ненавязчивый антивирус

[Виталий Я. 859]

Comodo в "лицо" не опознал, но проактивка не дала изменить shell и предупредила обо всех

(правда, окно блокиратора появилось, но после перезагрузки все было чисто).

Насколько я видел 2 заражения лично, поведение Outpost ровно аналогично Comodo, только 1 из 2 сигнатур быстро пришла - еще до влезания в Safe Mode на завтра после заражения. В целом правилами проактивной защиты давно закрыты данные 3 дыры.

[zer0 0]

Еще пара замечаний, в догонку.

Malwarebytes anti-malware вылечил быстро и чисто.

С NIS 2011 пришлось повозиться. Сначала с оф. сайта скачал ~100мб со сроком 15 дней.

15 дней он не дал поработать, а сразу сказал, что надо покупать, при этом базы просрочены >200 дней.

Скачал с пира версию поновее, просрочка >100 дней. Обновил (еще почти 100 мб скачалось).

Заразу увидел, но как-то неуверенно: сначала один файл, после перезапуска другой.

Причем видит заразу в папках на c:, но в памяти эта зараза благополучно висит. И ключ на ее запуск в реестре болтается (хотя файл удален).

Но в конце концов, после нескольких перезапусков компьютер очистился.

Поскольку зараженный сайт теперь недоступен, я не смог проверить, блокируют NIS и anti-malware его или нет.

Еще вывод: очень полезно иметь загрузочую флешку и/или CD-ROM, которые содержат антивирусы с возможностью обновляться.

А также содержат ERD-commander для ручной правки реестра.

Блокеры появляются очень часто и какой антивирус его раньше засечет- неясно.

"Фирменные" лечебные CD-ROM как-то мне не показались, т.е. качать долго, а результат не гарантирован.

Я даже написал маленькую программку, которая показывает и восстанавливает shell и userinit

(не столько для лечения, сколько для тестирования антивирусов). Понравился uVS, который и ключи восстанавливает и кучу

других возможностей имеет, так что закинул его (всего 3 Мб) на загрузочную флэшку для тестов и лечения.

PS. А DrWeb, увы, по-прежнему пропускает (даже самая свежая "улучшенная" версия CureIt от 22.03.2011).

Для меня это неприятная новость, т.к. мы его продаем (наряду с другими антивирусами).

Все эксперименты я делал в виртуальной машине под администратором,

но на реальной работаю с ограниченными правами. И всем так советую

[yuraf 5]

Не так давно посчастливилось скачать некий архивчик у китайцев, проверил на вирусы (пользуюсь ДрВеб)...конечно-же нашлись

на работе проверил как работают другие антивирусы в проверке этого файлика..

Доктор Веб есть Доктор Веб...время проверки 5 секунд

нод32 двух файлов в архиве недосчитал, но тем не менее, нашёл все зловреды...хотя время проверки в 6 раз больше

Касперский без коментариев....обратите внимание на время проверки, пять!!!! минут

[Umnik 997]

У всех детект на ломаную Themida, ага. С такими приколами даже на фишках не принимают.

[zer0 0]

Вчера посмотрел, как антивирусы борятся с новым синим блокиратором:

http://dl.dropbox.com/u/17655378/banner/Windows_Security.jpg (это просто картинка)

KIS и NOD32 засекли запуск зараженного файла и удалили заразу с компьютера.

Со старой базой KIS засек проактивкой, а NOD32 пропустил.

AVG и COMODO засекли проактивкой.

DrWeb, AVAST, Avira, EmsoSoft и MalwareDefender пропустили.

Nod32 второй раз меня удивил, а DrWeb снова огорчил

(правда он, наконец, научился полностью ловить заразу, про которую я писал раньше).

uVS вылечил, причем повторно заразить не получилось (вроде как он что-то прописал в политики).

В форуме Касперского есть ссылка на зараженный архив (так что, кто хочет, может сам убедиться).

[zer0 0]

Еще замечание.

Нужен запуск лечащих утилит без всяких менюшек, подтверждений и тп.

Скажем, запускаю Cureit, а ему нужно нажать "Пуск", выбрать защищенный режим.

И все эти экраны, кнопки ПОД БАННЕРОМ, их просто не видно (и "вытащить" из-под баннера не получается)!

Авторы вирусов смеются, наверное...

[Chekm 100]

Нужен запуск лечащих утилит без всяких менюшек, подтверждений и т п.

И все эти экраны, кнопки ПОД БАННЕРОМ, их просто не видно (и "вытащить" из-под баннера не получается)!

Ну тогда попробуйте такую вот програмку:

Основные возможности:

окно располагается поверх всех других (в том числе и баннеров);

убивание процессов;

создание резервных копий процессов;

завершение процессов с одновременным удалением файлов;

удаление исполняемых файлов при следующей перезагрузке;

возможность выполнения всех перечисленных операций над несколькими процессами;

поиск процесса;

информация о процессе и исполняемом файле;

наличие "режима охотника" - поиск окна и процесса, создавшего его, с возможностью завершения. Для поиска достаточно

навести указатель мыши на окошко;

возможность запуска любого файла (полезно, при отсутствии процесса explorer.exe и заблокированном диспетчере задач);

Процесс "system" исключен из списка отображения.

[zer0 0]

Спасибо, в копилку средств защиты.

Странно, что разработчики антивирусов не могут сделать режим "поверх всех окон"

[Valery Ledovskoy 1082]

Вчера посмотрел, как антивирусы борятся с новым синим блокиратором:

KIS и NOD32 засекли запуск зараженного файла и удалили заразу с компьютера.

Справедливости ради.

Эти два утверждения говорят о том, что запускался уже выковыренный сэмпл, какое-то время пролежавший. Т.е. прошло некоторое время после распространения.

Обычно в последнее время детект такой сразу после того, как было поймано и тут же выковыряно:

http://virusscan.jotti.org/ru/scanresult/7...b19d98ac1975f42

Причём это не единичный случай. Не смотрите, что Avira там чего-то "пукнула" эвристиком - часто бывает так, что детектов вообще нет.

Поэтому я не стал бы вот прям уж вот так:

Nod32 второй раз меня удивил, а DrWeb снова огорчил

Это всё смысла особого не имеет в реальных боевых условиях.

[zer0 0]

Справедливости ради.

Это всё смысла особого не имеет в реальных боевых условиях.

Я тоже "за справедливость". У меня выскочило предупреждение KISa о каком-то новом баннере и я захотел проверить, как реагируют другие антивирусы.

Если один вендор ловит раньше, чем "мой" KIS - то это ему только мой личный плюс.

Если другой ловит частично через неделю, а полностью ловит через 3 недели, то ему - мой личный минус.

Хотя, конечно, за эти 3 недели зараза может рассосаться, зараженные страницы почистят и вирус станет неактуальным.

Почему-то Emsisoft на http://malwareresearchgroup.com/ ловит все подряд, а у меня все подряд пропускает.

Я вовсе не хочу, чтобы мои замечания считали каким-то "диагнозом" - продукт А хороший, а продукт Б - плохой.

Каждый имеет право на публикацию своего субъективного мнения, может оно кому-то покажется полезным.

В конце-концов решение принимают не те кто пишет, а те кто читает (на основе многих тестов - больших и маленьких,

авторитетных и не очень...)

С другой стороны, может разработчики станут быстрее реагировать на присланные вирусы

(хотя бы для того, чтобы лучше выглядить в доморощенном тесте Васи Пупкина) или сделают режим "поверх окон" - тоже польза от темы.

[Valery Ledovskoy 1082]

С другой стороны, может разработчики станут быстрее реагировать на присланные вирусы

Для этого нужен качественный скачок. Пока что не видно. (что касается винлоков)

У меня выскочило предупреждение KISa о каком-то новом баннере и я захотел проверить

Переставайте лазить по порно или кликать по определённого типа баннерам, ибо бравурные речи скоро закончатся и при использовании NOD/KIS/другойхорошийантивирус

Профессиональный совет

Если один вендор ловит раньше, чем "мой" KIS - то это ему только мой личный плюс.

Сколько конкретно было произведено замеров лично Вами?

[zer0 0]

Переставайте лазить по порно или кликать по определённого типа баннерам,

Вы со мной рядом сидели, чтобы так заявлять? Ловушки можно "подцепить" на самом обычном сайте типа "кулинария".

А мой комп давно не заражался (я не работаю под администратором и не лезу куда попало). Но тема вирусов и антивирусов мне интересна и

поэтому я хожу по ссылкам в яндексе, которые отмечаются как сомнительные (из виртуальной машины, при этом KIS на хостовой ругается, если "знает" сайт).

Правда, в выходные я больше часа специально лазил по сомнительным сайтам, чтобы "зацепить" новый обсуждаемый баннер,

так ни одна зараза не прицепилась. Пришлось скачать вирус из архива.

Про замеры я писал - один полный (сайт+заражение+лечение), другой - заражение+лечение.

Это были новые типы баннеров, поэтому я про них написал (в отличии от пары десятков других, которых почти все ловят и они неинтересны).

Насчет "бравурности" - это Вам показалось, она скорее характерна для некоторых фирм-разработчиков.

Кроме того, мы продаем антивирусы и мне хочется, чтобы наши клиенты (которые таки лазают по "сомнительным" и не очень сайтам) были защищены.

Чем меньше у них выскочит баннеров - тем лучше для моей репутации как консультанта.

[KAOR 5]

zer0 одни боятся подцепить вирус вы их специально скачиваете

По мне самый адекватный антивирус это Касперский пусть и требовательный зато защищает надежно, комплексной защите более всего доверяю. Все есть в одной проге

[ntuser 70]

Переставайте лазить по порно или кликать по определённого типа баннерам, ибо бравурные речи скоро закончатся и при использовании NOD/KIS/другойхорошийантивирус

Профессиональный совет

"Профессиональный совет" человека так и не раскусившего основной плюс KIS и его отличие от "простоантивирусов".

Пользователю достаточно изменить всего лишь один пункт в настройках KIS, и вероятность возникновения проблем от "определённого типа баннеров"

в общем случае сведется к нулю:

[shats 5]

"Профессиональный совет" человека так и не раскусившего основной плюс KIS и его отличие от "простоантивирусов".

Пользователю достаточно изменить всего лишь один пункт в настройках KIS, и вероятность возникновения проблем от "определённого типа баннеров"

в общем случае сведется к нулю:

Вот еще надо так сделать: http://support.kaspersky.ru/faq/?qid=208638548 и тогда вообще "Фактическая. Настоящая!

Броня."... правда каждая третья программа ломится к критическим ключам реестра и... падает. Не говоря уже о сбороках типа Зверя, а также вполне официальных Windows, но после изменения интерфейса...

PS: Скоро еще надо будет Kaspersky OS использовать, подключаться к провайдеру Kaspersky Net.... и нижнее белье носить с лейблом Kaspersky и будет Вам счастье)))

[Valery Ledovskoy 1082]

Вы со мной рядом сидели, чтобы так заявлять?

Ок, остановимся на том, что Вы запускали сэмпл, а не поймали. Т.е. прошло время после распространения. После распространения очередной модификации винлока можно делать только... поспешные выводы.

По мне самый адекватный антивирус это Касперский

Поставил бы третий минус, но правила форума не позволяют чаще, чем раз в 5 дней. Кстати, не за рекламу, а за антирекламу. Так оно воспринимается.

"Профессиональный совет" человека так и не раскусившего основной плюс KIS и его отличие от "простоантивирусов".

Правильно поставили совет в кавычках. Равно как и профессиональный.

Пользователю достаточно изменить всего лишь один пункт в настройках KIS

Есть статистика, сколько пользователей не ставят этот пункт? Есть статистика, сколько пользователей не ставят этот пункт сознательно и почему? Есть ли официальное объяснение, почему этот пункт не установлен в продуктах по умолчанию?

Вот еще надо так сделать: http://support.kaspersky.ru/faq/?qid=208638548 и тогда вообще "Фактическая. Настоящая!

Говорят, можно и систему так настроить, что винлоки не будут сажаться. Не?

правда каждая третья программа ломится к критическим ключам реестра и... падает.

И зачем это и в какую гвардию?

Скоро еще надо будет Kaspersky OS использовать, подключаться к провайдеру Kaspersky Net.... и нижнее белье носить с лейблом Kaspersky и будет Вам счастье)))

Вот это уже ближе.

[K_Mikhail 807]

Переставайте лазить по порно или кликать по определённого типа баннерам, ибо бравурные речи скоро закончатся и при использовании NOD/KIS/другойхорошийантивирус

Профессиональный совет

AdBlock, AdBlock и ещё раз AdBlock...

[ntuser 70]

Есть статистика, сколько пользователей не ставят этот пункт? Есть статистика, сколько пользователей не ставят этот пункт сознательно и почему? Есть ли официальное объяснение, почему этот пункт не установлен в продуктах по умолчанию?

Речь шла о функциональных возможностях продуктов, предостовляемых пользователю, а не об уровне защиты с настройками по-умолчанию.

[Valery Ledovskoy 1082]

ntuser, спасибо, я заметил. Т.е. у "непростоантивирусов" должны быть "непростопользователи", которые должны знать, какие настройки нужно применить для того, чтобы защититься от винлоков. Так корректнее? По поводу функциональных возможностей уже тоже было сказано. Можно подготовиться к винлокам и без антивирусов (как "простоантивирусов", так и "непростоантивирусов") - всё равно что-то настраивать - либо "непростоантивирус", либо "простосистему", либо "простобраузер" с "непростоаддоном"

[Mr.Belyash 70]

Вчера посмотрел, как антивирусы борятся с новым синим блокиратором:

http://dl.dropbox.com/u/17655378/banner/Windows_Security.jpg (это просто картинка)

KIS и NOD32 засекли запуск зараженного файла и удалили заразу с компьютера.

Со старой базой KIS засек проактивкой, а NOD32 пропустил.

AVG и COMODO засекли проактивкой.

DrWeb, AVAST, Avira, EmsoSoft и MalwareDefender пропустили.

Nod32 второй раз меня удивил, а DrWeb снова огорчил

(правда он, наконец, научился полностью ловить заразу, про которую я писал раньше).

uVS вылечил, причем повторно заразить не получилось (вроде как он что-то прописал в политики).

В форуме Касперского есть ссылка на зараженный архив (так что, кто хочет, может сам убедиться).

Это очень странно что uVS смог вылечить,т.к. этот троян заменяет taskmgr.exe и userinit.exe

А также системные копии

C:\WINDOWS\system32\dllcache\taskmgr.exe

C:\WINDOWS\system32\dllcache\userinit.exe

----------

необходимо изменить ключ реестра

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell="Explorer.exe"

и заменить вышеуказанные файлы

[ntuser 70]

По поводу функциональных возможностей уже тоже было сказано. Можно подготовиться к винлокам и без антивирусов (как "простоантивирусов", так и "непростоантивирусов") - всё равно что-то настраивать - либо "непростоантивирус", либо "простосистему", либо "простобраузер" с "непростоаддоном"

Разницу (для обычного пользователя) между изменением _одного_ пукта настроек KIS и настройкой операционной системы улавливаете?

[Valery Ledovskoy 1082]

и настройкой операционной системы улавливаете?

и установкой одного аддона к браузеру, который не только от винлоков спасёт?

И почему-то всё же никто не говорит, почему оно по умолчанию выключено. Т.е. проблема с винлоками актуальна. Многие и для защиты от них покупают продукт. Который может защитить, но та самая настройка почему-то отключена и её нужно найти и включить. Просто "винлоколов обыкновенный" никогда не будет разбираться в настройках антивирусов. Это проверено.

[yuraf 5]

У всех детект на ломаную Themida, ага. С такими приколами даже на фишках не принимают.

В этом случае не столь важно на что детект, важно как...отработал антивирус,

сравнение очевидно..DrWeb 5 секунд, KIS жевал этот файл....337 секунд

[Kapral 311]

В этом случае не столь важно на что детект, важно как...отработал антивирус,

сравнение очевидно..DrWeb 5 секунд, KIS жевал этот файл....337 секунд

Ну пояснили же - в 2х первых случаях определили пакер и все... А КИС - и распаковал и проверил что именно было запаковано

[priv8v 960]

а я поясню слова Капрала

если хелло-ворлд упаковать той версией фемиды, то в первых двух случаях будем иметь тот же детект, а каспер подумает свои 337 секунд и скажет что файлы чисты...

...как-то так