» Malware Defender (360.cn)

Сегодня протестировал Windows 8 Consumer Preview, при запуске MalwareDefender 2.8.0.1
система уходит в перезагрузку и далее не загружается. Но зато версии 2.6.0 и 2.7.3.2 работают как обычно.

Malware Defender full portable 2.8.0.1 rus
Относительные пути к rules.dat ipdatabase.dat в MalwareDefender.ini
http://s019.radikal.ru/i612/1203/49/3e92e9be9ad6.jpg
http://dump.ru/file/5671347

Чтобы добавить в портабле версию свои правила и базу IP адресов нужно открыть архиватором, например winrar, MD_portable_rus_2.8.0.1.exe и добавить в содержимое папки MD_portable_rus_2.8.0.1 файлы rules.dat и ipdatabase.dat.
Для полного удаления установленной портабле версии нужно выполнить Uninstall.exe.
Выкладываю сборку с уже добавленной актуальной версией базы IP адресов и правилами ранее выложенных мной.
http://dl.dropbox.com/u/39341929/MD_portable/MD_portable_rus_2.8.0.1_edit.exe

64bit windows7 не поддерживается вообще?

o4frb

64bit не поддерживается(

SovaRu
Спасибо за сборку работает отлично но: я сижу под пользователем MD не запускаетса вместе з системой "7" а под админом запускаетса. Как решить то?

the page where MD got its IPdatabase from stopped updating in 2010. Alternatively you can download IpToCountry.csv.zip from here:
http://software77.net/geo-ip/?DL=2&x=Download

+ remove the comments (lines starting with #).

use CSVed to:
- delete Columns 3 and 4
- in CSVed options, select "Save CSV File with Double Quotes"
- save the file as csv.

+ import with Malware Defender (options - ip database - update ip-to-country database)

MD displays the last quote of every entry (f.e. Netherlands" instead of Netherlands). this can be corrected by removing the last character of every line.

Here's the modified CSV from today (120609.csv):
http://rghost.ru/38579413

А кто-нибудь из присутствующих бывает ли на оффоруме регулярно и/или может ли связаться с разрабами? Хотелось бы внутренний формат файла правил узнать.

Добавлено:
Somebody able to contact with developpers? I need an internal format of rules.dat file.

HENDELF

Цитата:

я сижу под пользователем MD не запускаетса вместе з системой "7" а под админом запускаетса. Как решить то?

Под пользователем MD запускается и работает, но только как служба, это значит, что все что не разрешено в правилах под администратором - будет блокироваться под пользователем.

SovaRu
Глуп я, все работает Спасибо.

Дополнительные правила MD одним файлом v1.5 (для всех версий)
[more=прочти]
Дополнительные правила в группу "Расположение автозагрузок-II"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*file\shell\runas\command\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VBA\Monitors\*; CLSID
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\*\*
*\AppId\{????????-????-????-????-????????????}; DllSurrogate
*\http\shell\open\ddeexec\*
*\Software\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs\*
Common Startup *\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders; Common Startup
*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders; Common Start Menu
*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders; Start Menu
Common Startup *\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders; Startup
*classes\ftp\shell\open\command\*
*\SOFTWARE\Classes\mailto\shell\open\command\*
*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini; load
*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini; run
*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini; winlogon
*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot; shell
*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders; Common Startup
*\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS; IGDSearcherDLL
*\SOFTWARE\Microsoft\Rpc\Extensions; RemoteRpcDll
*\Software\Microsoft\Windows NT\CurrentVersion\Accessibility; Configuration
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings; ProxyServer
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings; ProxyEnable
*\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup\*
*\Software\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Scripts\Startup\*
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections; DefaultConnectionSettings
*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections; SavedLegacySettings
*\SYSTEM\CONTROLSET???\Control; ServiceControlManagerExtension
*\SYSTEM\CONTROLSET???\Control\LsaExtensionConfig\LsaSrv; Extensions

Дополнительные правила в группу "Параметры безопасности"
HKEY_LOCAL_MACHINE\System\ControlSet???\Control\EarlyLaunch\*\*
HKEY_LOCAL_MACHINE\System\ControlSet???\Control\EarlyLaunch\*\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet???\Services\SharedAccess\Parameters\FirewallPolicy\*\*
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\*    
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\*\*    
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\*\    
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\SystemCertificates\*\*    
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\SystemCertificates\*\    
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet???\Control\Network\*\*    
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet???\Control\Network\*\    
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet???\Enum\Root\*\*    
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet???\Enum\Root\*\        
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet???\services\*\*    
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet???\services\*\    
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\*    
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\    
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\*\*    
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\*\    
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Security Center\Monitoring\*\*    
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*\*    
[/more]
http://dl.dropbox.com/u/39341929/Rules/general_rules/more_rules_v1.5.dat
Добавлено:
Portable
http://dl.dropbox.com/u/39341929/MD_portable/MD_portable_rus_2.8.0.1_edit_1.5.exe
P.S. В сборке ip база от пользователя ajapaja

Доброго времени господа хорошие;как "правильно" удалить сие чудо с компа..(вырубил в процессах,драйвер удалил,снёс через Рево унисталлер а чёта не то с компом.даже винду переустановил)...

o16rus
Если Винду переустановили, зачем мучиться уже этим вопросом? Ответа на него уже не найдется...

o16rus, это называется "удалять гланды через ж"

Правильно (и совершенно бесследно!) "это чудо" удаляется так:
1. Открываем МД
2. Тулз - Опции - Общие - отключаем автозапуск с Виндоус
2. Файл - Выход - ставим галку Стоп риалтайм протекшн
3. Менеджер у-в - Вид/Показать скрытые - Ветка "Не-ПнП у-ва" - mdcore - Удалить
4. Удалить папку программы
5. Ребут

Цитата:

o16rus, это называется "удалять гланды через ж"

Это точно))))

Перезалейте пожалуйста русифицированный файл справки (без русифицированного экзешника, если можно )
Спасибо

DimitarSerg
Держи.

А в чем вообще привлекательность этой программы, когда существуют такие вещи, как Аутпост и Комодо?

Kristallite

Цитата:

когда существуют такие вещи, как Аутпост и Комодо?

Например тем, что она не монструозное Г? И более узкого профиля.

Такие высказывания о всемирно известных топовых продуктах ничем иным как монструозным троллингом не являются. Зачем марать форум подобными "ответами"?

Кисо, ты спросило и тебе ответили, а если ответ не нравится, то это уже личные проблемы. А то начнём ща пуржить про всемирную известность, топовость, и вообще ни буквы критики и как о покойниках только хорошее...
А ответ дан субъективно окрашенный, но по сути -- правильный.

Portable
1. Исправлено в файловых правилах - защита не только файлов, но и папок (с целью предотвратить возможность переименования защищенных каталогов и их последующего копирования)
2. Добавлены правила для explorer, и svchost для предотвращения доступа к защищенным каталогам
3. Создание новых заданий в планировщике, будут вызвать оповещение
4. В разделе исполняемые файлы удалены дублирующие правила
5. Добавлены глобальные сетевые правила для браузеров и почтовых программ
Скачать

Каждый раз при загрузке предлагает загрузить Kernel Symbols, из проги не качает, скачал вручную ~200Мб

скачал отсюда http://msdn.microsoft.com/en-us/windows/hardware/gg463028.aspx
поставил, но опять же при старте системы предлагает мне скачать эти симболс.
Вопрос, что с этим делать ?

#pragma telepathy=on
у DimitarSerg или 7 или Свиста

---

При первом запуске предлагает загрузить Kernel Symbols, качает сам (правда, не всегда сразу -- если ИЕ вдруг перешёл в "работать автономно", то нужно его запустить и эту фигню отключить), раз в месяц после выхода и установки обновлений при следующем старте снова предлагает скачать и за минуту-другую скачивает.
А ось мою -- нискажу! Для следующих телепатов

VitRom
ОС WinXP SP3 Eng

Потому и спрашиваю, что у меня из самой проги не идет скачка, всегда получаю Error

Цитата:

из самой проги не идет скачка, всегда получаю Error

Тоже долго ломал голову над этим, пока не запустил ИЕ, а там в статусе "Автономный режим". Выключил -- и как бабка отшептала, всё сразу загрузилось.
Похоже, сабж грузит символы не сам напрямую, а через системные компоненты.

Добавлено:
ЗЫ. И как раз на XP

VitRom
Да не, с этим всё в норме.
Почитал о скачке этим символов отладки тут http://support.microsoft.com/kb/311503/en
Посмотрел в отладчике, увидел, что по такому принципу оно и качает

Цитата:

Stack address=0367FF18
ECX=0265A2B0, (ASCII "srv*c:\program files\malware defender\symbols*http://msdl.microsoft.com/download/symbols")

но почему ошибка при скачивании - всё равно пока не понял, разбираюсь.

ADD
Проверил на чистой ВМ, всё в норме, видать лечение последнего вируса на реальной системе дорго обошлось + с небольшими последствиями.

p.s. Очень классная вещь как альтернатива антивирям (без которых уже продолжительное время) + для меня еще один подход для изучения зловредов на ВМ.

мало того что лучшее антивирусное решение, так ещё и лучший фаервол.
на примере того же svchost.exe:
разрешил все исходящее udp, остальное отпилил и вуаля!
красотища.
молча уже о том, что можно сотворить с обычными приложениями.

но чтобы обратили внимание на эту красавицу, нужны дополнительные сетевые правила хотя бы для системных приложений. чтобы пользователь не перехимичил с портами.
и слез с попсятины, "золотого голоса россии", шарманки оутпоста или чего там ещё.
а то в теме "Лучший firewall 2012 года" одна билановщина и понаётовы.
а меркьюри в уголку распевается, ещё неизвестный и непризнанный.

folta

Цитата:

мало того что лучшее антивирусное решение, так ещё и лучший фаервол.

+1
Единственное только имхо, немного не хватает показа скорости (ну или объёма) по каждому соединению. А то не видна интенсивность сетевой активности - непонятно идёт обмен данными или нет.

Попробовал portable - вылезло окно:



Поставил англ. версию - то же самое.

Что я делаю не так?