» Обзор антивирусов под Windows

Насчёт модификации Вредоносами MBR - если заранее не сделать копию MBR, то восстановить её будет не так просто. Но это, в общем-то решаемая проблема на уровне Пользователей.

А вот что начнётся, когда с этого года вместо BIOS в широкие массы пойдёт UEFI, с её функционалом и возможностями Удалённого управления - страшно и подумать !

franzykman
Смешно, конечно, но там такое дерево настроек запутанное, черт ногу сломит. Конечно, она должна сниматься... но лично мне это уже до лампочки

Alice_Cooper

Цитата:

Самая лучшая самозащита, которую мне доводилось видеть - у NOD32. Я даже не нашел, как там она отключается.

Всё, я ушёл под стол, ребята. Общайтесь.

gjf
А ответь честно, сам-то каким антивирем пользуешься? Просто любопытство раздирает. Или никаким вообще?

gjf отвечает:
Зачем вообще нужны эти всякие антивирусы, если все равно все пропускают, самозащиту найти никто не может , проактивка задает нескромные вопросы. Но выход есть! Достаточно всего лишь все файлы и браузер запускать в песочнице, саму песочницу еще в одной песочнице ( P.S. винду желательно тоже в песочнице) и каждые 5 минут делать снимок EAZ-FIX. Все ведь просто и понятно как раз-два -три

Alice_Cooper

Цитата:

Самая лучшая самозащита, которую мне доводилось видеть - у NOD32

По моим наблюдениям - как раз самозащита у NOD32 далека от желаемой: слишком часто приходилось видеть полудохлые NOD32 даже на слабо-заражённых Системах. Тот-же Касперыч в этом плане, НМВ намного сильнее. Не показатель конечно, но пару раз видел патовое противостояние KIS2011 с Блокерами - справиться с ними он не смог, но и снести себя не дал.

franzykman
А ну я понял про что ты: примерно так - Returnil System Safe Free 2011 + Sandboxie + Acronis + политики Windows. Пожалуй, такой связкой можно и в самом деле без антивиря обойтись.

2franzykman

Зачем так сложно - достаточно 2х-уровней: Песочница - Виртуальная Машина !

Alice_Cooper

Цитата:

Самая лучшая самозащита, которую мне доводилось видеть - у NOD32.

Удивительно, что не Аваст

franzykman

Цитата:

gjf отвечает:
Зачем вообще нужны эти всякие антивирусы, если все равно все пропускают, самозащиту найти никто не может , проактивка задает нескромные вопросы. Но выход есть! Достаточно всего лишь все файлы и браузер запускать в песочнице, саму песочницу еще в одной песочнице ( P.S. винду желательно тоже в песочнице) и каждые 5 минут делать снимок EAZ-FIX. Все ведь просто и понятно как раз-два -три

... и главное - НИКАКОГО СЕКСА!

Ищу Антивирус на тачку с керийским фариком, каспер отпадает ибо конфликты, так какой все таки ставить?
Тачка не только серваком служит, но еще и иногда юзается не особо аккуратными юзверами

ua3vui

Цитата:

ВЫ хорошо себе представляете особенности работы всех браузеров?

Да что ...
Вы хоть расшифруйте , что оспариваете , вместо пустой многозначительности. Ума не преложу , что там вообще можно оспаривать , не необходимость кеша в самом-то деле

зы: я представляю особенности работы всех браузеров.

Mind_Meltdown

Цитата:

Какой по вашему мнению лучший продукт на сегодняшний день для microsoftовской операционки?

Пардон , если такой нашёлся бы , существование остальных лешилось бы смысла. А вообще , я не знаю , я эксплойты не пишу.

Цитата:

Выполняем ipconfig. Смотрим маску подсети. Делаем скан всех IP согласно маске. Убеждаемся, что у многих провайдеров вроде как локальной сети нет - но она есть
 
Чего вы ко мне пристали? Ну считаете, что у вас всё ОК - отлично! Продолжаем в том же духе и сравниваем антивирусы по глубине цвета главного окна и приятности звука по завершению обновления
Мне же так интереснее жить будет.

Присоединяюсь к gif наблюдал в нашей сети аналогичные заражения и на XP и на семёрке (обычно при установке полного доступа для одного из разделов).

Цитата:

Убеждаемся, что у многих провайдеров вроде как локальной сети нет - но она есть

ключевое слово "у многих"... но кто сейчас платит нормальную зарплату админам?? вот поэтому и сети такие у провайдеров стали.. голимые... у правильных перцев всё закрыто.

Samars

Цитата:

наблюдал в нашей сети аналогичные заражения и на XP и на семёрке (обычно при установке полного доступа для одного из разделов).

И поделом, нефиг давать доступ на запись всему интернету, да еще без пароля.

kolakola

Цитата:

у правильных перцев всё закрыто

Отключаем фаерволл, ждем пару минут, идем в журналы - безопасность, ищем там что-то типа:
[more=Security log]
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 04.02.2011 2:42:23
Event ID: 4625
Task Category: Logon
Level: Information
Keywords: Audit Failure
User: N/A
Computer: Andrey-PC
Description:
An account failed to log on.

Subject:
    Security ID:        NULL SID
    Account Name:        -
    Account Domain:        -
    Logon ID:        0x0

Logon Type:            3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:        
    Account Domain:        WORKGROUP

Failure Information:
    Failure Reason:        Unknown user name or bad password.
    Status:            0xc000006d
    Sub Status:        0xc0000064

Process Information:
    Caller Process ID:    0x0
    Caller Process Name:    -

Network Information:
    Workstation Name:    lQPxf2ISQgEV1bGK
    Source Network Address:    95.57.9.38
    Source Port:        12457

Detailed Authentication Information:
    Logon Process:        NtLmSsp
    Authentication Package:    NTLM
    Transited Services:    -
    Package Name (NTLM only):    -
    Key Length:        0

This event is generated when a logon request fails. It is generated on the computer where access was attempted.

The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

The Process Information fields indicate which account and process on the system requested the logon.

The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The authentication information fields provide detailed information about this specific logon request.
    - Transited services indicate which intermediate services have participated in this logon request.
    - Package name indicates which sub-protocol was used among the NTLM protocols.
    - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2011-02-03T20:42:23.637695300Z" />
<EventRecordID>673818</EventRecordID>
<Correlation />
<Execution ProcessID="528" ThreadID="648" />
<Channel>Security</Channel>
<Computer>Andrey-PC</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">
</Data>
<Data Name="TargetDomainName">WORKGROUP</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc0000064</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp </Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">lQPxf2ISQgEV1bGK</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">95.57.9.38</Data>
<Data Name="IpPort">12457</Data>
</EventData>
</Event>
[/more]
Если у вас есть шары с полным доступом, без пароля - кто-то уже возможно в них лазит... Если комп заражен, то вирус может скопироваться оттуда к вам и запуститься. Или наоборот от вас к ним...

Кстати некотрые фаерволлы, не буду показывать пальцем, в этом случае начинают орать что-то типа Сетевая атака!

Ребятки, грустно как-то: так складно рядитесь об эффективностях антивирусов, а на деле единицы знают про элементарную сетевую безопасность....

gjf

Цитата:

Ребятки, грустно как-то: так складно рядитесь об эффективностях антивирусов, а на деле единицы знают про элементарную сетевую безопасность....

Я заметил, что в последнее время твои посты состоят из офтопа чуть более чем полностью и поэтому у меня к тебе большая просьба - не мог бы ты себя хоть немного себя сдерживать и постить в топики не поток сознания, а нечто более осмысленное? Большое спасибо за понимание!

Цитата:

Я заметил, что в последнее время твои посты состоят из офтопа чуть более чем полностью и поэтому у меня к тебе большая просьба - не мог бы ты себя хоть немного себя сдерживать и постить в топики не поток сознания, а нечто более осмысленное? Большое спасибо за понимание!

А этот пост из чего-то важного по-твоему состоит?

P.S. сходи лучше поплачься модераторам, у тебя ведь это хорошо получается

Цитата:

Отключаем фаерволл,

Цитата:

про элементарную сетевую безопасность....

для того, чтобы обнаружить какое-то движение извне или снаружи, файер надо не отключать, а ставить в пассивный режим. Во-вторых, файер должен быть правильным. Конечно же, не встроенным в винду. И корпоративным. Что-то типа lan2net. Он конечно же покажет служебный трафик - быть подключенным к прову, получая ip его нутряной сетки и при этом не иметь никакого трафика - это абсурд. Для чайников и домохозяек давно существуют сервисы проверки уязвимости типа ShieldsUP! или Leader- when security matters
Вообще, я сильно сомневаюсь вообще в целесообразнсти использования файера при отстутствии выделенного ip. Кроме никчемной паранойи и воплей по поводу очередного скайпа или аськи - никакого толку. Всё это от лукавого. imho!

kolakola

Цитата:

в целесообразнсти использования файера при отстутствии выделенного ip

Не могу не согласиться, у меня ip серый, без антивируса и фаера, просто на голой винде, я прошел 4 теста, как вы называете для домохозяек (кажется в теме ZoneAlarm в шапке были), ни один мне не показал что что-то не так, все порты защищены, остальные закрыты.

Использую фаер лишь для ограничения обновлений программ, правда вот подумываю снести к черту, толку как от козла молока, тем более все атаки что он логирует, судя по адресам-это внутренние соединения по сетке из других таких же виртуальных юзеров, включен в винде протокол TCP/IP остальные выключены, поэтому все кто в сетке видят десятка 3 компов кто с ними на одной линии, но посмотреть контент этих ПК никто не может, идиоты пытаются конектиться, но без толку.

Может конечно я не прав и сейчас кто-то расскажет что я открыт для всех хакеров, но пользы от фаера не вижу, если ip выдает провайдер и он виртуальный.

Free13man

Цитата:

я открыт для всех хакеров, но пользы от фаера не вижу, если ip выдает провайдер и он виртуальный.

воистину, так! В принципе ведь, все открыты для хакеров даже с внутренним ip. От Васи Пупкина до Пентагона. Только Вася на%ер никому не нужен.. как в том анике, про Неуловимого Джо..

Цитата:

видят десятка 3 компов кто с ними на одной линии,

это, конечно, неправильно - компы не должны светиться вообще. Либо пров это оговаривает - типа "я хотел как лучше - пиринг вам на коленке сделать" Либо прову пофиг на это...

Подскажите какое мнение о NIS 2011 в сравнении c KIS 2011?

WildGoblin
Ой, кто б говорил! А тут в теме разве в последнее время что-то иное пишуть?

Цитата:

Подскажите какое мнение о NIS 2011 в сравнении c KIS 2011?

Личное впечатление - оба нормальные, но я предпочел NIS-2011, т.к. у меня с ним меньше глюков.
Акронис обязательно в помощь не забывать.
Особо ценное копировать, архивировать и пр.пр
Людям в последнее время раздаю исключительно NIS-2011. Благо с ключами нет проблем.

Цитата:

не мог бы ты себя хоть немного себя сдерживать и постить в топики не поток сознания, а нечто более осмысленное?

А ему лень. Но можно цитатой:

Цитата:

1. Антивирус должен иметь достаточное количество встроенных анпакеров и/или эмулятор для противодействия упакованным вирусам.
2. Служба вирусных аналитиков должна достаточно оперативно реагировать на новых зловредов.
3. Антивирус должен обладать достаточно продуманной системой противодействия активной заразе и самозащитой.
4. Антивирус должен содержать процедуры эффективного лечения файлов, поражённых файловыми вирусами.
5. В составе антивируса должен иметься мощный антируткит-компонент.

На данный момент такими антивирусами являются: DrWeb, KAV — абсолютное первое место, Symantec и Avast — второе, Avira, Eset, VBA32 — третье. Это собственное имхо, которое лично щупал руками и проверял. Есть ещё различные a-squared, говорят, очень сильная штука, потом Sophos — но я лично не пробовал, потому говорить не буду. Как и умолчу о тех, кто откровенно не нравится.

Скачал журнал
PC Advisor №189 (апрель 2011) / UK
http://journal.knigka.info/2011/02/03/pc-advisor-189-aprel-2011-uk.html
большой тест антивирусов,
скан о результатах теста
http://img812.imageshack.us/img812/6503/2011wr.jpg
Мои выводы,что есет мог быть и повыше,а так результат, что то правдиво похожее на тест.
Можете высказать и свои мнения будет интересно их узнать.

astorpol
Очень рад за NIS. Довольно давно (порядка двух лет) начал интересоваться тестами антивирусов, IS и их отдельных компонентов. Но всегда почему-то склонялся в пользу NIS, хотя основное время провожу в Ubuntu без антивируса.
Может дело в том, что при покупке первого компьютера в 2000 году а нем по умолчанию стоял именно NIS. Потом, конечно, было много антивирусов и IS, но это, блин, как первая любовь прям.... =)

Цитата:

Очень рад за NIS.

ОХ понабежало любителей русско-китайских мышей неловящих... Бредятину не надоело писать? Да не ловят ни симанты, не тренды, не тем более макафи нормально в российских условиях - ибо нет у них вирлабов здешних и пофиг им на нас, так как на нашем рынке они только и делают, что уменьшают свои продажи относительно конкурентов.

Это не антипиндосность - это правда.

George_S

Цитата:

Да не ловят ни симанты

Сонар много чего ловит.

George_S
Икарус кажись тоже не российский антивирус и вирлаба у них здесь тоже нет ... и по сравнению с сигнатурным детектом и быстрым добавлением в базы Икаруса, у них есть свои эффективные фишки отличный хипс сонар 3, который сам принимает решение и фолсов минимум, Norton File Insight и т.д. ... чего у Икаруса и в помине нету ...