» Avira AntiVir Personal (антивирус, antivirus)

ua3vui

Цитата:

То что на кряки и патчи срабатывает- но ведь и правильно делает

Это с каких радостей правильно? Может быть думаете, что каждый кейген или патч содержит кучу зловредных вирусов, которые туда засунули подлые крякеры? Скорее, наоборот - крякеры, как грамотные люди, не допускают подобных вещей. А то, что в архив к патчам/крякам добавляют троянца на сайтах с варезом, так тут вина не крякеров. Просто есть срабатывания на потенциальные возможности, а это не одно и то же с реальными. Разные антивирусы в этом случае ведут себя по разному, что можно увидеть на вирустотале. В конце концов, есть возможность запустить подозрительный файла на виртуальной машине или под заморозкой и поглядеть что именно он делает. Вот только чайники и ламеры обычно так не делают, сначала начинается визг, что на ру-борде выкладывают зараженные файлы. На проверку из тыщи визгов дай Бог чтобы хоть один был по делу.

Mahnoshka
Цитата:

Как заставить Авиру удалять вирусяки автоматом

Прочитать шапку. Там [more=всё есть] "Настройка Гварда в Классик-е на работу без вопросов"[/more]

Astra55

Цитата:

Это с каких радостей правильно?

Разработчик уже отвечал на этот вопрос и если своими словами-
Суть мысли в том, что к вредоносным программам относят также все, что по законодательству страны попадает под это определение. Грубо говоря помогают пользователю не попасть под статью.
P.S. Некоторые разработчики уже дошли до того, что ввели определение для особо одарённых "не вирус", но на дерьмо наступать не советуют.

dgsjsj

Цитата:

по законодательству страны попадает под это определение.

Дык тогда надо было этот софт делать исключительно для немцев, запрещая его использование в других странах, у которых свои законы Иначе это медвежья услуга. Ладно, хоть из карантина все извлекается, пусть не так легко и дата файла изменяется. Лучше ставить переименование, так хоть не придется особо выеживаться при ложных срабатываниях.

Че-то я не пойму: есть autorun.inf, по содержимому явный вирус, архивирую его с паролем infected, посылаю через страницу из шапки "Sumbit Sample (сайте поддержки)", они мне тут же его проверяют и пишут - CLEAN. Я что-то не так сделал? Его надо обязательно на мыло их слать, а не через web?

Akam1 отправь на http://www.virustotal.com/ru/

Akam1
А текстовым редактором открыть не пробовали? Это каким же образом в текстовом файле может быть вирус, а все inf файлы именно текстовые? Другое дело, что авторан указывает на искомый экзешник.

Akam1

Цитата:

Че-то я не пойму: есть autorun.inf, по содержимому явный вирус, архивирую его с паролем infected, посылаю через страницу из шапки "Sumbit Sample (сайте поддержки)", они мне тут же его проверяют и пишут - CLEAN.

В этом авторане прописано какой запустить екзешник, обычно этот екзешник троян и является скрытым, он может находиться в корневом каталоге на всех разделах винта, а может и еще где-то сидеть. Естественно раз авторан ссылается на трояна - то попадает под категорию вирусов (до тех пор пока этот екзешник не удален).

Viktor_Kisel

Цитата:

раз авторан ссылается на трояна - то попадает под категорию вирусов

Антивирусы могут определить вирус по имени неизвестного экзешника в текстовом файле??? Не кажется, что это уже из области фантастики, либо элементарное ложное срабатывание.

Avira Premium Security Suite
=======
1/ Как создать правило для игрового режима? Запустил определённую игру и игровой режим запускается паралельно.?
2. Простая локальная сеть с выходом в интернет через роутер. После установки, рассматриваю правила фаервола и не влезая во все эти премудрости протоколов......... Как мне сделать полный допуск к своему компу только одного айпи из локалки. То есть настройки фаервола оставить так как они идут по умолчанию, только один айпи сделать полностью доверенным как для входящих так и для исходящих?

Подскажите по проблемке пожалуйста!

Авира ругается на malware при заходе на главную yandex.ru
Выдаёт следующее :


браузер опера 9.27
платформа ХП
раньше не было такого.../

Это только у меня такое?
О чём это может свидетельствовать и что делать?

Astra55

Цитата:

Антивирусы могут определить вирус по имени неизвестного экзешника в текстовом файле??? Не кажется, что это уже из области фантастики, либо элементарное ложное срабатывание.

Наверное я непонятно написал. Дело в том что екзешник как раз известный антивирусным базам, но получается так, что монитор срабатывает не на сам екзешник а на авторан, который запускает этот екзешник. В моем случае это были трояны, имеющие свойство скрытых. То есть срабатывание было на вполне реальный троян, но не на сам екзешник, а на авторан этого екзешника, притом оба файла были скрытые. Это "добро" мне попадалось в первую очередь на чужих флешках, ну и на компах тоже

Astra55
Мне представляется вы со мной частично согласились, вернее сказать появился ещё один взгляд на программное обеспечение безопасности. С вашим опытом было бы правильно вообще убрать из употребления словосочетание
Цитата:

при ложных срабатываниях

Ироническое замечание
Цитата:

исключительно для немцев,

воспринимаю как шутку.
Если вдуматься законодательство в этом плане не отличается, отличается лишь правоприменительная практика. В противном случае можно дойти до запрета продаж их автомобилей поскольку нет дорог соответствующего уровня.
False positives - "Ложное срабатывание" как определение естественно никто не отвергает. Просто у нас оно чаще всего встречается у пользователей не утруждающих себя анализом того, что им выдала система безопасности, либо не имеющих нужной квалификации.
И на десерт. Не стоит делать результаты полученные на virustotal.com истиной в последней инстанции. Где-то с месяц назад попадалась статья намекающая на то, что от выводов сделанных на основе результатов полученных там больше вреда чем пользы и приводились аргументы.
Деталям не придал значения т.к. искал совсем другое, запомнилось что кто то из американских аналитиков.

Viktor_Kisel
Автор вопроса однозначно указал на сам файл авторана, а отнюдь не на прописанный в нем экзешник. Не может в нормальных условиях антивирус показать что-либо опасное в текстовом файле, там же скрипты не предусмотрены. Шутки на эту тему встречались, когда вставляешь некую короткую последовательность, а антивирус верещит об опасности.
dgsjsj
Никто не говорит о безгрешности вирустотала. С другой стороны, мало кто себя утруждает проверкой сомнительных файлов, запуская их и анализируя поведение хотя бы с помощью HIPS и любого софта для отслеживания вносимых в систему изменений. Разумеется, не на рабочей системе, а соблюдая меры предосторожности Согласитесь, что ни одна зараза не может запуститься сама собой, ничего никуда не прописывая, ничего не заменяя, не взаимодействуя с другими программами и т.д. Разного рода хакерские тулзы вызывают ложные срабатывания, разные антивирусы реагируют на такое по разному. Одни ничего не видят, другие видят вирус, третьи видят именно тулзу, четвертые дипломатично говорят что файл сомнительный. Ну вопит Авира на дистрибутив безобидного софта, который взят с сайта девелопера, и что теперь?
Вот для иллюстрации прогнал Авирой одну директорию, результаты такие:
-----------------
The scan has been done completely.
131 Scanning directories
21437 Files were scanned
64 viruses and/or unwanted programs were found
3 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
51 files were renamed
0 Files cannot be scanned
21370 Files not concerned
803 Archives were scanned
1 Warnings
51 Notes
----------------------
Вот один из "вирусов":
----------------------
Ashampoo-UnInstaller-Portable3.05.rar
[0] Archive type: RAR
--> Ashampoo_UnInstaller_Portable3.05\UnInstallerPortable.exe
[DETECTION] Contains recognition pattern of the DR/Zlob.Gen dropper
[NOTE] The file was renamed to 'Ashampoo-UnInstaller-Portable3.05.rar.VIR'!
----------------------
А вот результаты с вирустотал:
----------------------
Файл UnInstallerPortable.exe получен 2009.02.06 03:59:12 (CET)
Текущий статус: Загрузка ... в очереди ожидание проверка закончено НЕ НАЙДЕНО ОСТАНОВЛЕНО
Результат: 0/39 (0%)
---------------------
Правда, забавно? Авира на компе выдает:
[DETECTION] Contains recognition pattern of the DR/Zlob.Gen dropper
а на вирустотале молчит как рыба об лед.
Все файлы, на которые ругается Авира, либо зип, либо рар, все с варезом внутри, все уже опробованы, никакой заразы там нет и в помине. Был бы чайником, начал бы орать, что меня хотят умышленно заразить и подсунули кучу всякого дерьма. Но я не чайник, и обращать внимания на эти предупреждения не буду

AlViS
Astra55
Viktor_Kisel
Цитата:

отправь на http://www.virustotal.com/ru/

Отправлено. [more=Результат]Файл autorun.inf получен 2009.02.04 22:06:24 (CET)
Текущий статус: закончено
Результат: 16/39 (41.03%)
Антивирус    Версия    Обновление    Результат
a-squared    4.0.0.93    2009.02.06    Worm.Win32.Conficker!IK
AhnLab-V3    5.0.0.2    2009.02.06    -
AntiVir    7.9.0.74    2009.02.05    -
Authentium    5.1.0.4    2009.02.05    -
Avast    4.8.1335.0    2009.02.06    -
AVG    8.0.0.229    2009.02.05    Worm/Generic_c.ZW
BitDefender    7.2    2009.02.06    -
CAT-QuickHeal    10.00    2009.02.05    -
ClamAV    0.94.1    2009.02.05    Worm.Autorun-1838
Comodo    965    2009.02.05    Worm.Win32.AutoRun.etg
DrWeb    4.44.0.09170    2009.02.06    Win32.HLLW.Shadow
eSafe    7.0.17.0    2009.02.05    -
eTrust-Vet    31.6.6344    2009.02.06    INF/Conficker
F-Prot    4.4.4.56    2009.02.05    -
F-Secure    8.0.14470.0    2009.02.06    Worm.Win32.AutoRun.etg
Fortinet    3.117.0.0    2009.02.06    -
GData    19    2009.02.06    -
Ikarus    T3.1.1.45.0    2009.02.06    Worm.Win32.Conficker
K7AntiVirus    7.10.620    2009.02.05    -
Kaspersky    7.0.0.125    2009.02.06    Worm.Win32.AutoRun.etg
McAfee    5516    2009.02.04    -
McAfee+Artemis    5516    2009.02.04    -
Microsoft    1.4306    2009.02.05    Worm:Win32/Conficker.B!inf
NOD32    3831    2009.02.05    INF/Conficker
Norman    6.00.02    2009.02.05    -
nProtect    2009.1.8.0    2009.02.06    -
Panda    9.5.1.2    2009.02.05    W32/Conficker.C.worm
PCTools    4.4.2.0    2009.02.06    -
Prevx1    V2    2009.02.06    -
Rising    21.15.30.00    2009.02.05    -
SecureWeb-Gateway    6.7.6    2009.02.05    -
Sophos    4.38.0    2009.02.06    Mal/ConfInf-A
Sunbelt    3.2.1835.2    2009.01.16    -
Symantec    10    2009.02.06    W32.Downadup!autorun
TheHacker    6.3.1.5.247    2009.02.05    -
TrendMicro    8.700.0.1004    2009.02.05    TROJ_DOWNAD.AF
VBA32    3.12.8.12    2009.02.05    -
ViRobot    2009.2.6.1592    2009.02.06    -
VirusBuster    4.5.11.0    2009.02.06    INF.Conficker.F[/more]
Как видим - это скорее всего кусок запускающий Kido. Желающие могут убедиться сами (пароль "infected"). Как его все-таки заслать им?

Akam1

Цитата:

Как его все-таки заслать им?

Засылать немцам autorun.inf не вижу смысла - ведь авторан это не вирус. Нужно попробовать найти сканером екзешник который и создает этот autorun.inf (раз Авира его не находит то попробовать другим сканером) и его отослать. К сожелению текстовым редактором и HEX-редактором я не смог понять в какой кодировке авторан и что он запускает.

('Viktor_Kisel')
используй AVZ

Цитата:

Просто есть срабатывания на потенциальные возможности, а это не одно и то же с реальными.

- а я Вам где то сказал про реальные?


Добавлено:
ua3vui Это для Astra55

Akam1
В чем я убедился, что это не inf файл 100%. Поскольку я не антивирусный аналитик, то не берусь судить что да как, и каким образом подобный файл может быть запущен. Но простейшее открытие в текстовом редакторе однозначно все расставляет по своим местам.

Astra55

Цитата:

В чем я убедился, что это не inf файл 100%.

А вдруг все же inf файл? Но только в неизвестной кодировке, например в такой как и hbedv.key?
P.S. Отослал еще и я тоже этот autorun.inf на Sumbit Sample (сайте поддержки).
Просьба отошлите кто-нибудь его также Олегу Зайцеву автору AVZ.

Viktor_Kisel
Цитата:

Нужно попробовать найти сканером екзешник который и создает этот autorun.inf (раз Авира его не находит то попробовать другим сканером) и его отослать.

Это однозначно кусок от Kido - Net-Worm.Win32.Kido.bt, наши полофиса и несколько магазинов повально были сражены им. Поразил тех, кто в ноябре не обновил свои тачки и не поставил KB958644 (я поставил ). Взял с другой машины эти файлы, сам вирус-dllку Avira "прибила" сразу, а вот этот непонятный autorun - пропустила. Поэтому я и засуетился.
Цитата:

Засылать немцам autorun.inf не вижу смысла - ведь авторан это не вирус.

В данном случае ЭТО можно не считать автораном как мы привыкли его видеть. Походу это именно исполняемый код и его можно считать вирусом как таковым. Тем более, что на вирустотале 16 антивирусов именно так и считают.

Akam1
Понятно, спасибо за разъяснение.
Вобщем решил я отправить этот autorun.inf автору AVZ (от немцев пока нет ответа), так вот с яндекс-почты мое письмо (архив незапароленный) заблокировал Доктор Веб, так я его через укрнетовскую почту отправил.
Желательно бы отослать немцам и эту dll-ку в комплекте. Если остался выложите сам вирус (dll-ку).

Цитата:

В данном случае ЭТО можно не считать автораном как мы привыкли его видеть. Походу это именно исполняемый код и его можно считать вирусом как таковым.

Возможно, вот описание из вашей ссылки:
"Также вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл:
<X>:\autorun.inf
Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник"."

При переустановке Премиума (добавлял Webguard) перестали воспроизводится звуки из системного динамика (он исправен), хотя пункт "Акустический сигнал" включен. Без Webguard'а все работало. В чем может быть причина?

Подскажите как настроить авиру чтоб при просмотре страниц в инете всевозможные окна с рекламой не всплывали. Раньше стоял каспер 6 и проблем не было, если не найду решение то вернусь к касперу

kompozitor911

Цитата:

если не найду решение то вернусь к касперу

Не теряй времени.

kompozitor911
А что окна нельзя блокировать Opera?Mozilla?Firefox?Если нет то какой брандмауер у тебя стоит?

У меня стоит Internet Explorer. Я пробоал в растройках уровень безопастности повысить, тогда страницы не открывает

kompozitor911
Посмотрите на альтернативные браузеры Mozilla Firefox и Opera но там надо пошевелить мышкой, по умолчанию реклама не режется. Есть такая программа Ad Muncher и IE менять не надо, в общем, пользуйтесь поиском по форуму и найдете массу информации по данному вопросу.

cs7 Спасибо за корову, касная вещь, хавает всю рекламу. Спасибо

kompozitor911
ага, только сжатия gzip лишаешься, но если ты не на трафике, то это пофигу
сорри за оффтоп..