Перейти к содержанию
Сергей Ильин

Тест антивирусов на лечение активного заражения III (результаты)

Recommended Posts

seevbon
Конкретика?

Чего конкретно хотите знать? Какими АВ я пользуюсь? На работе ДрВеб - корпоративный выбор. При наличии некоторых железных девайсов последние полгода просто обновляется, остальное время спит. В личных целях: за этот год по хронологии были НИС2007, НОД2.7, Аваст, АутпостСС2008, АвираКлассик, АвираПро, НОД3.0, сейчас развлекаюсь с КомодоИС. Раза 3 в этом году скачивал КуреИта, только лечиться не от чего.

во многих случая заражение просто не видно

А не нужно вообще знать про заражения. Есть они или нет, система загружается при каждом включении компьютера из чистого образа. А если во время работы есть подозрения на заражение, глюки, левый трафик или тем более срабатывания АВ, нужно просто перезагрузиться. Ну а если вы перенастраиваете систему, добавляете или удаляете какие-то программы, создается новый образ или происходит дифференцированное добавление изменений в старый. Да, не все программы системного восстановления защитят вас от добавления в образ зловредов, но есть такие, которые это обеспечивают. Вот и получается в итоге лечение удалением, куда уж проще.

Только позаботиться об этом надо заранее. У меня последнее время именно так. И какой мне прок от этого теста? Никакого. Чем плохо то? Защищаемся от утечек HIPSом и/или фаерволом. А АВ вообще не нужны, да? :-)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

seevbon

Есть они или нет, система загружается при каждом включении компьютера из чистого образа

+1

Здравый подход, сам такой практикую уже несколько лет. Посещение подозрительных сайтов, напичканных вирусами, скачивание и установка нового, непроверенного софта из непроверенных источников - только из под виртуальной системы. Весь "улов" отправляется в вирлаб для исследования. Затем следует откат системы и всё заново. Были "походы", после которых в базы добавляли сразу по 10-15 новых вредоносных программ.

Лично для меня также смысла в этом тесте никакого. Лечащие возможности лидеров теста мне и без него хорошо известны. К сожалению, далеко не все пользователи ПК обладают объёмом знаний, необходимых для безбедного существования в интернете. Примеры я уже ранее приводил - не следят за обновлением баз, работоспособностью антивирусной программы, и нередки случаи, когда ставят по два антивируса на компьютер, тем самым просто приводят систему в непригодное для использования состояние. По вопросам, связанным с вирусным заражением, теперь обращаются практически каждый день. И в данной, военной обстановке, всё чаще помогает утилита AVZ, а не CureIT , хотя для перестраховки её тоже обязательно использую.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
2. "ответ был получен" - все-таки обращение в тех. поддержку было? - я не вполне понял, извините. Если "да", то к чему начинать со скорости реакции? И тогда почему CureiT!, а не просто сканер, если пользователь лицензионный? Если "нет", то и нет смысла говорить про необнаруживаемые трояны и т. д. Понятно, что любой антивирус в тот или иной промежуток времени не "видит" какую - нибудь "дрянь". Но, возвращаясь к тех. поддержке, основам (на мой взгляд) ее работы, - специалист запрашивает от клиента логи самого Доктора, логи Hijackthis и т. п., которые позволят ему определить наличие вредоносного кода и необнаруживаемых АВ объектов, и дать клиенту рекомендации по обезвреживанию вредоносов еще до их внесения в базу антивируса.

лицензионный. И логи просили.... И фамилию я знаю консультанта. Hijack на тот момент -оказался продуктом конкурента, запрашивать такое -некорректно (по мнению некоторых). Потому прозвучала фраза "странный случай"... И последний совет... про курит!... Кроме того, есть слчаи, когда работа нужна здесь и сейчас, а не ожидание ответа техподдержки....

Люблю и уважаю ее, но могу назвать кучу случаев, когда привезенный ноут дает эффекта больше, чем многодневная переписка или попытки прозвона и выслушивания различных советов. Ручками сделать в этом случае намного быстрее.

Последнее - не далее, как позавчера выявил очередной сэмпл, который "Доктор" не видел. Отправил. Думаете, мне тикет прислали? Только по личным связям его добавили. Вот так.

Я сам директорствовал в Центре техподдержки, так что не надо мне рассказывать, что и как... Я сам могу рассказать :D И приехали ко мне именно поэтому - что я МОГУ сделать, а не рассказывать - как.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
georgy_n
Я сам директорствовал в Центре техподдержки

Не обижайтесь, но плохо директорствовали :P раз теперь жалуетесь на своих же пусть бывших коллег и подчиненных, их работу. Все же с тикетами и их обработкой улучшения видны, я не связываю это с Вашим уходом ;-) Я с Вами полностью согласен, что живое общение - гарантия успеха, просто уровень подготовки некоторых "специалистов" (не из службы тех. поддержки) оставляет желать лучшего. В любом случае - тех. поддержка - услуга, за которую оплачено, а уж пользоваться ей или нет - дело личное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
Не обижайтесь, но плохо директорствовали раз теперь жалуетесь на своих же пусть бывших коллег

нет, не жалуюсь - я знаю все сложности этой работы изнутри. Человек - будет всегда только человеком, не видя конкретики - трудно принять верное решение по алгоритму воздействия. Но - Тема была про *.origin - не заметили? И речь шла о неверном по моему мнению алгоритме работы по ним.

Что касается службы ТП - есть ОЧЕНЬ много случаев, когда никакое общение по телефону и мылу не вылечит юзверя. Особенно - из практики - при "многослойном" заражениии.

P.S. Что касается улучшения - считайте, что она улучшилась ИМЕННО из-за моего ухода. ВСЕ стало намного лучше! Мне, собственно, глубоко плевать. Я как работал в этой области (ИБ), так и буду работать, под знаменами или без оных. Число обращений ЛИЧНО ко мне не уменьшилось, и я продолжаю подбрасывать сэмплики в вирлаб.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Наверное как задавали вопросы, так и ответы получали....

Те кто пожелали потестировать серьезно, так с ними приходилось очень плотно, и письменно и по телефону общаться...Вроде бы все ответы и рекомендации получали..

Бывали вопросы типа: Да Вы полное Г... , а вот мы...и не пытайтесь с нами соревноваться. Чтож, удачи... С такими и спорить не будем...

У вас накипело? Я писал о другом. Не надо тут монологов. Да и это всё уже неважно для меня. Хотя да - важно для вас, так как вместо вас будут продолжать брать кав и кис. Почему? Спросите теперь уже себя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Virusu.net
У вас накипело? Я писал о другом. Не надо тут монологов. Да и это всё уже неважно для меня. Хотя да - важно для вас, так как вместо вас будут продолжать брать кав и кис. Почему? Спросите теперь уже себя.

Ой как испугались... Вашу манеру поведения исправит только одно - .....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Хотя да - важно для вас, так как вместо вас будут продолжать брать кав и кис.

а почему кав и кис, а не докторвеб и нод32?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
а почему кав и кис, а не докторвеб и нод32?

Ну не сравнить же KIS2009 и Dr.Web. У них сейчас разные ниши. Вот сегодня обсуждали бюджет по этому. Через некоторое время после 5-ки может ситуация и изменится, но пока вэб продолжает пролетать. Плюс в тестах у серверных решений Вэба были проблемы, что скукожило админов.

Про Nod32 - спасибо, поржал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Про Nod32 - спасибо, поржал.

а чего ржать-то, второй по покупаемости антивирь в России

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
а чего ржать-то, второй по покупаемости антивирь в России

Как видно - не обязательно быть для этого антивирусом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
Как видно - не обязательно быть для этого антивирусом.

:lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
а чего ржать-то, второй по покупаемости антивирь в России

это уже с учетом отката взад "налоговых денег"? ;) А то может оказаться, что весь рост был за счет только этой одной продажи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Hanson

Я, конечно, предполагал, что NOD32 не фонтан, но по результатам тестов получается, что это что-то такое, что даже слов нет. Остается надеяться, что он нормально ловит.

//пожалуйста, изучите Правила. Особо обратите на 11.13. На это сообщение не отвечайте и не редактируйте. Это пометка Вам на будущее. (edit by Umnik)

Отредактировал Umnik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Остается надеяться, что он нормально ловит.

И не ловит тоже.

Отредактировал Umnik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Hanson

я про то что надежда умирает последней,

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Наконец и от этой темы хоть какое-то движение заметно, Drвебовцы добавили всё таки вредную зверушку в свои базы :) А усилий то понадобилось всего ничего - четыре сообщения на этом форуме и год ожидания :D

vaber, если у вас вдруг возникнут затруднения в том, чтобы достучаться до производителя антивирусного ПО на предмет добавления вредоносного файла в их базы, то дайте знать, у меня опыт по добровольно-принудительному участию таких производителей в антивирусном движении уже есть :P

Drweb_001.jpg

post-3858-1226585120_thumb.jpg

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Шабанов
Не скажу, что получение платины Dr.Web, а не золота - это принципиальный момент. Но он таки присутствует, раз про это говорит больше одного человека. Точно также про другие подобные моменты.

Кстати, Ваши китайские коллеги в этом не видят никакого подвоха ;)

http://drweb.com.cn/info/10143.shtml

drweb_am_test_pr_1227529940055.png

post-4-1227530095_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вот это скриншот главной страницы китайского сайта мне больше нравится.

Ну что, для продвижения подойдут любые методы. Китайцам и платина подошла вполне, они видимо "не спалили тему" :lol:

drweb_china_am_pr.gif

post-4-1227532507_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Гудилин

А зачем там в Китае сертификат ФСТЭК на первой странице?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
seevbon
А зачем там в Китае сертификат ФСТЭК на первой странице?

Так для того же, для чего в России сертификат ФСБ.

Ответ: /араип ялд/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu

Интересно, а сейчас их продукт лечит все 15 разновидностей? ((-

Просто странно, лечить компьютер нужно как правило от руткитов и троянов сейчас.

И соменваюсь, что их бесплатный продукт справился бы лучше.

Тест не отвечает руководящим принципам организации Anti-malware Testing Standards Organisation (AMTSO).

Улыбнуло ... АМТСО еще ничего конкретного родить не может, так что этот тест вполне можно как подогнать под их принципы, так и не подогнать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Рагозин

Там же говорится, что анти-руткит функциональность добавлена в сам антивирусный продукт версии 7.6, тестировалась же версия 7.3 в которой этого функционала не было.

Sophos обещал объединить антируткит и антивирус уже давно, но не видел в этом серьезной потребности, так как если на чистом компьютере изначально установлен антивирус Sophos, то его вполне достаточно, чтобы защититься от попыток использования руткитов. Что касается лечения уже зараженных компьютеров, на которых был другой антивирус либо антивируса не было, то Sophos предлагает две бесплатных утилиты: антируткит и антивирусный сканер. Почистил компьютер, только после этого можешь включать его в общую сеть и устанавливать на него корпоративное защитное ПО.

Просто подход к технологиям и к месту их применения другой, это собственно тест и показал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
антивирусный сканер.

т.е. антивирусный сканер (кстати ссылочку бы на него) мог лечить то что не лечил нормальный антивирус? оригинально..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×