» Avira AntiVir Personal (антивирус, antivirus)

Вот почитал, что здесь по поводу webguard и просто guard и решил высказать свое имхо.
guard - это файловый антивирус. Его функции при обращении (запись/создание/открытие в зависимости от настроек) к файлу на носителе прежде чем позволить выполнить данную операцию, проверка файла на вирусы. Объект здесь физически есть на носителе и его можно проанализировать. Guard НЕ защищает память, он её вобще не рассматривает как объект для защиты, он защищает только файлы. И если вы отключите guard и запустите вирус, а потом включите защиту, то он уже вам не поможет, он лишь сможет (зависит от вируса) защитить от создания уже запущенным вирусом, файловых объектов. Найти его в памяти сможет только сканер. В ситуации с интернетом, как уже выше упомяналось, браузер первым делом загружает зловреда в память и пытается его выполнить, либо сохраняет на диске по частям (поток закачки) и не дожидаясь пока все полностью скачается пытается выполнить действия с частью закачанного.Напрмер тотже jpeg или потоковое видео он качает постепенно и отображает по мере закачки. Но файловый антивирус guard в этот момент может проанализировать только закаченную часть (остальное еще в сети и не доступно) и не факт что весь вредоносный код в ней есть. Поэтому он не может однозначно определить зловреда пока не скачается достаточная часть кода. А браузер уже весь код по частям загружает в память и потом либо по частям либо после полной загрузки в память исполняет. Тут уже файловый антивирус не поожет.
В этой ситуации поможет либо кеширующий прокси (чем по сути и является webguard и порт у него 40080). Тогда другое дело. Браузер сначала отправляет запрос прокси, на прокси приходит запрашиваемый объект, записывается на диск и тогда его guard отлавливает, а если нет заразы то прокси его передает браузеру. Либо webguard получает от браузера запрос (точнее он сам перехватывает http запросы) и кеширует (сохраняет) сначало себе в память (скорей всего в память а не на диск иначе бы происходил двойной детект guard+webguard), анализирует и потом отдает браузеру, если нет заразы.
Короче Webguard нужен и полезен. Вот суть моих рассуждений. Попробуйте доказать мне обратное если хотите. Не верю я о всех рассуждения о дани моде. Все новые возможности это не дань моде, а новые решения по защите основанные на опыте и зря их делать не стали бы.

P.S. Не разобравшись в сути вопроса не спешите давать советы по этому вопросу. А разобравшись, сначало послушайте другие мнения, возможно окажется, что вы вовсе и не разобрались.

Пользуюсь данным антивирусом определённое время, и заметила некоторые изменения в качестве его работы.

Когда я скачала Авиру, установила и начала ей пользоваться, тогда была 7-я версия программы, все вирусы отлично находились и удалялись, так же, антивирус быстро реагировал на обноружение вирусных сайтов.

Сейчас, после обновления версии на 8-ю, и автоматического продления лецензии, качество работы антивируса заметно снизилось. При заходе на зараженный сайт, Авира распознаёт только Crypted.Gen вирусы, трояны и прочие вредоносные программы она не замечает, более того, даже при сканировании трояны не находятся. Раньше такого не было, всё отлично находилось.

Вопрос в том, что могло повлиять на качество работы Авиры? Почему она перестала распознавать и предупреждать о троянах и других опасных вирусах? И какой программой можно удалить найденные трояны?

SergN77
В принципе, Вы очень доходчиво нарисовали работу веб-монитора при помощи кеширующего проксисервера, как и работают эти модули во всех современных антивирусах.
Слабое место в этих теоретических выкладках (для меня) - это:

Цитата:

Но файловый антивирус guard в этот момент может проанализировать только закаченную часть (остальное еще в сети и не доступно) и не факт что весь вредоносный код в ней есть. Поэтому он не может однозначно определить зловреда пока не скачается достаточная часть кода.

Зловредный код (сигнатурно, эвристически) определяется всегда по части. Сигнатура - это и есть часть (безвредная еще) зловреда. А что, вебгуард позволяет в память (кеширующий сервер) загнать зловред полностью и только после этого его определить? У веб-модуля те же базы (возможности), что и у основного монитора и следовательно смогут (или не смогут) они его определить после закачки идентичного куска. Вы скажете, что в кеширующем проксисервере (в памяти) зловред не страшен, пока не начнет исполняться браузером? А я и спорить не буду. Но скажу, что пока он не начнет исполняться браузером, он и без кеширующего сервера не опасен. А вот при исполнении его браузером и должен сработать основной монитор.
P.S. Советы здесь вообще никто не дает. А высказать свое мнение никто никому не запрещает (как раз наоборот).


SandraRich
Вот если Вы прочитаете последние прения о новых модулях Avira да еще и вникнете в их суть - ответ появится сам собой....

SergN77
Для начала, покажи, пожалуйста, как запускается наполовину скаченный файл с вирусом?

SandraRich
Возможно, зловреды сидят в архивах, а у тебя отключена проверка архивов.

gjf, у меня все настройки по умолчанию. Если раньше при сканировании находились вирусы, то с прежними настройками, теперь они не находятся, хотя, безусловно вирусы есть.
А как можно изменить настройки, и включить проверку архивов?

Цитата:

А как можно изменить настройки, и включить проверку архивов?

заходите в сервис, выбираете режим эксперта, выставляете всё по максимум.

SandraRich
Посмотрите внимательно это кино, и перенесите все настройки на свою версию Avira.
http://rapidshare.com/files/54965654/Ustanovka_antivirusa.rar.html
Его сделали когда-то для седьмого Классик, но все там актуально. Я бы единственное не рекомендовал отдавать сканеру максимальный приоритет при сканировании. Это совсем не обязательно, а тормоза во время сканирования появятся точно..

Вниманию страждущих! Хауту

Полностью Автоматический Guard в Classic-е -- без вечного всплывающего окошка (правда, и без звука )

1. Останавливаем Guard (например, убираем галку в трей-меню)
2. Открываем свой AVWIN.INI и ищем секцию [GUARD]
3. Добавляем (в "чистом" Классике, с которым не экспериментировали, этих строк нет) в неё
Код: ScanActionMode=0
PrimaryActionForInfected=1
SecondaryActionForInfected=4
BeforeActionToQuarantine=1
ShowWarningMessages=0

VitRom
А не пробовал русифицировать Классик заменой файлов и тоже запретить SYSTEM после этого к ним лезть?

aleksdem2, а что именно запретить? "Изменение", "Запись"? В принципе, можно. Но как обновляться? А при обнове все файлы чексумятся и чуть что перекачиваются. И если к ним нет доступа то ИМХО(!) есть риск попасть на вечное всегда незаконченное и всегда повторяемое обновление.

Хотя... Инициатива-то наказуема! Попробуй Насколлько помню, почти весь фейс лежит в дллях вида *рц.длл.

VitRom
Ты знаешь, это меня натолкнула твоя идея с guardgui.exe. И, кстати, в инкрементное обновление ни один файл с русской локализацией не входит. То есть, если SYSTEM запретить этим файлам Запись (а может и доступ вообще), программа должна обновляться без пролем. Avira при обновлении проверяет и восстанавливает все свои файлы. Но если проходит подобный фокус с guardgui.exe, то может и с другими пройдет?

aleksdem2, идея в общем-то и не моя, а badjunk или ещё кого-то раньше, я только шагнул в сторону.

Но обрати внимание -- ставится только запрет выполнения, и больше ничего. Т.е. всё остальное можно. И писать, и даже удалять. А в твоём случае запретом выполнения не обойдёшься. Вот и возникло сомнение - как бы апдейтер не начал постоянно пытаться завершить "неудавшееся" обновление.

Хотя "практика - критерий истины", а про инициативу я писал Тем более баиньки хоца
Проще всего - возьми из шапки "серверный" сетап, и залочь его, как предлагаешь. Или, если есть, просто файлы от русской Про или Воркстейшн - они почти идентичны Классику. Вроде бы

VitRom

Цитата:

Проще всего - возьми из шапки "серверный" сетап, и залочь его, как предлагаешь. Или, если есть, просто файлы от русской Про или Воркстейшн - они почти идентичны Классику.

Да я это все в курсе. Попробую как-нибудь ради спортивного интереса...

aleksdem2

Цитата:

Посмотрите внимательно это кино, и перенесите все настройки на свою версию Avira.

Для русской тоже годится?

maik2
Конечно годится. Просто там кино снято для Классик, а его русского нет. Но разобраться там проще-простого. Открывайте окно своей Avira и потихоньку выполняйте рекомендации...

1933

Цитата:

заходите в сервис, выбираете режим эксперта, выставляете всё по максимум.

У меня программа на английском. Ничего подобного не вижу.

Вообще, конечно, это очень странно, что антивирус вот так вдруг перестал находить сканером имеющиеся вирусы. Таким образом, появилась потребность в дополнительной программе по их поиску и удалению. Если Avira мало того, что пропускает вирусы, так ещё и не находит их во время сканирования, то напрашивается вопрос о её надобности на компьютере.
А жаль, такой хороший антивирус был в самом начале его применения…

SandraRich
Русская версия с оф. Сайта Дистрибутивы продуктов
http://www.avirus.ru/content/view/57/112/
Avira AntiVir Premium (rus)
http://dl1.antivir-pe.de/down/windows/antivir_workstation_winu_ru_hp.exe
В каждом окне есть кнопочка Справка, достаточно здравого смысла выставить нужные параметры.
Для надёжного удаления прежней версии берём
Avira RegistryCleaner 887 Kb
http://www.avira.com/en/support/support_downloads.html

dgsjsj, английская версия программы меня устраивает намного больше, чем русская. И вообще, это очень хороший антивирус для бесплатного пользования. Просто немного удивлена, что качество его работы стало хуже. Вроде и обновления качаются регулярно, но, почему-то не реагирует на вирусы.

И чем, собственно, полезна программа для удаления прежних версий Avira? Ей необходимо пользоваться каждый раз после выхода новой версии антивируса или совсем не обязательно это делать?

SandraRich
1.Если коротко, чтобы не множить проблемы. Любую программу лучше ставить не обновлением из оболочки старой, а установкой её дистрибутивом последней версии с оф.сайта. не имея следов старой.
2. Рекомендации разработчика по Avira RegistryCleaner описаны на странице загрузки на языке который вас устраивает.(Мера вынужденная)
После обновления ядра программы ей пользоваться конечно не надо, программа сама переписывает ветви реестра.
ТО что я вам рекомендовал относиться к версии Avira AntiVir PersonalEdition Premium.
Цитата:

хороший антивирус для бесплатного пользования

можно трактовать по разному.

aleksdem2

Цитата:

Слабое место в этих теоретических выкладках (для меня)

Я и не спорю на счет закачки по частям это всеголишь моя попытка логически объяснить почему вирусы попадают в кеш и остаются при этом незамеченными (хотя я в этом сомневаюсь т.к. сам не проверял).
Вобще это не суть моего высказывания.
Суть в другом. Браузер может выполнять скрипты непосредственно загружая их в память из сети. Здесь guard бессилен. Он может увидить заразу только при записи на диск.
webguard - тотже кеширующий прокси только в памяти и без сохранения кешируемых файлов. Он какраз может проверить трафик до того как браузер наченет его исполнять.
Есть еще вариант поставить программу с защитой hips (анализатор активнсти приложений). У меня например фаервол comodo 3 имеет такую функцию. Но там уже другой подход. Там все зависит от решения пользователя разрешать или нет данную активность.
Вобще я не пытаюсь никого убедить в том что надо использовать или не использовать те или иные возможности защиты. Просто достоверно не зная как это все работает не стоит делать выводы, что можно не использовать эти функции. Используя тотже webguard уж точно защиту не ослабишь, а не используя - точно никто не знает (по крайней мере из аппонентов).

dgsjsj

Цитата:

ТО что я вам рекомендовал относиться к версии Avira AntiVir PersonalEdition Premium.

Цитата:

можно трактовать по разному.

Я пользуюсь Avira AntiVir PersonalEdition Classic. Это бесплатная версия антивируса.

SandraRich, а как Вы узнаете, что на компе есть вирусы? Руками на ощупь?
Настройте программу так, как рекомендовано в кино, выложенном на предыдущей странице. От настроек очень многое зависит, а настройки по умолчанию... На той же предыдущей странице описаны последствия этого.

SergN77

Цитата:

Просто достоверно не зная как это все работает не стоит делать выводы, что можно не использовать эти функции.

А если достоверно знать, как это все работает, можно делать какие-то выводы? Из-за этих кэширующих проксисерверов, которые антивирусы используют для работы вебмонитора в памяти, многие пользователи вообще не хотят использовать новые версии того же NOD, небезосновательно считая, что это новая уязвимость системы, да еще и приводящая к бесполезности фаервола другого производителя. Давайте сейчас еще эти теории начнем рассматривать.
Ни я, ни кто-то другой никогда не говорил, что не нужно мониторит вебтрафик. А вот как это делать - это вопрос другой и не простой. Я лишь говорил и говорю, что Avira Classic без вебмодуля прекрасно справлялась с задачей мониторинга вебтрафика. И кто пользовался этим антивирусом на протяжении последних лет, подтвердит мои слова. Новая (8-я) Avira работает НЕ лучше в этом плане несмотря на наличие этого модуля. А проблем и глюков добавилось очень много. После выхода релиза весь англоязычный форум (и немецкий, и русский) на дыбы вставал. Потом все улеглось потихоньку после признания разработчиками проблем у "50% пользователей" и обещаний постоянно совершенствовать свой продукт. У нас на форуме тоже не раз говорилось о проблемах программы, связанных именно с работой вебмодуля.
Мне, как пользователю, абсолютно все-равно каким способом и когда (в памяти или при записи на винт) антивирус обезвредит заразу. Гланое, чтобы обезвредил. А как показывает практика, не смотря на всевозможные проактивки, HIPS-ы, кеширующие проксисерверы задача становится эта все более не выполнимой. Разработчики нам вещают о совершенствовании зловредных кодов, мгновенном их изменении и т.п. А я на примере той же консервативной до-недавна Avira вижу, что причиной беспомнощности многих раскрученных антивирусов как раз есть чрезмерное увлечение этими нововведениями и недостаточное внимание эвристическим анализаторам и даже простому своевременному добавлению сигнатур в базу.

Ладно, по поводу пресловутого обновления в локальной сети и Avira Internet Update Manager :

Чего хочу:
Чтобы Avira Internet Update Manager скачивал базы с интернета и ложил их в расшаренную папку \\server\upd, откуда ее забирали клиенты(AntiVir PersonalEdition Premium 8.1.00.39 29.04.2008)


Чего сделал:
1. Поставил Avira Internet Update Manager(консоль и сервис)
2. Добавил сервер обновления как "localhost:21327"
3. Во вкладке "Products" -> Avira AntiVir Windows Workstation(Russian,Wi2k or above, i386)
4. Прописал прокси в "Settings -> Internet"
5. Расшарил папку C:\Program Files\Avira\Internet Update Manager\DEFAULT\DESTPATH\upd, т.к. в нее складываются обновления баз, как я понял.
6. Далее, на др. машине поставил AntiVir PersonalEdition Premium 8.1.00.39 29.04.2008.
7. В файле(на клиенте) C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Premium\AVWIN.INI сделал замены, чтобы обновление шло из папки:

DownloadLocation=0
ProductUpdateMode=2
ProductUpdateNotifyAfterDays=7
ShareDownloadUrl=file://server/upd/


8. В файле C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Premium\update.conf:

DefaultSrv=\\server\upd

После модификации файлов изменил их права доступа(acl) на только 'чтение и выполнение' для "Все" ("Everybody"), остальных юзеров убрал.
Но обновление не идет. Чего не так делаю?

Цитата:

А проблем и глюков добавилось очень много. После выхода релиза весь англоязычный форум (и немецкий, и русский) на дыбы вставал. Потом все улеглось потихоньку после признания разработчиками проблем у "50% пользователей"

Видать мне повезло и я не вошел в 50% проблемных пользователей. Поэтому и отношение у меня к webguard такое. ))
У меня проблемы со службой обновления, хотя это не проблемы а скорее небольшой баг немного портящий впечатление от продукта. Виснет окно службы обновлений (правдо не всегда), хорошо хоть все равно обновляется без ошибок (судя по отчету).
Кстати до авиры я пользовался KIS 7. Вот там действительно для меня были проблемы с веб монитором. Тормозил ужасно. Страницы долго грузились. При чем такое наблюдалось в основном в браузерах IE и использующих его движок (Avant, Maxthon и т.п.). Каспер даже обновления выпускал чтоб с исправлениями этого глюка, но сильно не помогло.
Авировский webguard по сравнению с касперским мне показался незаметным.

SergN77

Цитата:

Кстати до авиры я пользовался KIS 7

Ну тогда понятно. А если бы Вам пришлось ипользовать Avira версий более ранних - впечатление от продкта было бы еще намного более положительным. Обновления Avira - это действительно больное место. Особенно первое после установки дистрибутива. Единственное, что могу посоветовать, так это очистка временных папок от "следов" этих обновлений. (Имею ввиду как и все системные папки TEMP, так и папки самой Avira -
:\Documents and Settings\All Users\Application Data\Avira\AntiVir...\TEMP). И в той же дирректории есть еще папки UPDATE, FAILSAFE которые тоже иногда немешает вычистить. Хотя без надежного интернет-соединения продукт обновить часто вообще не удается.

SandraRich Прошу прощения за возникшее недоразумение.

Може ктонибудь знает чем отличется английская версия 8.1.0.331 (вроде последняя) от русской 8.1.0.42
Ядро и базы на сколько я понимаю одно и тоже. Может какие удобные функции а английской версии уже есть а в русской нет ?

Brunen

Цитата:

Чего не так делаю?

Да всё!
Как минимум - логи и репорты не читаешь. А если и читаешь, то нам не говоришь. Достаточно?

Цитата:

В файле ...\update.conf

А нафиг он тебе понадобился?! Я вот его вообще никогда не трогал - как у себя, так и у юзеров в локалке.

Но если бы и трогал, то не стал бы сочинять DefaultSrv типа
Цитата:

=\\server\upd

, а использовал бы тот же формат, что и в .INI
Цитата:

=file://server/upd/

Цитата:

После модификации файлов изменил их права доступа... для "Все", остальных юзеров убрал

А SYSTEM тоже?
И на то, что дата изменения update.conf подозрительно недавняя, и примерно соответствует последнему обновлению, из чего можно заключить, что он изменяется самой прогой - конечно, тоже не посмотрел?

А вообще зачем права менять? Разве что защита от юзеров, чтоб не изменяли настройки? Так это делается в конфигураторе, "Защитить конфигурацию" - и её изменяют только админы. А настройки обновы сбрасываются в стандарт (по Инету) AFAIK только в Классике, и то только после залезания в ветку Update конфигуратора и жамканья ОК.