнаем, потому что в данном случае этого просто невозможно.

Regsnap
Ну все правильно, да только действительно, я считаю, что наиболее опасны активные вирусы и как показывает практика, чаще всего их удается опознать именно по поведенческим факторам и удалять потом ручками. А вот пассиыно лежащие на винте вирусы - это действительно прекрасная добыча для нормальных антивирусов. Но также не все они детектируются)

а почему в тестовом обзоре нету таких антивирусов как Avast и Avira?

Цитата:

а почему в тестовом обзоре нету таких антивирусов как Avast и Avira?

В шапке что ли? Так там обзор за 2003 год)

Цитата:

В шапке что ли? Так там обзор за 2003 год)

ууу... а что так все грустно? ...
когда можно увидеть обзор за 2007 год?

Цитата:

ууу... а что так все грустно? ...
когда можно увидеть обзор за 2007 год?

))) Не знаю. Тот обзор делали юзеры ru-board. А потом как то заглохло( Сейчас много обзоров в нете.

Romano

Цитата:

когда можно увидеть обзор за 2007 год?

Когда его (тестирование) проведут! В 2003-м году такой прекрасный участник, как DrInvizzi приложил не мало, хоть и ангажированных, но всё же сил, для проведения того тестирования. И хоть задачей DrInvizzi было развенчание культа Касперского, но всё равно у него ничего, в итоге, не получилось и результатом стал справедливый, на то время, тест.

Так что если сейчас найдутся люди, подобные трудоголику DrInvizzi, то можно и провести такое тестирование.

Однако что ето
глюк веба или редкий вирь?
вот файл

redwhiterus

Цитата:

Однако что ето
глюк веба или редкий вирь?
вот файл

Хз. Kis 7.0.0.125 молчит. С учётом того, что только Web определил склоняюсь к мысли, что глюк Web`a.

Только что прислали ответ из ЛК

Цитата:

Здравствуйте,
avz_2216_1.#mp
Вредоносный код в файле не обнаружен.

Это я винду AVZ сканил, вит и закосячило, хотя и панда тоже среагировала...

Образчик вируса от steve75:
http://www.virustotal.com/ru/resultado.html?f39a98ef03eef2d3f6386585a0d231d3
http://www.symantec.com/security_response/writeup.jsp?docid=2003-110607-0328-99&tabid=2

Т.е. Symantec начал определять одну часть вируса - видоизменённый червь Wullik/Wukill, вторую часть вируса - Win32.Tank - заражающую .exe всё ещё не определяет.

Касперский не определяет его как Email-Worm.Win32.Wukill, хотя это он и есть, детектит как и ДРВэб только по второй части (что тоже неплохо).

redwhiterus
На вирустотале Ваш файл еще опознали Panda и Rising... Так, что это решать Вам...

Похоже разобрался,
Цитата:

я винду AVZ сканил

в папке инсталлер остался каспер версии6.144 при его проверке авз и вкл мониторе веба все и глючило

Сорри за

Цитата:

каспер версии6.144 при его проверке авз и вкл мониторе веба

Но какая то война АВ)))

Одним не обойтись. Пробовал KIS, ESS, NOD v2 и v3, DrWeb, Avira.

склоняюсь к NOD. ибо Касперский (даже учитывае громадный прогресс в производительности за что ему респект) все равно тормозит комп заметнее NODа. мало того, режет скорсть сетевых соединений в два раза если используется встроенный фаервол. это заметил не только я, но другие граждане...

С третьим NOD как выснилось тоже проблемы - его использование со сторонним фаервлом практически бессымсыленно потому как используемая технология перехвата и проверки HTTP трафика (единственно правильная и корректная с точни зрения меикрософта и самого ESET) реализованная в нем делает грамадную дыру. даже если настраивать его не по дефолтным настройкам.

v2 NOD нарекания вообще не вызывала ничем. Может только отсутствие официальной поддержки 64 битных систем

На NOD в свое время перешел с DrWEB. мне он тоже нравилмся.

Авир слишком простой.....

все ИМХО

alf_and_co

Цитата:

склоняюсь к NOD. ибо Касперский (даже учитывае громадный прогресс в производительности за что ему респект) все равно тормозит комп заметнее NODа.

А знаешь почему NOD не тормозит? Потому что нихрена не делает! Если тебе не нужны вообще тормоза, то не ставь антивирус в режиме RealTime и наслаждайся. А ставить тряпочку для самоуспокоения в виде NOD - это худшее, что можно придумать.

Цитата:

Одним не обойтись.

два монитора сразу? А сам так пробовал?

сидел на Nod .... после как пропустил вирус (сейчас не помню какой....но был на втором месте как самай трудно выводимый) снес и поставил KIS 7 ....полет нормальный....а то что NOD не тормозит...так правильно сказал "abz"...он нихрена не ловит....

Djpurgen1
Ну я бы не был так категоричен. Легко можно сигнатурно и эвристически обмануть и Каспера)

cracklover
Речь идет не о том, что каспера или любой другой антивирус нельзя обмануть, а о том, что NOD и обманывать не нужно - сплошная дыра...

aleksdem2 nOd не дыра - прекрасно работает... каспер тоже пробивается неожиданно для всех. все антивири имеют почти одинаковую базу(они обмениваются между собой). тут главная сила - маркетинг... а на нас юзверей пофигу, вот и получается, что 100% защиты никогда не будет...

"все антивири имеют почти одинаковую базу(они обмениваются между собой)".

Что, правда????? А то я думаю, почему до сих пор у всех антивиров разный уровень детекта... гыгыгыгыгы