» Обзор антивирусов под Windows

romutis

Цитата:

и на нем DrWeb не работает

Это как? Можно пояснить?
PS

Цитата:

показалось мне прожорливым мастодонтом (в плане ресурсов).

Поддерживаю.

AlexIva


Цитата:

Это как? Можно пояснить?

Винда х64, на которой веб работает только очень частично - без спайдера, например.

Цитата:

Винда х64, на которой веб работает только очень частично - без спайдера, например

Угу, нет реал-тайм защиты - считай, что совсем не работает. Я не могу заставить детей каждые пять минут делать полную проверку огромных дисков.

MrThief
romutis
Уже понял. Не знал.

romutis
Насчёт прожорливости касперского уверен? Допустим у меня на домашнем компе с Win2K и KIS7 два процесса "avp.exe" занимают в общей сложности около 8 Мб оперативы и 2-10% мощности проца (Athlon XP 1800).
Если не слушать молодёжь которая не видела в жизни ни одного заражённого компьютера,а только научилась читать так называемые "независимые тесты" "так называемого независимого Virus Bulletin`а", то действительно кроме Касперского лучше защиты я пока не видел. Единственный их аргумент это что "не тормозит". Но скорость - это основной показатель при выборе гоночного автомобиля а не антивируса. Да и служба вирусного мониторинга у них работает быстро, если почтовый сервак не перегружен. Самое быстрое, когда они среагировали на присланный мной образец составляет 6 минут. Сначала ответили аналитики Касперского, потом через 1 минуту аналитики Веба. Это самое быстрое время реагирования. Иногда ответ на образцы не приходит несколько суток, но это время я связываю с загруженностью почтового сервера.
И ещё наблюдения из жизни: я работаю в фирме обслуживающей компы физиков и бесхозных юриков, и по несколько вирусёвых компов в день приходится видеть. На 4 из 5 заражённых компов стоит NOD (который как оказывается в процессе беседы с владельцем установили юные тела научившиеся читать и восторженно пересказывать прочитанное остальным). После лечения я на все машины ставлю лицензионного Касперского или Веба, и на этом их проблемы с вирусами заканчиваются. По производительности нареканий не было, даже на древних машинах с 256Мб оперативы. Заражённые машины с Касперским я за последний год видел всего два раза: один раз в декабре 2008г. когда бушевали китайские вирусы, которые я вручную отлавливал по 4 часа забив при этом на остальных клиентов... И около месяца назад, когда на комп с Касперским проник свежий билд трояна блокирующего систему с требованием отправить СМС на короткий номер...
Из опыта прошлого могу поделиться что ребят из техотдела я отучил от Нода после случая когда клиент сдал вирусёвый комп на лечение, потом пошёл ко мне в отдел софта и купил лицензионный Веб. Когда после установки веба с базами недельной давности он нашёл несколько активных троянов клиент потребовал объяснений...
В итоге после того как ребята из техотдела пару раз объяснили клиентам как у ёжиков процесс совокупления происходит, пелена с глаз упала.

А вот вам всем моё имхо по последним событиям.

Недавно лечил машину, заражённую Confickerом. Так вот - на неё стоял новенький НОДик, который даже не подозревал про вирусню. CureIt тоже нашёл неcколько Downloaderов, но их источник так и не нащупал. Пришлось руками давить, через AVZ, по старинке...

Образцы принёс домой, выключил КИСу, установил - как полагается, убедился, что прижились, включил КИСу. Ну скажем прямо - по Kido у Каспера не лучший показатель, пришлось перегружатся, в конце концов чуть-чуть подчищать вручную, но радовало одно: КИСа орала не переставая. А это - уже показатель. Подтянуть механизм лечения - это уже дело времени.

А теперь добавим ситуацию, что даже и не орёт - ну нету такого в сигнатурах, ну обфусицирован так, что и "евристик" не справляется - ну так думать надо, ХИПС орёт, что службу тебе внедряют, что запускаться кто-то хочет, что драйвер скрытым образом грузят - всё это может на любом шаге воспрепятствовать заражению. А заразится - есть надежда, что файер не позволит траффику ползти. Всё вместе, всё радует.

Если у них и "облако" получится достойное - Каспер малой сапой пойдёт очень далеко.

Хотя минусы очевидны: с ресурсами он безусловно шалит, иногда сильно подтормаживает. Ну дык на то руки с мозгами, чтобы разумно политики защиты выставить.

gjf


Цитата:

ну так думать надо, ХИПС орёт, что службу тебе внедряют, что запускаться кто-то хочет, что драйвер скрытым образом грузят - всё это может на любом шаге воспрепятствовать заражению. А заразится - есть надежда, что файер не позволит траффику ползти. Всё вместе, всё радует.

Само по себе - радует. Не радуют пользователи стандарта "домохозяйка". Вот не далее чем вчера - сестра запускала что-то на ноуте, где установлен комод с включенным Defense+. Комод вывалил окно, потом еще одно, но ему мгновенно, абсолютно не думая и не читая что там написано отвечали "да-да, конечно, все можно".
Когда такое видишь - хочется чтобы в ХИПСах был режим "запрещено все что не разрешено". Т.е. создал правила на разрешенные приложения, и все остальное идет лесом. А когда вдруг выяснится что не устанавливается новая игрушка или последний билд квипа - доставать из рукава ответ "А кто мне говорил что не хочет забивать мозги компьютерной фигней?" и посылать.

MrThief
Если бы нас окружали хотя бы юзеры, а не ламеры - вирусов бы не было.... © Какой-то знакомый админ

Regsnap
С точностью наоборот - наблюдаю постоянно ситуацию у себя на фирме и других подконтрольных организациях - Каспер в упор не видит то, что видет НОД. При этом по статистике никак не 50/50, а 80/20 в пользу НОДа...

Для тех кто на бронепоезде - могут отматать десяток страниц и вспомнить, что использую связку NodBE+КасперСОС уже более двух лет - и за свои слова отвечаю(по поводу ловли).
Теперь по поводу тормозов - это личное дело каждое - но Вы сначала сравните практикой и поймете, что скорость тоже имеет значение! Особенно когда работают не секретутке на ворде, а дизайнеры со своим софтом. Да 2009-я версия стала быстрее - но не сильно.

MrThief

Цитата:

Когда такое видишь - хочется чтобы в ХИПСах был режим "запрещено все что не разрешено". Т.е. создал правила на разрешенные приложения, и все остальное идет лесом.

Вот поэтому неискушённым в сетевых технологиях домохозяйкам и подобным им лузерам лучше не ставить решения с интегрированным файерволом или ХИПСом. Иначе делов натворят... Сколько раз вызывали потому что в файерволе заблокировали всю сетевую активность...
Вообще в последнее время благодаря стараниям сраного отдела "К" грамотность населения резко упала...

Добавлено:
George_S

Цитата:

Теперь по поводу тормозов - это личное дело каждое - но Вы сначала сравните практикой и поймете, что скорость тоже имеет значение! Особенно когда работают не секретутке на ворде, а дизайнеры со своим софтом.

Если секретутки на ворде и дизайнеры работают на одном и том же железе, то да, а вообще для дизайнеров в природе существуют компы класса "графическая станция", и по цене они "немного дороже" чем офисные печатные машинки. Правда не все руководители фирм это понимают...

Regsnap


Цитата:

Вот поэтому неискушённым в сетевых технологиях домохозяйкам и подобным им лузерам лучше не ставить решения с интегрированным файерволом или ХИПСом. Иначе делов натворят... Сколько раз вызывали потому что в файерволе заблокировали всю сетевую активность...

А что делать? Ждать пока их забанит пров за рассылку спама ботом, которого по чистой случайности не заметил установленный самый правильный антивир (на который уже год как протухла лицензия, но это же окошко мы тоже закрываем не читая, верно?) ?
Но вообще - вы невнимательно прочитали то, что я написал. Запрещено все, что не разрешено. Это значит что никаких вопросов и возможности заблокировать сеть.

Ставил триальный KAV 2009 (были подозрения на вирусы).
Вирусы не нашлись, а раз уж поставил и получил бесплатный (пробный) месяц - решил не удалять.
Только отключил всяческую активность - в плане выключил все сканеры и защиты.
Интересно вот что (и плюс программе и минус одновременно) - при ОТКЛЮЧЕННОЙ защите (всех видах) KAV периодически покрикивал на подозрительные файлы.
До сих пор не могу понять как это у него получалось - будучи отключенным таки мониторить диск.

3ABP
Проверку объектов автозапуска KAV выполняет при запуске приложения, т.е. один раз в день при старте компьютера, даже если защита отключена.
А защиту ты наверное зря отключил, она тебя ещё не раз спасёт. Если денег на лицензию не хватает - зайди на Варезник...

Цитата:

Если денег на лицензию не хватает - зайди на Варезник...

Или легализуйся
http://www.kaspersky.ru/legal

MrThief

Цитата:

Запрещено все, что не разрешено.

Это - идеальная политика при настройки рабочих станций администратором. Но вы забываете, что большинство "домохозяек" не имеют на работе даже такой должности - "администратор", а с кризисом IT-специалистов сократили ещё больше.

И какой антивирусный вендор согласится, чтобы на него потом писали рекламации, что "с вашим антивирусом у меня не отображаются странице со скриптами, не запускаются файлы и не устанавливаются драйвера принтеров"?

sereja8

Цитата:

http://www.virustotal.com/ru/analisis/71ea8fb8d402a48e00369b98ce919157

Это мне моя подруга скинула, причём сказала что сама писала, я ещё ей перезвонил думал не она, круто.

rapidshare.com/files/227014978/foto334.scr.html (Для теста)

Решил скачать и попробовать. Поставил на виртуальную машину - результат на скрине. Лечится удалением пункта автозагрузки и самого файла С\Windows\lsasss.exe (Название похоже на системный файл lsass.exe, который в System32).

sereja8, молодец у тебя подруга, все авторитетные антивирусы молчат в тряпочку. Может принимают это за программу-шутку?

olen6

Цитата:

Поставил на виртуальную машину

1. Что значит поставил? Скопировал в С\Windows\ и запустил? Или он сам по себе может запускаться?
2. Кроме антивиря, у тебя стоит HIPS, который не задал никаких вопросов при запуске этого файла?

Цитата:

1. Что значит поставил? Скопировал в С\Windows\ и запустил? Или он сам по себе может запускаться?
2. Кроме антивиря, у тебя стоит HIPS, который не задал никаких вопросов при запуске этого файла?

1.Вирь имеет расширение *.scr (скринсейвер), т.е. я только скопировал его в System32 и выбрал в свойствах экрана эту заставку. Можно просто сделать двойной клик мышкой на этом файле - эффект тот же. После всех этих процедур в папке Windows появился файл lsasss.exe. Но про появление этого файла я узнал, когда система слетела и я стал лечить её с Live-CD. Сам вирь естественно не запускался и не запустится, я его запустил.
2.На реальной системе стоит ESS с последними базами и не задал ни одного вопроса. Не понял вопроса про HIPS? Может расширенная эвристка? Так она включена.

olen6
Цитата:

Поставил на виртуальную машину - результат на скрине. Лечится удалением пункта автозагрузки и самого файла С\Windows\lsasss.exe

У меня похожая бяка была, только там были файлы ovfthx... один в sys32/drivers, и штук пять еще в sys32. Аваст на нее среагировал, попросил удалить бяку и отправить образец для исследования. Файлы эти Хрюша не видела, только через Everything, их нашел, но они не удалялись, и вообще не кликались. Возможно, даже если и удалил их, то на диске ошибки бы появились.
Я ничего удалять не стал, решил посмотреть что будет, - юмор был в том, что блокировались CD/DVD приводы, - даже автозагрузка с них не работала. С моей стороны тоже был юмор, в моем стареньком мобильнике нету такой опции - откравка SMS. Получалось так, - запускаешь комп, а там такая вот картинка, только красного цвета. И приписка, что любая попытка избавиться от этой „радости“, приведет к повреждению компа и файловой системы.

Regsnap

Цитата:

Насчёт прожорливости касперского уверен?

Написал же, что не знаю Касперского, был долгое время счастлив с DrWeb, но вот приходится менять. Опять же - на что менять? На каспера? На какой-то другой антивирус? А иметь на каждый комп дома отдельную лицензию от отдельного производителя антивирусов - как-то черезчур.

olen6

Цитата:

rapidshare.com/files/227014978/foto334.scr.html

Он у тебя ещё живой ??? Выложи ещё раз, но заархивируй и поставь пароль на архив.
А то его каспер уже грохает ....

romutis

Цитата:

был долгое время счастлив с DrWeb, но вот приходится менять.

Почему ?

Цитата:

Почему ?

Я писал 2 страницы назад, что DrWeb не работает на винде-x64.


Цитата:

Купил новый комп, на котором стоит Vista x64, и обнаружил, что DrWeb 5.0 на нее не ставится, а старый DrWeb 4.44 - ставится без спайдера, что сводит его полезность к нулю.

Цитата:

Он у тебя ещё живой ??? Выложи ещё раз, но заархивируй и поставь пароль на архив.
А то его каспер уже грохает ....

Да, каспер уже грохает, но остальные "авторитеты" молчат по-прежнему: Norton, NOD,DrWeb,BitDefender,Panda...
Перезаливаю для тех, кому интересно. Пароль: ru-board Осторожно - это вирус

Цитата:

sereja8, молодец у тебя подруга, все авторитетные антивирусы молчат в тряпочку. Может принимают это за программу-шутку?

Ещё в папке Windows появляется файл exploree.exe тоже вирус+темповский файл в папке виндоус лежит на всякий пожарный.

Добавлено:
olen6

Подруга сказала что можно сотни разновидностей сделать этого вируса. Мол на сегодняшний день он самый активный после кидо. Сам сижу роюсь в нём сейчас.

Цитата:

Да, каспер уже грохает, но остальные "авторитеты" молчат по-прежнему: Norton, NOD,DrWeb,BitDefender,Panda...

А Avira AntiVir видит?
А то после того как Kido на работе сквозь KIS и NOD32 пролезал как сквозь масло, поставил Aviru, а реально ее действие пока никак не проверю, как-то без вирусов с флешками все приходят.

http://rapidshare.com/files/228403881/___________WinRAR__2_.rar.html пароль стандартынй.

А существуют портабельные версии антивирусов, которые можно обновлять?
Вроде раньше в форуме видел обсуждение на подобную тему, а сейчас найти не могу.

A_OLENI_LUCHSHE
http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=25807&start=120

sereja8
У тебя мысль не стоит на месте. Эти вири ведут себя совсем по-другому, запуская больше сотни bat-файлов (opera.bat,yahoo.bat и т.п.). Система тормозит, открываются куча окон, но вроде бы работает.

Midasslav
Цитата:

А Avira AntiVir видит?

Avira видела всё с самого начала, подумываю перейти на неё.

olen6

Цитата:

Не понял вопроса про HIPS? Может расширенная эвристка?

Нет. HIPS не пропускает или задает вопрос по любой (в идеале) необычной активности на компе. Например, если скринсэйвер начал создавать файл в sys32, то ХИПС должен (в зависимости от его разновидности и настроек) спросить у админа разрешения на это действие. Необычное действие можно заблокировать и потом уже разбираться с породившей его программой.