cracklover
хм, любопытно. я тоже устанавливал сегодня. итог: на 1 встало ок, на двух - проблемы...
хм, любопытно. я тоже устанавливал сегодня. итог: на 1 встало ок, на двух - проблемы...
» Антивирус Dr.Web (Доктор Веб, Doctor Web, DrWeb antivirus)
Нечаянно запостил всё что ниже в Варезнике. Исправил ошибку, перенес сюда:
Давно подозревал кое-что и вот по моему я оказался прав.
Создатели антивируса Доктор Веб последнее время стали кое-чем грешить и кое в чём халтурить. Справедливости ради не только они, но и другие производители антивирусов, но даниловцы что-то всё чаще и чаще.
Так вот. Самая большая проблема для антивирусов это пакеры, крипторы, протекторы. Несмотря на то, что Доктор Веб обзавелся механизмом Origin и теперь деликатно обзывает все вредоносное, что не смог разобрать как Origin, курьезные фолсы у него все равно присутствуют по вине разработчиков.
Вот мне сегодня попался один довольно новый криптор.
Так вот когда им криптуешь ЛЮБОЙ файл, на резуьтат крипта доктор выдает только одно. Это пинч! Хотя при этом криптовал калькулятор, блокнот и т.д. То есть совершенно безобидные файлы, которые после криптора остались такими же безобидными и работоспособными.
Ну и мне предельно ясна "хитрость" даниловцев.
Они просто не смогли разобрать этот криптор и внести его в базы уже разобранным, но вполне банально , хоть и логично предположили, что этим криптором немедленно начнут массово криптовать пинчи и ксинчи, и поэтому можно не париться с поиском сигнатуры и всего лишь внести в базы... сигнатуру работы самого криптора)))
То есть теперь Доктор сработает на любой файл обработанный этим криптором, как на пинч. Типа даниловцы посчитали, то кроме пинча ничего этим криптором никто криптовать не станет.
По принципу "все йогурты сделанные в Козлопундии - плохие и неважно что в Козлопундии есть предприятия производящие нормальные йогурты"
Похвальная методика усиления уровня защиты.
Давно подозревал кое-что и вот по моему я оказался прав.
Создатели антивируса Доктор Веб последнее время стали кое-чем грешить и кое в чём халтурить. Справедливости ради не только они, но и другие производители антивирусов, но даниловцы что-то всё чаще и чаще.
Так вот. Самая большая проблема для антивирусов это пакеры, крипторы, протекторы. Несмотря на то, что Доктор Веб обзавелся механизмом Origin и теперь деликатно обзывает все вредоносное, что не смог разобрать как Origin, курьезные фолсы у него все равно присутствуют по вине разработчиков.
Вот мне сегодня попался один довольно новый криптор.
Так вот когда им криптуешь ЛЮБОЙ файл, на резуьтат крипта доктор выдает только одно. Это пинч! Хотя при этом криптовал калькулятор, блокнот и т.д. То есть совершенно безобидные файлы, которые после криптора остались такими же безобидными и работоспособными.
Ну и мне предельно ясна "хитрость" даниловцев.
Они просто не смогли разобрать этот криптор и внести его в базы уже разобранным, но вполне банально , хоть и логично предположили, что этим криптором немедленно начнут массово криптовать пинчи и ксинчи, и поэтому можно не париться с поиском сигнатуры и всего лишь внести в базы... сигнатуру работы самого криптора)))
То есть теперь Доктор сработает на любой файл обработанный этим криптором, как на пинч. Типа даниловцы посчитали, то кроме пинча ничего этим криптором никто криптовать не станет.
По принципу "все йогурты сделанные в Козлопундии - плохие и неважно что в Козлопундии есть предприятия производящие нормальные йогурты"
Похвальная методика усиления уровня защиты.
Проверка ссылок — бесплатная услуга от компании «Доктор Веб» поместите в шапку плиз. ( Время проверки зависит от объема проверяемого файла — от нескольких секунд до нескольких минут).
( минусы - Ограничение на размер проверяемого файла 12 МБ!)
( минусы - Ограничение на размер проверяемого файла 12 МБ!)
Цитата:
По принципу "все йогурты сделанные в Козлопундии - плохие и неважно что в Козлопундии есть предприятия производящие нормальные йогурты"к сожалению, подобная политика не редкость (сайт одного знакомого, что год назад ломанули, но практически сразу всё было почищено, гугл до сих пор опознает как "опасный" и линки не активирует)
Похвальная методика усиления уровня защиты.
А за наблюдение пасиб.
Мож действительно халтурят, а мож ждут, пока не появится что-то легальное на нем, чтоб заняться..
cracklover
Цитата:
Грамотное решение. Давно пора было так делать со всеми пока не внесёнными в движок пакерами и крипторами, или иначе, троянскими обфускаторами.
Цитата:
Что лишь подтверждает правильность действий даниловцев.
http://forum.kaspersky.com/index.php?showtopic=28261&view=findpost&p=258312
Цитата:
Вот мне сегодня попался один довольно новый криптор.
Так вот когда им криптуешь ЛЮБОЙ файл, на резуьтат крипта доктор выдает только одно. Это пинч!
Грамотное решение. Давно пора было так делать со всеми пока не внесёнными в движок пакерами и крипторами, или иначе, троянскими обфускаторами.
Цитата:
Справедливости ради не только они, но и другие производители антивирусов
Что лишь подтверждает правильность действий даниловцев.
http://forum.kaspersky.com/index.php?showtopic=28261&view=findpost&p=258312
cracklover
Цитата:
Если вот так прямо на блокнот говорится - пинч, (а не криптор xyz) то это плохо. Хотелось бы увидеть логи, файлы, криптор.
Цитата:
Так вот когда им криптуешь ЛЮБОЙ файл, на резуьтат крипта доктор выдает только одно. Это пинч! Хотя при этом криптовал калькулятор, блокнот и т.д.
Если вот так прямо на блокнот говорится - пинч, (а не криптор xyz) то это плохо. Хотелось бы увидеть логи, файлы, криптор.
Panzer
Цитата:
Лучше обозвать блокнот у cracklover пинчем, чем реального пинча у пользователя криптором.
Цитата:
Если вот так прямо на блокнот говорится - пинч, (а не криптор xyz) то это плохо
Лучше обозвать блокнот у cracklover пинчем, чем реального пинча у пользователя криптором.
PrintScreen
Цитата:
Не скажи, если у пользователя антивир настроен на немедленное удаление заразы, то так можно половину системных файлов угрохать, по мнению антивира, заразных. ИМХО, эта опция у антивирусов (удаление без подтверждения, в автоматическом режиме) - вообще зло.
Цитата:
Лучше обозвать блокнот у cracklover пинчем, чем реального пинча у пользователя криптором.
Не скажи, если у пользователя антивир настроен на немедленное удаление заразы, то так можно половину системных файлов угрохать, по мнению антивира, заразных. ИМХО, эта опция у антивирусов (удаление без подтверждения, в автоматическом режиме) - вообще зло.
WatsonRus
А по криптору есть что сказать?
А по криптору есть что сказать?
Проведенное в текущем месяце независимое тестирование авторитетного журнала Virus Bulletin привело к неожиданному провалу целого ряда известных антивирусных решений. Начнем со счастливых обладателей заветного логотипа VB100, означающего обнаружение всего комплекта компьютерных угроз, составленного из самых актуальных вредоносных модулей. Итак, из наиболее знакомых читателям антивирусных решений обладателями VB100 стали:
* Agnitum Outpost;
* BitDefender AntiVirus;
* ESET NOD32;
* F-Secure Anti-Virus 2008;
* McAfee VirusScan;
* Microsoft Forefront;
* Symantec Endpoint Protection.
Среди не принявших участия в тестировании антивирусов отметился только Microsoft OneCare. Зато попадание в список проваливших стопроцентное обнаружение угроз явно стало сюрпризом для многих крупных компаний. Настоящий провал продемонстрировал Dr. Web. Казалось бы надежное средство защиты пропустило 22 угрозы и осуществило 4 ложных срабатывания. Немногим лучше обстоят дела у Sophos Anti-Virus – 8 пропущенных угроз. Вдвое меньше вредоносных кодов не смог обнаружить Trend Micro OfficeScan. Почти минимального числа обезвреженных угроз не хватило Spyware Doctor – всего 2 модуля остановили программу на пути к VB100. И уж совсем обидное поражение понес Kaspersky Anti-Virus. Одна единственная пропущенная угроза стала непреодолимым препятствием для разработки Лаборатории Касперского. Надеемся, упустившие награду VB100 компании сделают выводы из декабрьского тестирования и в следующем месяце обязательно порадуют своих пользователей куда как более убедительными результатами.
* Agnitum Outpost;
* BitDefender AntiVirus;
* ESET NOD32;
* F-Secure Anti-Virus 2008;
* McAfee VirusScan;
* Microsoft Forefront;
* Symantec Endpoint Protection.
Среди не принявших участия в тестировании антивирусов отметился только Microsoft OneCare. Зато попадание в список проваливших стопроцентное обнаружение угроз явно стало сюрпризом для многих крупных компаний. Настоящий провал продемонстрировал Dr. Web. Казалось бы надежное средство защиты пропустило 22 угрозы и осуществило 4 ложных срабатывания. Немногим лучше обстоят дела у Sophos Anti-Virus – 8 пропущенных угроз. Вдвое меньше вредоносных кодов не смог обнаружить Trend Micro OfficeScan. Почти минимального числа обезвреженных угроз не хватило Spyware Doctor – всего 2 модуля остановили программу на пути к VB100. И уж совсем обидное поражение понес Kaspersky Anti-Virus. Одна единственная пропущенная угроза стала непреодолимым препятствием для разработки Лаборатории Касперского. Надеемся, упустившие награду VB100 компании сделают выводы из декабрьского тестирования и в следующем месяце обязательно порадуют своих пользователей куда как более убедительными результатами.
Сегодня, 6.12.2007 мой компьютер был, как я предполагаю, заражён LoveSan. Симптомы те же, что и несколько лет назад: сообщение о перезагрузке через 30... 20... 10 секунд. DrWeb 4.44 со всеми самыми последними обновлениями никак не отреагировал на это. Сканирование ничего не дало. Компьютер не в локалке. Инет - кабельный, пишу этот текст с ноутбука, который работает без проблем. Это второй раз, когда Веб оказался бессилен перед Лавсаном.
Думаю ставить НОД.
Думаю ставить НОД.
Sham2
Цитата:
Цитата:
Цитата:
Думаю ставить НОД.Думай ставить фаервол.
Цитата:
перезагрузке через 30... 20... 10 секундВ настройках RPC поставь "не перезагружать".
Sham2
Цитата:
А Нод его ловит? Сейчас?
Цитата:
Это второй раз, когда Веб оказался бессилен перед Лавсаном.
Думаю ставить НОД.
А Нод его ловит? Сейчас?
Sham2
Цитата:
LoveSan ломится к тебе снаружи через уязвимость в Windows, антивирус здесь не при чём. Лечится установкой заплатки, которую M$ выпустила давным-давно. Ты небось на XP без sp2 до сих пор сидишь ?
Цитата:
Сегодня, 6.12.2007 мой компьютер был, как я предполагаю, заражён LoveSan. Симптомы те же, что и несколько лет назад: сообщение о перезагрузке через 30... 20... 10 секунд.
LoveSan ломится к тебе снаружи через уязвимость в Windows, антивирус здесь не при чём. Лечится установкой заплатки, которую M$ выпустила давным-давно. Ты небось на XP без sp2 до сих пор сидишь ?
Panzer
Цитата:
круто
Я уже подумал, что это свежий лавсан
Но разве антивирусне должен его словить когда тот лезет на комп?
Цитата:
Ты небось на XP без sp2 до сих пор сидишь ?
круто
Я уже подумал, что это свежий лавсан
Но разве антивирусне должен его словить когда тот лезет на комп?
1) Файервол стоит и включён (Comodo 3.0.12.226, проверен через auditmypc.com). Но он настроен на разрешение системных служб, а иначе в инет не выйдешь.
2) Винда XP SP2. Насколько я знаю, она с установленной заплаткой от Лавсана.
Может быть, это другой зверь. Просто сообщаю на всякий.
Насчёт «антивирус здесь не при чём». А кто ж тогда?
2) Винда XP SP2. Насколько я знаю, она с установленной заплаткой от Лавсана.
Может быть, это другой зверь. Просто сообщаю на всякий.
Насчёт «антивирус здесь не при чём». А кто ж тогда?
Panzer
Цитата:
Вообще-то такое поведение для вируса нехарактерно. В LoveSan была ошибка. Когда компьютер не в сети, сообщение о перезагрузке есть ?
Цитата:
на ноуте тоже DrWeb 4.44 + Comodo ? Попробуй скачать AVZ (http://z-oleg.com/avz4.zip) и провериться, но аккуратно с удалением, если AVZ найдет что-то!
Цитата:
1) Файервол стоит и включён (Comodo 3.0.12.226, проверен через auditmypc.com). Но он настроен на разрешение системных служб, а иначе в инет не выйдешь.
2) Винда XP SP2. Насколько я знаю, она с установленной заплаткой от Лавсана.
Может быть, это другой зверь. Просто сообщаю на всякий.
Вообще-то такое поведение для вируса нехарактерно. В LoveSan была ошибка
. Когда компьютер не в сети, сообщение о перезагрузке есть ? Цитата:
Компьютер не в локалке. Инет - кабельный, пишу этот текст с ноутбука, который работает без проблем.
на ноуте тоже DrWeb 4.44 + Comodo ? Попробуй скачать AVZ (http://z-oleg.com/avz4.zip) и провериться, но аккуратно с удалением, если AVZ найдет что-то!
подскажите можно ли както из командной строки сделать унинсталл дрвебу и так чтобы невыдавал никаких запросов?
Нашел такую строку для удаления, но она спрашивает действительно ли я хочу удалить веб
Код: RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{BBE2F69C-4338-11D7-8F0C-00A0244F4E2D}\setup.exe" -l0x19 -removeonly
Нашел такую строку для удаления, но она спрашивает действительно ли я хочу удалить веб
Код: RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{BBE2F69C-4338-11D7-8F0C-00A0244F4E2D}\setup.exe" -l0x19 -removeonly
BlackFox
Цитата:
Цитата:
На официальном форуме появилась такая тема http://forum.drweb.com/viewtopic.php?t=6877
Основной посыл - тесты Virus Bulletin не отражают реальную ситуацию, их коллекция непонятно откуда берётся. Я с этим согласен лишь отчасти, понятно, что можно подобрать специально такой набор вирусов, что антивирус Х покажет отличный результат, а все остальные - плохой. Но здесь, если всё было честно и настройки были правильные, почему многие АВ "третьго эшелона" прошли на ура, а просели больше всех Dr. Web и Sophos, про который, кстати, много хорошего последнее время слышал - странно.
Цитата:
Проведенное в текущем месяце независимое тестирование авторитетного журнала Virus Bulletin привело к неожиданному провалу целого ряда известных антивирусных решений.
Цитата:
Настоящий провал продемонстрировал Dr. Web. Казалось бы надежное средство защиты пропустило 22 угрозы и осуществило 4 ложных срабатывания. Немногим лучше обстоят дела у Sophos Anti-Virus – 8 пропущенных угроз.
На официальном форуме появилась такая тема http://forum.drweb.com/viewtopic.php?t=6877
Основной посыл - тесты Virus Bulletin не отражают реальную ситуацию, их коллекция непонятно откуда берётся. Я с этим согласен лишь отчасти, понятно, что можно подобрать специально такой набор вирусов, что антивирус Х покажет отличный результат, а все остальные - плохой. Но здесь, если всё было честно и настройки были правильные, почему многие АВ "третьго эшелона" прошли на ура, а просели больше всех Dr. Web и Sophos, про который, кстати, много хорошего последнее время слышал - странно.
Цитата:
тесты Virus Bulletin не отражают реальную ситуацию
Господи, да разве есть кто-то, кто принимает их всерьез?
Хотел проверить файл, но из проводника куда то пропал значек Dr.Web.
Подскажите где мне его найти!
Подскажите где мне его найти!
Практически по всем известным тестам ДрВеб в лучшем случае, в середине. Я пользуюсь этим антивирем много лет, еще с досовских версий, но сейчас мысль сменить его становится неотвязной. И дело не только в его посредственной эффективности, но и в том, что версия 4.44 напоминает мне худшие времена тормозный версий касперского. Даже обычный вордовский файл при включенном резиденте запускается черт знает сколько. А на другом компе при активном резиденте я просто не могу пользоваться сканером! Идиотизм!
Осталось выбрать на что переехать...
Осталось выбрать на что переехать...
Kardinalli
имхо дело не в докторе. сколько юзаю его раз в 5 быстрее каспера. вот что действительно убьет скорость так это касперский.
имхо дело не в докторе. сколько юзаю его раз в 5 быстрее каспера. вот что действительно убьет скорость так это касперский.
Мда... После сегодняшнего обновления баз, DrWeb 4.44 начал выдавать вот такие сообщения на некоторые инсталяторы
07-12-2007 11:37:53 [BG] C:\WINDOWS\SYSTEM32\XVID-UNINSTALL.EXE - инфицирован Trojan.DnsChange
07-12-2007 11:38:22 [BG] C:\PROGRAM FILES\AUTOGK\UNINST.EXE - инфицирован Trojan.DnsChange
07-12-2007 11:32:24 [BG] C:\PROGRAM FILES\CCLEANER\UNINST.EXE - инфицирован Trojan.DnsChange
Хорошо еще , что пока не на все
07-12-2007 11:37:53 [BG] C:\WINDOWS\SYSTEM32\XVID-UNINSTALL.EXE - инфицирован Trojan.DnsChange
07-12-2007 11:38:22 [BG] C:\PROGRAM FILES\AUTOGK\UNINST.EXE - инфицирован Trojan.DnsChange
07-12-2007 11:32:24 [BG] C:\PROGRAM FILES\CCLEANER\UNINST.EXE - инфицирован Trojan.DnsChange
Хорошо еще , что пока не на все
Kardinalli
Цитата:
Поставь в спайдере самый подробный лог и посмотри, что там в эти моменты. Думаю, что притормаживает при проверке самого запускаемого WINWORD.EXE . Но это должно быть только один раз в течение сеанса, при первом запуске Ворда. Посмотри в спайдере Control-Options-recent files list, включи, если disabled, поставь побольше.
Цитата:
Поясни в чём проблема.
Цитата:
Даже обычный вордовский файл при включенном резиденте запускается черт знает сколько.
Поставь в спайдере самый подробный лог и посмотри, что там в эти моменты. Думаю, что притормаживает при проверке самого запускаемого WINWORD.EXE . Но это должно быть только один раз в течение сеанса, при первом запуске Ворда. Посмотри в спайдере Control-Options-recent files list, включи, если disabled, поставь побольше.
Цитата:
А на другом компе при активном резиденте я просто не могу пользоваться сканером!
Поясни в чём проблема.
gyra
Цитата:
Странно проверил ССleаner все в норме ниче нет да и Xvid все в порядке, базы последние
Kardinalli
Цитата:
однозначно не в докторе какие настройки режим оптимальный стоит или "другие"
список проверяемых объектов по максимому?
Цитата:
Мда... После сегодняшнего обновления баз, DrWeb 4.44 начал выдавать вот такие сообщения на некоторые инсталяторы
Странно проверил ССleаner все в норме ниче нет да и Xvid все в порядке, базы последние
Kardinalli
Цитата:
имхо дело не в докторе. сколько юзаю его раз в 5 быстрее каспера
однозначно не в докторе какие настройки режим оптимальный стоит или "другие"
список проверяемых объектов по максимому?
redwhiterus
Да похоже уже поправили, обновился еще раз - теперь молчит...
Да похоже уже поправили, обновился еще раз - теперь молчит...
Panzer
Насчёт Лавсана докладываю.
Почему я решил, что это он. Когда отрубаешь инет, всё в порядке. (Напомню, комп не в сетке.)
Последовательное сканирование DrWeb, AVZ и Sophos ничего не дало. После всего этого Винда выдала сообщение, что важные системные файлы были заменены и предложила вставить диск. А поскольку диска под рукой не оказалось, плюнул на всё, отформатировал и переставил из образа весь диск.
Есть подозрение, что обвал произошёл после установки программки под названием AGAVA SpamProtexx. DrWeb сказал, что в ней троян, но я проигнорировал.
Вот такие дела.
Добавлено:
Кстати, НОД тоже не нашёл Лавсана.
Из всех трёх (Веб, Софос и НОД) только Веб нашёл того трояна.
Вот вам и «худший».
Так что я оставляю Веба постоянным, а к периодическим (AVG, Avast и AVZ) добавляю Sophos.
Насчёт Лавсана докладываю.
Почему я решил, что это он. Когда отрубаешь инет, всё в порядке. (Напомню, комп не в сетке.)
Последовательное сканирование DrWeb, AVZ и Sophos ничего не дало. После всего этого Винда выдала сообщение, что важные системные файлы были заменены и предложила вставить диск. А поскольку диска под рукой не оказалось, плюнул на всё, отформатировал и переставил из образа весь диск.
Есть подозрение, что обвал произошёл после установки программки под названием AGAVA SpamProtexx. DrWeb сказал, что в ней троян, но я проигнорировал.
Вот такие дела.
Добавлено:
Кстати, НОД тоже не нашёл Лавсана.
Из всех трёх (Веб, Софос и НОД) только Веб нашёл того трояна.
Вот вам и «худший».
Так что я оставляю Веба постоянным, а к периодическим (AVG, Avast и AVZ) добавляю Sophos.
Sham2
Цитата:
Откуда взял если не с офа ил крэкнул то понятно
Цитата:
Проблема решена чтоли?
Цитата:
AGAVA SpamProtexx
Откуда взял если не с офа ил крэкнул то понятно
Цитата:
Так что я оставляю Веба постоянным, а к периодическим
Проблема решена чтоли?
Страницы: 123456789101112131415161718192021222324252627
Предыдущая тема: ftp поисковик под linux
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.