» Обзор антивирусов под Windows

HarDDroN
1. Сама по себе папка Recycler - нормальное явление. Но в ней действительно может сидеть вирус.
2. Вирус запускается посредством autorun.inf в корне. Без него он - мусор, дохлый и бесполезный.
3. Зачастую с вирусом идут всякие библиотеки, дат-файлы и прочее. Без самого тела вируса они никакой опасности не несут. Удалять их или нет - дело аналитика, пишущего процедуру удаления вируса. Понятно, что у каждого вендора это - своя процедура. так вот, то, что немцы решили безопасным - чехов могло повергнуть в шок. Адекватно ответить можно только в случае, если бы вы привели здесь, что именно посчитал опасным ESS.

gjf
К сожалению привести то, что ESS посчитал вирусом не могу - бил быстро и насмерть. Но помню, что конфикер был именно в папке Recycler, НО никаких
Цитата:

autorun.inf в корне

не было!


Добавлено:
Я даже пока ту флешку вставить не хочу
Хотя чего я боюсь - у меня ж есть комодовский D+... Пошел вставлять...

HarDDroN
Цитата:

autorun.inf в корне не было!

На сколько знаю Avira может при определенных настройках не трогать флешку и вирусы пока не будет взаимодействия с ними.

Цитата:

Но помню, что конфикер был именно в папке Recycler

Возможно это были остатки
Цитата:

Зачастую с вирусом идут всякие библиотеки, дат-файлы и прочее. Без самого тела вируса они никакой опасности не несут. Удалять их или нет - дело аналитика, пишущего процедуру удаления вируса.

Цитата:

Авира Фри

Ну и что? У меня точно та же версия; НО при операциях с флешкой, особенно чужой, смотрю в корень - ведь показ скрытых файлов и папок включен, надеюсь? Потом смотрю на все папки с видом "детали", потому что

Цитата:

НО никаких
Цитата:
autorun.inf в корне
не было!

- вполне может быть, некоторые АВ определяют некоторые аутораны, даже минимального размера, и удаляют - честь им и хвала, - но могут в упор не видеть сопровождающих, как правило, скрывающихся в скрытых папках;
...и потому, что:

Цитата:

Вирус запускается посредством autorun.inf в корне. Без него он - мусор, дохлый и бесполезный.

- конечно, но вчера друг принес свою флешку. На ней был ауторан в 58 кб (определяемый всеми, но он посчитал, что лучше посмотреть мне), разные конфикери и бузусы в "ресайклере", "рэсторе" и "конфиге", несколько приложений с именем папки обитания, и ещё несколько, имеющих стандартный ярлык папки. В последнем случае это не мусор, а пороховая бочка.

gjf

Цитата:

1. Сама по себе папка Recycler - нормальное явление. Но в ней действительно может сидеть вирус.

На съемных дисках (флешки, дискеты и тд) Винда никогда не создаст папки RECYCLER, RECYCLED, System Volume Information (да еще скрытые) - поэтому на флешках смело давите эти папки: там вирус

Erekle

Цитата:

В последнем случае это не мусор, а пороховая бочка

Верно. Если он - исполняемый. А если библа - то вряд ли её кто-то сможет прикрутить даже с большим желанием

А вообще речь идёт фактически о дроппере Кидо, поскольку когда он активен - там запускаемых файлов значительно больше и они совсем в других местах А потому в этом случае лечение - тупо прибить autorun и всё, что может запускаться (а это не только exe). Если этот минимум антивирус не лечит - то это не лечение, а рукоблудие.

Добавлено:
serg53
Спорим может?

gjf

Цитата:

Спорим может?

Это как? Ни разу не видел такого на чистой Винде

serg53
В некоторых BIOS можно задавать как распознавать USB носители. Некоторые типы: CD-ROM, HDD. При указании типа HDD флеха распознаётся как диск, Винда немедленно создаёт на ней папки Recycled (FAT32) или Recycler (NTFS). Ну и поддержка Корзины и всё такое

При использовании переносных винтов эта фигня наступает практически у всех - редко, когда винт распознаётся как обычная флеха. А так как втыкают его в разные системы - то и получается пара Recycler и Recyled. Сам являюсь обладателем такого чуда и когда-то тоже всё охотился за вирусами - потом покурил маны и просёк.

gjf

Цитата:

При использовании переносных винтов эта фигня наступает практически у всех - редко, когда винт распознаётся как обычная флеха. А так как втыкают его в разные системы - то и получается пара Recycler и Recyled. Сам являюсь обладателем такого чуда и когда-то тоже всё охотился за вирусами - потом покурил маны и просёк.

USB винты определяются виндой как обыкновенные диски - отсюда создаются папки "техподдержки". На такие BIOSы не нарывался (не обращал, видимо, внимания). Ладно, завязываем оффтопить...

Цитата:

речь идёт фактически о дроппере Кидо,

Может быть; в данном случае, кроме Кидо, это были Worm.Win32.AutoIt.af ("First received: 2008.11.13"; возможно, параллельно работали: папка Рециклер, в нем файл Рециклер и внутренняя системная папка обычного Рециклера, в последнем - удаленные файлы локальной машины, файл с именем внутренней папки и вдобавок Кидо).
Но никто не говорил об активном Кидо и других местах следовательно. Речь же о флешке и (по логике) чистой машине. При соотв. простых мерах - вакцинация, +Shift, заход через структуру Проводника - он и не станет активным.

Я не проще просто скажем удалять руками через коммандер или far и проблем нет?

setwolk
а не всегда удаляется. Более того и у НОДа и у Каспера - может не получится удалить. Была как-то одна флешка - победил кюритом....

Не всегда удаляется - речь об активной заразе?
______________

С обновлением Авира обозвала TDSSKiller 2.0 RC2 'TR/Crypt.XPACK.Gen2 [trojan]'-ом. Мило, особенно Gen2. Видимо, из-за того, что у этого хитреца всё пущено в ход: и зашифрован, и запакован.

George S
А в save mode? На сколько помню, в этом режиме практически любую заразу можно победить, хотя сейчас злая вирусня идет...

setwolk
и безопасник не помогал)) - есть такие случаи...

При активной заразе универсальное решение одно: LiveCD. При любом антивирусе. Всегда. C'est la vie.

George S
Ну так че вылечился?

setwolk
)) а почитать повыше? от Вашего поста на 5 выше. Кюрит(ДрВеб) - молодец)).

George S
Ок, будем знать!

Что лучше?

DrWeb + Comodo firewall или
Avira + Comodo firewall

Пробовал KIS, но на двухядернике и 3 Гб оперативы он уж слишком грузит систему(что странно), да и страницы в интернете открываются медленнее(субъективно).

Greaves

Цитата:

Avira + Comodo firewall

andrew1692
А "проактивку" у Comodo нужно ставить? Или хватит просто firewall`а + Avira Premium?

Цитата:

А "проактивку" у Comodo нужно ставить? Или хватит просто firewall`а + Avira Premium?

Обязательно в режим проактив секьюрити, без этого он будет молчать как партизан при установке винлоков.

Некоторые считают меня предвзято относящимся к продуктам ЛК. Некоторые даже как-то намекали, что я - вообще работаю на Женю. Ну-ну... Тогда всем Любителям ЛК посвящается!

Есть в KIS одна неприятная и напряжная бага (ну скажем так: одна из многих ). Рекомендую почитать, что отвечает на неё KL Russia, то есть официальный представитель разработчика. И особо обращаю внимание на апофеоз этого апофигея, я цитирую:


Теперь понятно отношение разработчика к багам и предложениям по своему детищу? Срааать, срать я хотел! ©Вадим Галыгин

Так что поверьте - нелёгкая эта работа, отлаживать и настраивать КИС....

Почему Index.dat чепуха (по большому счету да, но не всегда; у меня в RTD на чтение - тоже алерт, потому что читают очень немногие), а "молчать на %windir%\Temp\*.exe" - не чепуха? Или последнее, надеюсь, сказано только для примера?

Erekle
Вы знаете, я больше знаться не хочу с этими хамами. Регистрируйтесь на оффоруме и задавайте вопросы. Вам же ясно сказали: не можете заплатить за решение проблемы - не лезьте! Пластмассовый мир победил... © Егор Летов

gjf

В принципе Maratka огласил примитивную маркетинговую политику ЛК - бабки любой ценой. Его быдлячество является зеркалом всей этой политики и говорит только о недалекости ума. Закончится это не скоро, но результат нетрудно предположить.

Пробовал KIS, но на двухядернике и 3 Гб оперативы он уж слишком грузит систему(что странно), да и страницы в интернете открываются медленнее(субъективно).
очень странно.я на ПК с 512 мб озу проблем с загруженостю системы не чуствую,причем не зависимо от версии-7,2009,2010,причем даже когда игры играю при запущеном антивирусе(правда в фоновом режине).да и в сети проблем не замечал.некоторые сайты у меня долго загружаються,но так что с касперским,что без

KIS общепризнанный тормоз (поставьте после касперского авиру или аваст, почувствуйте разницу) и глюкалово, при этом не гарантирующий домохозяйкам защиты от вирусов и винлоков... Однако у данного продукта хорошая компания пиарщиков и рекламщиков на форумах, которые достаточно успешно толкают продукт (штат даже увеличили на 1200 человек).

gjf

Цитата:

Пластмассовый мир победил... © Егор Летов

Объемы продаж нортона лишают сна касперыча, поэтому я сторонник авиры.

зы
"бабушки" скорее всего поставят бесплатный Microsoft Security Essentials+Comodo Firewall, чем KIS