» Обзор антивирусов под Windows

Цитата:

А драйвера hand.sys установлены?

Без понятия! Я кроме апдейтов семерки ничего обычно не ставлю из драйверов-все и так работает, извините за оффтопик, но где их взять и стоит ли?

Цитата:

В смысле? Нод и касперыч первые цели для плевков.

я лояльно к ним отношусь, просо НОД считаю чуть ниже статусом Каспера.

Цитата:

Объяснять надо почему?

Естессна нет! )) все ж и так ясно.

Цитата:

Ну я думаю ты понял о чём речь.

Of course.

Цитата:

файер комодо чудовищному количеству людей нравится и есть за что

Ну значит я в нем ничего не понял, все правила для приложений настраивал, все работало хорошо (была связка с Авирой), а вот само соединение постоянно пропадало, приходилось заново конектится... Причем как я понял по логу Аутпоста и того же НОДа, якобы атаки-запросы от провайдера через роутер, да и видно что ip в основном был внутрисетевой, мой же ip серый; но эти 2 продукта меня от сервера не отрубали, а вот Комод постоянно...

olen6
Простите, а в чём вопрос? Не нашёл разницу с описанным мною
Не удалялся, потому как

Цитата:

Файл пишет в память процесса explorer.exe вредоносный код

Цитата:

Прописывается в реестре на службах:

Free13man

Цитата:

я лояльно к ним отношусь, просо НОД считаю чуть ниже статусом Каспера.

Это дело другое. Я тоже так считаю (дядя Женя с нами сразу же согласится).


Цитата:

Ну значит я в нем ничего не понял

Вероятно. Ну так можно проконсультироваться в теме комодо, народ знающий есть. Может помогли бы. Но это если горит, хороших файеров пока хватает.

Подождите - Комод берет ХИПС-ом или определяет эвристикой? И у Комода есть ли возможность один AV ставить или только с фаером? Фаер отдельно поставить там можно, а вот антивирь?

Free13man
Цитата:

а вот само соединение постоянно пропадало, приходилось заново конектит

- если у тебя adsl то возможно комодо режет пакеты ICMP от прова .открой их и дисконнект возможно пропадет

Относительно system.exe только что пришел ответ от ЛК.

"system.exe - Worm.Win32.AutoRun.cadz

Детектирование файла будет добавлено в следующее обновление."

Free13man

Цитата:

драйвера hand.sys

Цитата:

на текущий момент чисто антивирусные технологии ВСЕХ продуктов пасуют перед свежими Вредоносами, надежда только на стойкий Проактив + Разум Пользователя.

Этот "систем". Авира ни в какую. Отдельный ХИПС говорит, что "систем хочет запустить систем (что подозрительно)" с того же места. Валяй. Ещё два раза так. Потом: "хочет внедриться в Эксплорер". На этом точка. Вроде всё, Разум победил?
Но реальность не так красива с головы до копыт включительно. Голоса1350:

Цитата:

запускает sc.exe (tool to aid in developing services for WindowsNT), потом net.exe. Тут я его грубо останавливаю

И уже поздно. После sc.exe и до net.exe "голоса" успевают втихаря создать службу. Правда, она пуста, т. к. файла уже нет, да и со стартом на "автомате" ХИПС наверное опять запросил бы, будь файл на месте. Но неуютно. К тому же, раз sc - доверенное лицо, то ХИПС не считает нужным сообщить о манипулляции с реестром.
Вывод: перевести sc.exe из доверенных в общие, и с повышенной чувствительностью к параметрам командной строки.
(а ведь это процесс, запускаемый мною ради интереса и под наблюдением изначально. А если спонтанно, в сети, там надежда и на разум, и на хороший ХИПС имеет меньше шансов на гарантированный успех)

Обновлённые Голоса - VirusTotal-2 ,детектируют уже 7 Вендоров против 15 (VirusTotal-1) на старой версии. Comodo5 удаляет Эвристиком при запуске.

Хоть и частный случай, но интересно было сравнить эти 2 Скана в плане - от каких Антивирусов Вредонос свободно ушёл от детекта при последней мутации, а от каких не смог.

На сегодняшних, свежих голосах, Eset Smart Security со свежими базами умер не задав ни одного !!! вопроса, хотя был выставлен в настройках интерактивый режим. Если фанаты ESET возразят, могу видео выложить.
Цитата:

я лояльно к ним отношусь, просо НОД считаю чуть ниже статусом Каспера.

Соглашусь, в свете последних опытов.

olen6

Цитата:

Соглашусь, в свете последних опытов.

Именно поэтому я так и написал, в последнее время мягко говоря НОД подводить стал, да и не выглядит от так серьезно как конкуренты-к примеру взять тот же Каспер

Куча экранов, смотришь и сразу чувство-ты защищен, хотя бы от того что в остальных такого нет.


Если не прав, то принимаю обоснованную критику.

Цитата:

Куча экранов, смотришь и сразу чувство-ты защищен, хотя бы от того что в остальных такого нет.

А квикхил видели?


Цитата:

да и не выглядит от так серьезно как конкуренты-к примеру взять тот же Каспер

Потому что сложый интерфейс и куча настроек куда можно полезть - эргономический враг, а Ваше самомнение не есть среднестатистический юзверь.

Добавлено:
olen6 и остальные
А Вы чего придрались к этим голосам? Психически нормальный человек захочет запускать такую программу? Оставьте эти вирусы для дебиллов - им все равно чем заражаться.

George_S

Цитата:

А Вы чего придрались к этим голосам? Психически нормальный человек захочет запускать такую программу?

тут вы не правы ! человек по натуре своей а тем более в нашей необьятной так сказать стране очень падок до халявы ,и в основной своей массе он как раз таки и воспользуется оной(т.е. халявой) захочет получить голоса от которых ему в реале возможно даже толку то и нет(но человек то думает что где то в контакте у него чего то прибавится ).....а психика тут совсем не причём, тут мораль батенька. а мораль такова что человек видя халяву решит всё таки на заведомый файлик нажать и получить заведомые голоса вот и всё.
Вы думаете тот кто рапостраняет эту хрень не понимает этого !!! отнюдь как раз таки понимает поэтому и создаёт подобные файлы и так далее.......

WatsonRus

Цитата:

Подождите - Комод берет ХИПС-ом или определяет эвристикой?

За время всей Эпопеи ("Голоса" и "system.exe") до Проактива в CIS5 дело доходило только один раз (на одной из мутаций "Голосов"). В остальных случаях срабатывал сначала Эвристик при запуске (@1), через некоторое время Эвристик блокировал Вредоноса уже в Кэше Браузера (@xxx). Вредонос "system.exe" после удаления Эвристиком при запуске, затем быстро попал сразу в Сигнатуры.

Цитата:

И у Комода есть ли возможность один AV ставить

Есть.

Цитата:

Относительно system.exe только что пришел ответ от ЛК.

"system.exe - Worm.Win32.AutoRun.cadz

Детектирование файла будет добавлено в следующее обновление."

Поздновато, вся надежда получается на сигнатуры, вчера вечером system.exe успешно запустился на KIS 2011, при включенном KSN!

dt100 13:19 22-01-2011
Цитата:

Обновлённые Голоса - VirusTotal-2 ,детектируют уже 7 Вендоров

Мне кажется, что все они гавкают исключительно на криптор/пакер, который не могут распаковать, и который по привычке автоматически сразу объявляют зловредом.

Из этих 7 трое имеют один движок BitDef и двое - Икарус. Так что реально - еще меньше.

Цитата:

Мне кажется, что все они гавкают исключительно на криптор/пакер, который не могут распаковать, и который по привычке автоматически сразу объявляют зловредом.

Кстати да, я ради эксперемента попробовал распаковать golosa_vkontakte.exe 7z'ом, там было несколько папок, и файл UPX1 без расширения. Но! Авира задетектила его не за красивые глазки (Всмысле пакер/криптор (UPX)), а за реальную угрозу. Где-то здесь я уже выкладывал лог авиры.
P.S. Было бы очень хорошо, если бы антивири, с теми вирусами, которые были задетектены по эвристике, при решении юзера отслеживали лог действий этого зверя, и отсылали вирус на проверку самостоятельно, без решения юзверя.

Цитата:

и отсылали вирус на проверку самостоятельно, без решения юзверя.

А если плата идет за трафик, ничо?

datato
17:41 22-01-2011
Цитата:

Авира задетектила его не за красивые глазки (Всмысле пакер/криптор (UPX)), а за реальную угрозу.

Авира пишет свою стандартную песню TR.Crypt\XPACK.GenX, обычную в тех случаях, когда не может распаковать. Не забывайте что зловред може быть покриптован/упакован не один раз. UPX-то она сняла, а вот дальше облом.

Само собой авира истеричка №1 (тут на ру-боард её кроют чуть ли не в каждом варезном топике). Если такой же "детект" сделать у касперыча с него слетит в самое короткое время львиная доля пользователей (у него и так проблемы в этой области имеются). Подход "всё что не знаю - всё плохое", конечно полезен в ряде случаев, но в другой ситуации (обычной вполне) архикатастрофичен. Мне авира слёту вышибла кучу кряков и кейгенов, не знает она их понимаешь. Постоянно кричала на абсолютно безобидные файлы что это страшные зловреды. Больше я к ней не возвращался
Вот за что люблю MSE крайне дружелюбен этот продукт, фолсов весьма мало, но главное если ему что-то не нравится очень легко его дёргать за поводок.

Цитата:

Авира пишет свою стандартную песню TR.Crypt\XPACK.GenX, обычную в тех случаях, когда не может распаковать. Не забывайте что зловред може быть покриптован/упакован не один раз. UPX-то она сняла, а вот дальше облом.

Да ну? А это, что просто так что ли:

Цитата:

When accessing data from the URL, "http://golos-44.ru/golosa_vkontakte.exe"
a virus or unwanted program 'TR/Dldr.Zipdri.A' [trojan] was found.
Action taken: Blocked file

datato
20:11 22-01-2011
Цитата:

a virus or unwanted program 'TR/Dldr.Zipdri.A' [trojan]

А вот это уже совсем другое дело. На Вирустотал-то Авира свою любимую фигню про Crypt/Pack пишет, посмотрите по ссылке.

Цитата:

люблю MSE

Интересные признания. Кто-то KIS любит, кто-то NOD. Опять флуд пошёл... Кряки с кейгенами убивает. Мне бы такие проблемы... Детсткий сад, право (не в обиду).

Первый раз в этой ветке в истории с голосами можно было найти действительно полезную информоцию, а нет... Нужно опять в любви признаваться MSE или ещё какой нибудь ерунде. Если пару последних страниц прочитать - он вообще беспомощная и бесполезная программа в случае с серьёзными зловредами, которые только обсуждались сдесь. И нафиг мне его "крайнее дружелюбие"?

aleksdem2
20:17 22-01-2011
Цитата:

вообще беспомощная и бесполезная программа в случае с серьёзными зловредами, которые только обсуждались сдесь

Ну, в этом случае, как выяснилось, практически все беспомощные и бесполезные программы. Кроме head.sys.

WatsonRus

Цитата:

в этом случае, как выяснилось, практически все беспомощные и бесполезные программы.

Так нужно искать приемлемые варианты, а не в любви признаваться бесполезным поделкам.
Песочницы, HIPS... да что угодно...

aleksdem2

Цитата:

Интересные признания. Кто-то KIS любит, кто-то NOD. Опять флуд пошёл... Кряки с кейгенами убивает. Мне бы такие проблемы... Детсткий сад, право (не в обиду).
 

Ну что поделать в детском саде тоже ПК нужны, а вам если вы такой не...тся взрослый советую поискать топик без флуда и без детей. Сразу полегчает. Я вот люблю MSE - отличная программа. И ещё у меня прорва вареза (как и у большинства рубордовцев, да и не только), поэтому я ненавижу истеричку авиру и ещё ряд продуктов аля эта самая истеричная файловая дробилка.


Цитата:

Первый раз в этой ветке в истории с голосами можно было найти действительно полезную информоцию, а нет... Нужно опять в любви признаваться MSE или ещё какой нибудь ерунде.

Может все слова твои ерундовина? Вот если принять это как факт - так сразу всё на свои места становится. По поводу "голосов" я уже написал что, как и почему - почему его одни детектят так, а другие по другому. Те кто имеют глаза и уши - услышали и увидели. Ну а те кто не имеют, явно не из нашего детского сада. Им похоже нужна сразу очная ставка с производителем "подарков" аля голоса.


Цитата:

Если пару последних страниц прочитать - он вообще беспомощная и бесполезная программа в случае с серьёзными зловредами, которые только обсуждались сдесь. И нафиг мне его "крайнее дружелюбие"?

На "паре последних страниц" MSE упоминали как раз пару раз и причём человек упоминавший более-менее развёрнуто указал, что данная софтина его весьма порадовала (это в том случае когда в кеше оперы MSE нашёл вредителей после проверки рядом других АВ). Можно ссылку на последние две страницы с обсуждением того что "он вообще беспомощная и бесполезная программа в случае с серьёзными зловредами"?

MSE, радует, так как бесплатен, да еще и винду на валидность проверяет, заботится о своих пользователях!


Цитата:

это в том случае когда в кеше оперы MSE нашёл вредителей после проверки рядом других АВ

Но в упор не видел авторанов и активных вирусных процессов в системе...

Samars

Цитата:

советую поискать топик без флуда

Вы советы давайте кому нибудь другому.

Цитата:

по поводу "голосов" я уже написал что, как и почему

Да все как-то и без Ваших пояснений поняли, что любимые Вами MSE, KIS, NOD оказались действительно беспомощными.
И Ваша безграничная любовь им совершенно не помогла.

Цитата:

Можно ссылку на последние две страницы

Да полистайте топик. Люди сто раз выкладывали ссылки на VirusTotal. Я же говорю, чем так обильно изливать свои чувства, лучше читайте внимательно то, что люди пишут.

aleksdem2

Цитата:

Песочницы, HIPS...

Все это хорошо конечно. Но...
Пользователи класса "Домохозяйка" таким софтом пользоваться все равно не сумеет. Я один раз поставаил Comodo Firewall знакомому, через два дня пришлось ехать убирать. Закрыли сами себе выход в инет.
Нормальным людям и в голову не придет такую дрянь , как голоса у себя на компе запускать.
Остаются только экспериментаторы, которые специально будут запускать это г. у себя на компе типа "для проверки". И рассылать по "любимым" лабораториям, чтоб быстрее добавили. Разрабы этого вируса наверное катаются под столом читая этот топик. Щас как 10 вендоров будут детектить, перепакуем и зальем поновой.
Специалистам и просто квалифицированным пользователям MSE или любого другого средней нормальности антивируса будет достаточно. Просто для того чтобы что-то случайно не попало с чужой флешки например.
Кроме того установка дополнительной защиты связано с расходованием системных ресурсов, конечно если у вас Corei7 + 8Gb RAM вы можете поставить хоть что. А у меня например P4 + 2Gb RAM, если я поставлю каспера то у меня система скончается в конвульсиях. Установка того же комода вызывает 50% загрузку процессора. Нафиг мне оно надо? У меня MSE/Forefront стоявшие последние 5 лет нашли около десятка вирусов (половина в варезе, половина на чужих флешках). Кроме того я просто не переношу, когда антивирус/фаерволл начинают заваливать меня окнами типа а можно запустить это? А это можно это выпустить в инет...
И уж на самый крайний случай всегда есть бекап не более чем недельной давности.

aleksdem2

Цитата:

Вы советы давайте кому нибудь другому.  

Ты как раз подходящий человек для этих советов. Они тебе если что и адресовались.


Цитата:

Да все как-то и без Ваших пояснений поняли,

Без моих объяснений понял только ты. А не понял после них тоже только ты.


Цитата:

что любимые Вами MSE, KIS, NOD оказались действительно беспомощными.

В смысле любимые? Любимый у меня один продукт - MSE. Если будет подводить то избавлюсь от него.


Цитата:

И Ваша безграничная любовь им совершенно не помогла.

Этим продуктам моя или чья-то любовь по барабану, последние два и так наиболее популярные антивири.


Цитата:

Да полистайте топик. Люди сто раз выкладывали ссылки на VirusTotal.

Уважаемое трепло, я вам конкретно указал

На "паре последних страниц" MSE упоминали как раз пару раз и причём человек упоминавший более-менее развёрнуто указал, что данная софтина его весьма порадовала (это в том случае когда в кеше оперы MSE нашёл вредителей после проверки рядом других АВ).

и потом конкретно просил ссылку у вас -

Можно ссылку на последние две страницы с обсуждением того что "он вообще беспомощная и бесполезная программа в случае с серьёзными зловредами"?

До тебя туго доходит? Ссылку на свою бредятину давай.


Цитата:

Я же говорю, чем так обильно изливать свои чувства, лучше читайте внимательно то, что люди пишут.

Я крайне внимательно читаю - то что люди пишут, а не "взрослые дяди не из детсада" типа тебя.

Andrey100KZ

Цитата:

Специалистам и просто квалифицированным пользователям MSE или любого другого средней нормальности антивируса будет достаточно.

Согласен. Даже более того - специалистам не особо антивирусы вообще нужны.
Со всем остальным вообще полностью согласен. И даже с этим:

Цитата:

Нормальным людям и в голову не придет такую дрянь запускать

Только вот "нормальность " эта - понятие очень относительное и далеко не всем присущее...
А защищать приходится всех. (И не только в сфере информационных технологий). Вот и обсуждаем сдесь всевозможные варианты.

Добавлено:
Samars
Знаешь, я не буду с тобой общаться. (Заметь, я уже "ВЫ" не пишу). И ругаться с тобой не буду. И ссылки давать тебе никакие не буду. Запомни только, что грубить - нехорошо. Этому учат именно в детском саду ещё, но тебе явно не повезло.