Emsisoft - Выбор домашних средств защиты - Форумы Anti-Malware.ru Перейти к содержанию
zer0

Emsisoft

Автор zer0, в Выбор домашних средств защиты

Recommended Posts

zer0    0

zer0
Опубликовано

Хочется услышать оценку антивирусов от Emsisoft (включая оперативность изменения баз и уровень поддержки).

Также неясно позиционирование Mamutu - это "вместо" антивируса или дополнение к антивирусу...

Дружит ли этот Mamutu с другими антивирусами (к каким его с пользой можно добавить)?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

TIHIY    5

TIHIY
Опубликовано

Стоял у меня триальный Emsisoft целый месяц. Каждый раз при включении компа у меня выдавала уведомление "безопасности виндоус", о том что у меня не установлен антивирус и моя система под угрозой (хотя в процессах антивирус висел), но через 1-2 минуты появлялся значок в трее от антивируса и пропадает уведомление. Немного раздражает. И постоянно на процессы системные ругался и спрашивал что мне с ними делать. Спрашивает про кукисы постоянно когда заходишь на популярные сайты также что с ними делать. На счет баз, они у него оперативно обновляются. Работает он быстро и обрабатывает пойманных зверьков за секунды. Детект хороший.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

zer0    0

zer0
Опубликовано

Нашел зараженную страницу, блокирующую Windows, подменяет shell (не знаю, можно ли давать ссылку).

Натравил на нее разные антивирусы, вот результат:

Пропустили:

EmsiSoft (увы)

DrWeb 6

Malware Defender

SpyWare Terminator

Comodo - зараженное окно появилось, но shell перезаписать не дал и после перезагрузки все ОК.

KIS2010, NOD32, AVAST 6 - сообщили, что страница заражена, не дали открыть и заразить.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

zer0    0

zer0
Опубликовано

Странно, что антивирусы, похоже, не контролируют изменение параметров реестра shell и userinit,

а ведь многие блокираторы их меняют.

Делают всякие сервисы/утилиты/загрузочные диски по разблокировке.

А почему не борются с причиной - кто знает?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

hitman_007    25

hitman_007
Опубликовано
Нашел зараженную страницу, блокирующую Windows, подменяет shell (не знаю, можно ли давать ссылку).

По правилам данного форума запрещено давай или выкладывать ссылки с вредоносными элементами. Лучше отправить тем вендорам, которые не детектят ;)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано
Странно, что антивирусы, похоже, не контролируют изменение параметров реестра shell и userinit,

а ведь многие блокираторы их меняют.

Еще как контролируют. Только хитро. Примерно так:

При стандартных настройках если файл после обнюхивания (сигнатурный детект, эвристика, эмуляция) показался антивирусу чистым, то при запуске этого файла ему будет разрешено почти все (только на что-то экстра будут запросы - на установку драйвера, на выход в интернет и т.д).

При ручном режиме антивируса - он будет спрашивать почти все. Про редактирование вышеупомянутых ключей реестра каждый уважающий себя Ав-комплекс при нужных настройках спросит обязательно....

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

zer0    0

zer0
Опубликовано

Я бы предпочел, чтобы они "тупо" контролировали.

4 позволили изменить shell.

3 не дали, опознав зараженную страницу по базе

А если бы страницы в базе не было?

Только COMODO "честно" заблокировал изменение ключа (но тоже не без огрехов).

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

bestuser    0

bestuser
Опубликовано

Стоит ли переходить на Emisoft с Norton посмотрел сводки ежедневных тестов с кадетов Эмсик лучше всех :) или не стоит торопится с выводами?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

TIHIY    5

TIHIY
Опубликовано

Мне кажется не стоит.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

bestuser    0

bestuser
Опубликовано

Стоит ли переходить на Emisoft с Norton посмотрел сводки ежедневных тестов с кадетов Эмсик лучше всех или не стоит торопится с выводами?

Опечатка Emsisoft.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

GRINDERs    35

GRINDERs
Опубликовано

Я бы на NORTON(е) остался. Ты кст каким пользуешься: NAV или NIS?

У Emisoft детект хороший, но ручки решают всё, что, как и где запустить. Решайте что для вас удобнее: домохозяичный NORTON или параноидальный Emisoft :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

bestuser    0

bestuser
Опубликовано
Я бы на NORTON(е) остался. Ты кст каким пользуешься: NAV или NIS?

У Emisoft детект хороший, но ручки решают всё, что, как и где запустить. Решайте что для вас удобнее: домохозяичный NORTON или параноидальный Emisoft :)

NIS, домохозяичный NORTON- в этом его сила :D, а чё у Emisoft с фолсами совсем беда

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

GRINDERs    35

GRINDERs
Опубликовано

Если так уж интересно поставь 30 дневный ТРИАЛ, посмотри, оцени. Пока не поставишь, всё равно не поймёшь, что тебе подходит. NIS 2011 нормальный комбаин, не вредный, понятный и приятный, в таком не заблудишься уж точно. Всё равно проверять сканерами ведь будешь

Из бесплатныйх советую:

1) Malwarebytes' Anti-Malware

2) AVZ

3) ESET Online Scanner

Тебе этого хватит. Можешь поставить ещё бесплатный AnVir Task Manager, он показывает на сколько %ов твои процессы безопасны, а там можешь управлять ими (автозапуск и т.д. и т.п.), что-то вроде диспечтера задач, только очень и очень расширенный :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

bestuser    0

bestuser
Опубликовано

GRINDERs спасибо за помощь!

P.S.В репу не плюсуется(

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Выбор домашних средств защиты

  • Сообщения

    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      + Уточнение по: " при первых запусках после установки драйвера Ф и перезагрузки PC  - uVS не видел процессов запущенного  Firefox ( все файлы в базе проверенных ( если это имеет значение ) " Я говорю о том, что процессов не было в "История процессов и задач..."
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      Demkd По поводу: 5.0.4 На: "uVS v5.0.4v x64 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] " История процессов и задач... Отобразить цепочку запуска процесса uVS начинает жрать память и... Out of memory. Сжирает все 8гб+файл подкачки и... На компьютере недостаточно памяти ( и да, твик: 39\40 ) на происходящее не влияет ) ----- Второе, при первых запусках после установки драйвера Ф и перезагрузки PC  - uVS не видел процессов запущенного  Firefox ( все файлы в базе проверенных ( если это имеет значение ) Третье: При проверке системы с Live CD Видим следующее: Загружено реестров пользователей: 6
      Анализ автозапуска...
      (!) Переменная окружения TEMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\rcvscxggb\Environment\TEMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\rcvscxggb\Environment\TMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TEMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\fnfozvsrt\Environment\TEMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\fnfozvsrt\Environment\TMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TEMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\rpnrvystm\Environment\TEMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\rpnrvystm\Environment\TMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TEMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\evikeffmz\Environment\TEMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\evikeffmz\Environment\TMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TEMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\uvs_default\Environment\TEMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\uvs_default\Environment\TMP ------------- Так это в списке Live CD: ;uVS v5.0.4v x64 [http://dsrt.dyndns.org:8888] [Windows 10.0.14393 SP0 ]
      ; Все ПОДОЗРИТ.  | <%TEMP%>
      ПОДОЗРИТ.  | <%TMP%>
      автозапуск | MMDRV.DLL
      автозапуск | MSCORSEC.DLL
      ПОДОЗРИТ.  | E:\USERS\DEFAULT\<%TEMP%>
      ПОДОЗРИТ.  | E:\USERS\DEFAULT\<%TMP%>
      ПОДОЗРИТ.  | E:\USERS\USER\<%TEMP%>
      ПОДОЗРИТ.  | E:\USERS\USER\<%TMP%>
       \DESKTOP\ЗАГРУЗКИ\PASSIST_STANDARD ( РАЗДЕЛЫ ДИСКА )_20251230.1.EXE
      ПОДОЗРИТ.  | E:\WINDOWS\SERVICEPROFILES\LOCALSERVICE\<%TEMP%>
      ПОДОЗРИТ.  | E:\WINDOWS\SERVICEPROFILES\LOCALSERVICE\<%TMP%>
      ПОДОЗРИТ.  | E:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\<%TEMP%>
      ПОДОЗРИТ.  | E:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\<%TMP%> ------ Четвёртое, по поводу запуска файлов В старых версиях uVS брал информацию: AppData\Roaming\Microsoft\Windows\Recent судя по всему сейчас этого нет.  
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       5.0.4
      ---------------------------------------------------------
       o Переменные окружения всех пользователей с некорректным содержимым теперь добавляются
         в список как подозрительные объекты со статусом "ПЕРЕМЕННАЯ".
         Удаление такого объекта приведет к удалению переменной пользователя или 
         к восстановлению значения по умолчанию если это системная переменная.  
         Поскольку уже запущенные процессы используют копии переменных потребуется перезагрузка системы.

       o Для процессов с внедренными потоками теперь печатается родитель этого процесса.

       o В лог выводится состояние SecureBoot.

       o В лог выводится версия драйвера Ф.

       o Добавлена интеграция с Ф:
         o История процессов загружается из Ф, а не из журнала Windows.
           Работает и при выключенной опции отслеживания процессов и задач, но если эта опция выключена
           то будет доступна лишь история процессов, но не задач.
           Это может быть полезно в случае когда зловред удаляет свою активность из журнала Windows.
         o Если установлен Ф v2.20 и старше, то в лог выводится список процессов (в т.ч. и уже завершенных)
           внедрявших потоки в чужие процессы, такие процессы получают статус "ПОДОЗРИТЕЛЬНЫЙ" и новый статус "ИНЖЕКТОР".

       o В меню запуска добавлена опция "Установить драйвер Ф".
         Версия драйвера: v2.20 mini - это урезанный драйвер бесплатной версии Ф.
         В отличии от драйвера в Ф эта версия не имеет региональных ограничений. 
         Драйвер ведет историю запуска процессов и внедрения потоков в чужие процессы.
         Дополнительно осуществляется защита ключа драйвера в реестре и самого файла драйвера.
         Остальной функционал удален.
         Драйвер устанавливается под случайным именем.
         Удалить драйвер можно будет в том же меню запуска, после установки/удаления требуется перезагрузка системы.
         (!) Для установки драйвера Ф потребуется выключить SecureBoot в BIOS-е.
         (!) Установка драйвера возможна лишь в 64-х битных системах начиная с Win7.
         (!) После установки драйвера система перейдет в тестовый режим из-за включения опции Testsigning.
         (!) При удалении драйвера запрашивается разрешение на отключение опции Testsigning.
         (!) Если эта опция изначально была включена и пользователь использует самоподписанные драйвера
         (!) то это опцию НЕ следует выключать, иначе система может уже и не загрузиться.

       o В меню "Запуск" и в меню удаленной системы добавлен пункт "Свойства системы".

       o Исправлена ошибка из-за которой в логе не появлялось сообщение о завершении сеанса при обратном подключении
         к удаленному рабочему столу.

       
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Возможно, что-то в открытом коде будет полезного и для uVS https://www.comss.ru/page.php?id=19320
    • Ego Dekker
      Актуальные версии антивируса 19-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 19.0.14.
×