Тест антивирусов на лечение активного заражения III (результаты)

[vovan7777 95]

Скажем, что это "фишка" вирусинфо; да и как иначе может быть, имея в команде Зайцева О.? Собственно, имея под рукой CureIT! и редактор реестра, можно добиться аналогичных AVZ результатов.

если бы еще и детект добавляли вэбовцы не по неделям,а за несколько часов...

то мнение о нем было бы гораздо лучше у многих,а то как не глянь на тот же virustotal и новые сэмплы-видят или каспер или авира или еще кто то,но только не Доктор или Симантек....неужели это все банальные кряки и фальшивые срабатывания?)

может засечем на спор и пошлем от разных мыл различные наборы вирусов новых в ЛК,Авиру и Доктор и напишем скорость добавления в базы и ответа? Как раз экспертам и основателям данного портала новый тест!)

потом и посмеемся вместе)

я в этой отрасли вообще не работаю и мое мнение построено лишь на своем опыте работы со всеми продуктами от ведущих производителей.

Вариант лечения зараженной системы,на мой взгляд,это вызов или обращение к профессионалу в области лечения и борьбы с вирусами(если ты обычный пользователь и тебе дорога ценная информация на пк)

Если же человек сам разбирается и подкован в данных вопросах,то шанс нарваться на что то этакое и не заметить очень не велик.Пусть эксперты и пользователи из разряда Gold скажут сколько раз у них было серьезное заражение пк и под чьей защитой?

у меня в последний раз 4-5 лет назад система умерла под касперским 5.

[K_Mikhail 807]

Поздравляю Доктор Вэб с победой!

Правда возникает вопрос,а ,что делать тем у кого компьютер умер под защитой Доктора?

Скачать свежий Курейт?)

http://support.drweb.com/new/tech/

Сами же видите,что на virusinfo.info в разделе-Помогите

лечат по другому совсем и если бы Курейт помогал всегда и от всего-то данного раздела там бы не было вовсе.

Вы можете назвать вендора со 100% детектом?..

Опять-таки, при возникновении проблем, связанных с эксплуатацией того или иного антивируса (в т.ч. проблемы с пропуском вредоносных программ, лечением инфицированной системы), есть его родной саппорт. Что мешает? Самый обычный запрос обычно быстрее решит проблему, чем размышления на тему "если бы еще и..." и "...потом и посмеемся вместе)"на форумах.

[Lex 25]

Собственно, имея под рукой CureIT! и редактор реестра, можно добиться аналогичных AVZ результатов.

Зря вы так. Это очень удобный инструмент. По вашей логике можно продолжить аналогию и вместо редактора реестра использовать прямой доступ к диску для редактирования тех же параметров.

[dr_dizel 385]

1. Много кричали про Rustock.с и что?..

2. Не меньше кричали про буткит...

3. Scano. Полтора года семейству, одна и таже фигня...

Выводов можно много сделать, но обсуждается количество медалек в штуках. Так 4 или все таки 3? А что это нам платиновую медаль дали? Ой, как плохо ... платина .... а мы так хотели золото. Да пошли б вы на$%# с такими обидами, господа.

По медалям я просто про восприятие людьми говорил. Ну и фиг на него, раз рюшечки важнее.

А давайте вспомним про Themida. Помню, что нам обещали если не разбор, то хотя бы детект. У меня уже давно есть одни самый простой бэкдор под защитой фемиды (из опций использована только виртуализация ибо глючило), так его вообще никто не детектит (в отличие от оригинала), какое уж тут лечение. Что с того? Да то, что тесты и проявляют ложь всяких маркетологов, но только тесты нужно доводить до сведения общественности и они должны ей просто восприниматься. А с этим, как видим, есть проблемы.

Что касается конкретно лечения активного, то оно показывает: качество записей вирусной базы + возможности АВ. С современными вирусами без второго можно даже и не париться с первым т.к. это бесполезно. Как видим, русток должен был многих научить и образумить (так говорили), но этого не произошло. Как колбасили, так и колбасят.

[Сергей Ильин 1538]

Да то, что тесты и проявляют ложь всяких маркетологов, но только тесты нужно доводить до сведения общественности и они должны ей просто восприниматься. А с этим, как видим, есть проблемы.

Мы и стараемся это делать - доводим до общественности сведения о реальном положении дел. Москва не сразу строилась, также и ожидать всеобщего признания наших тестов в один момент не приходится.

[AlexxSun 150]

Было два противоположных случая в моей практике, в обоих случаях боролся с заражениями компьютеров у своих клиентов.

1 случай - активное заражение, установлен KAV, базы несвежие, после обновления - детектируем вирус, но KAV предлагает все зараженные файлы удалить вместо лечения. Т.е. процедуры лечения нет. Применил DrWeb, в котором на тот момент процедура лечения от этого вируса была.

2 случай - активное заражение, на компьютере установлено сразу два (!) неисправных антивируса KAV и DrWeb, оба удалил, попробовал вылечить при помощи сканера DrWeb - нашел кучу зараженных файлов, типа вылечил, но после установки KAVa на этот компьютер выявлено, что все исполняемые файлы DrWeb заражены тем самым вирусом, от которого я лечил комп. И добивать остатки зловреда всё равно пришлось при помощи Антивируса Касперского.

Отсутствие хоть какой-либо самозащиты у программы DrWeb меня приводит в уныние и состояние ступора

Да, безусловно, хорошая лечилка, но ввиду недоработки или отсутствия остальных модулей (например, сетевого экрана) она так и остаётся пока лечилкой и не более того.

[dr_dizel 385]

но после установки KAVa на этот компьютер выявлено, что все исполняемые файлы DrWeb заражены тем самым вирусом, от которого я лечил комп

Я помню, как KAV рапортовал о том, что файлы были вылечены. По следам после лечения видать распозновал. Не помните точного сообщения в логе?

А спайдер не запускали?

P.S. Вроде это было с нештой.

[georgy_n 80]

Зря вы так. Это очень удобный инструмент. По вашей логике можно продолжить аналогию и вместо редактора реестра использовать прямой доступ к диску для редактирования тех же параметров.

Я не говорил того, что AVZ неудобна либо бесполезна. Я всего лишь хотел сказать о том, что всегда существует масса альтернативных способов вернуть компьютер в рабочее состояние. И прав K_Mikhail - начинать надо с техподдержки; большинство же домашних пользователей привыкло к тому, что даже имея лиц. продукт, спрашивают совета "на своих любимых форумах". Уж, казалось бы, куда проще - сделать логи, дампы подозрительных файлов, отправить в техподдержку и получить помощь?

[Сергей Ильин 1538]

Я бы хотел сказать несколько слов в защиту некоторых продуктов, проваливших тест. Дело в том, что у некоторых вендоров пока еще специальные утилиты для борьбы с руткитами не интегрированы в основной продукт. Например, пользователи могут дополнительно воспользоваться:

1. Avira Rootkit Detection, который скорее всего получил бы очень высокое место в тесте (Gold Anti-Rootkit Protection Award).

2. AVG Anti-Rootkit, который также имеет высокую эффективность (Silver Anti-Rootkit Protection Award).

3. Trend Micro RootkitBuster, также достаочно эффективен (Silver Anti-Rootkit Protection Award).

4. Чуть хуже McAfee Rootkit Detective (Bronze Anti-Rootkit Protection Award).

Как оказалось, свой антируткит есть и у VBA32, но он используется техподдержкой.

В скобках приведены награды антируткитов в недавнем специальном тесте

http://www.anti-malware.ru/node/159

Также я бы настоятельно рекомендовал всех тем, кто использует антивирусы провалившие тест, но не хочет их менять, обзавестись любым из известных антируткитов, например, Rootkit Unhooker (наш победитель прошлого теста). Поклонники Avira, AVG, Trend Micro или McAfee взять за практику использовать дополнительные утилиты от своих производителей.

[Олег Гудилин 95]

Забавно другое:

F-Secure и Symantec про буткит http://www.virusbtn.com/conference/vb2008/...sslinFlorio.xml

Eset про русток http://www.eset.com/threat-center/blog/?p=127

А лечения нет.

Мы то пиаримся и одновременно дело делаем, а кто-то просто пиарится.

[Ego1st 95]

Хотел руку пожать ребятам из др.веба во время тестирования прям чуть не прослезился, серьезно даже не ожидал что такой результат будет просто шикарно молодцы=))

а вот товарищей из есет вспоминал каждый день недобрыми словами..

от битдефендера во время тестирования ожидал чуток побольше, вообщем-то так же как и от вба (надеюсь у них все к следующему тесту все будет в порядке с руткитами=))

[Groft 65]

...

Как оказалось, свой антируткит есть и у VBA32, но он используется техподдержкой.

...

Ну я бы не сказал, что одной тех. поддержкой

[Umnik 997]

Спасибо Ивану за веселые коллажи, но по Правилам я переместил их в Юмор. Всем рекомендую посмотреть.

[vovan7777 95]

на авировском форуме высказали тоже здравую мысль:

на мою шутку:"просто в Авире уже забыли ,что это такое-активное заражение под их защитой..."

ответили:

"С такой мощной защитой до лечения дело не дойдёт, ибо вероятность заражения стремится к нулю. Я для своего теста использовал "старый" вирус, чтобы заразить им компьютер, пришлось отключить антивирус. Та-же методика применялась и в тесте anti-malware.ru. По условиям теста использовались только вирусы, которые определяются всеми участниками теста.

Если будет заражение новым вирусом, который не детектится ни одним антивирусом (чисто гипотетически), то для того, чтобы его лечить, он должен быть обнаружен и должна быть разработана методика лечения. И только после этого можно будет скачать бесплатные AVZ, CureIt или AVPTool и попробовать вылечить комп, предварительно загнав зараженные файлы в карантин.

Уж лучше иметь мощный антивирус, который не допустит активного заражения, чем "дырявый", который будет периодически пропускать вирусы, а потом героически их лечить."

полностью согласен с данным мнением.

[vaber 350]

С такой мощной защитой до лечения дело не дойдёт, ибо вероятность заражения стремится к нулю.

Если имеется ввиду антивирус Avira под мощной защитой, то это полный бред.

Я для своего теста использовал "старый" вирус, чтобы заразить им компьютер, пришлось отключить антивирус. Та-же методика применялась и в тесте anti-malware.ru.

Предложи человеку почитать методику снова.

По условиям теста использовались только вирусы, которые определяются всеми участниками теста.

По другому провести тест просто невозможно было бы. Как обнаружить и лечить то, что антивирусу неизвестно?

Если будет заражение новым вирусом, который не детектится ни одним антивирусом (чисто гипотетически)

Достаточно, чтобы этот вирус недетектился тем антивирусом, который стоит в системе.

чтобы его лечить, он должен быть обнаружен и должна быть разработана методика лечения. И только после этого можно будет скачать бесплатные AVZ, CureIt или AVPTool и попробовать вылечить комп, предварительно загнав зараженные файлы в карантин.

Если он будет обнаружен и будет процедура лечения, то никакие другие утилиты просто не понадобятся. Более того, CureIt и AVPTool - утилиты от победителей теста Специально для тех, кто использует антивирусы, которые не умеют лечить.

Уж лучше иметь мощный антивирус, который не допустит активного заражения, чем "дырявый", который будет периодически пропускать вирусы, а потом героически их лечить.

Верно, а еще лучше иметь мощный антивирус который не допустит заражения и который может лечить

[seevbon 40]

Большое спасибо ресурсу и отдельно тестерам за проведенную работу. Хелперы на другом форуме уже высказывают вам слова благодарности. С узерами не все так радужно.

По медалям я просто про восприятие людьми говорил. Ну и фиг на него, раз рюшечки важнее.

Действительно, нет смысла спорить с поколением пепси.

Я бы хотел сказать несколько слов в защиту некоторых продуктов, проваливших тест.

Список явно не полный. Или слов в защиту достойны не все?

А НОДовцам просто пофиг судя по всему. Либо изобретают вразумительный и хотя бы относительно непротиворечивый ответ, на это тоже время нужно

Конечно, пофиг. Ответ очевиден и без особого напряжения мысли. Вот он

на авировском форуме высказали тоже здравую мысль:

на мою шутку:"просто в Авире уже забыли ,что это такое-активное заражение под их защитой..."

ответили:

"С такой мощной защитой до лечения дело не дойдёт, ибо вероятность заражения стремится к нулю.

Мнение узера: только профилактические слои несут практическую пользу.

[georgy_n 80]

лучше иметь мощный антивирус который не допустит заражения и который может лечить

Эта фраза натолкнула на мысль о проведении теста на совместимость антивирусных продуктов с другими приложениями. Последние два неприятных момента связаны с АВ Касперского, не у меня лично, а у моих знакомых:

1. KAV при установке требует удаления Comodo firewall, приходится ставить в обратной последовательности;

2. KAV / KIS 2009 "валят" Word - не дают возможности сохранения документов; в базе знаний эта ошибка указана для FAT32, но, как оказалось, это приемлемо и для NTFS.

Да, эти несовместимости указаны в базе знаний, но конечному пользователю от этого не легче, - осадочек остается. А в случае с Word, так и не подумал бы на АВ, если бы не Filemon.

[K_Mikhail 807]

Мнение узера: только профилактические слои несут практическую пользу.

Правда? А, если профилактика не спасла (апдейт с сигнатурой пришёл уже после пропуска инфекции), что тогда -- форматирование С:\ с последующей переустановкой системы?.. Восстановление из образа?

P.S. Из жизненной практики -- есть у меня несколько знакомых людей, которые пользуются NOD32. На заданный вопрос "чем лечить будете, если NOD32 пропустит?" ответ был стандартный -- "а мы тогда ваш CureIt! скачаем". Вот вам и "мнение узера".

[vovan7777 95]

я наверное странный юзер...если у меня конфигурация из моей подписи не разу не подвела за 4 года...

а когда скачал CureIT 4.44 (был такой "веселый" денек-неделька у доктора) когда он кучу файлов Troyan-Original в системе дал-я просто обалдел и выложил этот скрин на форуме ЛК на,что Уважаемый форумчанин p2u

сказал:

http://forum.kaspersky.com/index.php?showt...mp;hl=vovan7777

Удали я это все и game over....

Недельку эта веселуха у доктора была.

[ak_ 395]

Если имеется ввиду антивирус Avira под мощной защитой, то это полный бред.

Аргументы? Avira AntiVir Premium обеспечивает меньший уровень защиты, чем KAV?

Я для своего теста использовал "старый" вирус, чтобы заразить им компьютер, пришлось отключить антивирус. Та-же методика применялась и в тесте anti-malware.ru.

По другому провести тест просто невозможно было бы. Как обнаружить и лечить то, что антивирусу неизвестно?

Не пойму, в чём противоречие?

Ссылка на оригинал: http://forum.avirus.ru/viewtopic.php?t=944 (прошу не судить строго за любительский тест )

чтобы его лечить, он должен быть обнаружен и должна быть разработана методика лечения. И только после этого можно будет скачать бесплатные AVZ, CureIt или AVPTool и попробовать вылечить комп, предварительно загнав зараженные файлы в карантин.

Эта ситуация была высказана применительно к Avira.

Причина редактирования: исправлена опечатка в слове "Avira"

[AlexxSun 150]

я просто обалдел и выложил этот скрин на форуме ЛК

Ложные срабатывания бывают почти у всех антивирусов, причём тут тест на лечение ? Я когда поставил Авиру, то она начала ругаться на свой собстенный инсталлятор, упакованный архиватором

[vaber 350]

Аргументы? Avia AntiVir Premium обеспечивает меньший уровень защиты, чем KAV? blink.gif

Я к тому, что одного антивируса для мощной защиты, о коей шла речь, недостаточно.

[ak_ 395]

Я к тому, что одного антивируса для мощной защиты, о коей шла речь, недостаточно.

Аааа, ну тогда уточню: Avira AntiVir Premium + Outpost Firewall Pro 2009 + отключение потенциально опасных служб + мозг.

А по самому тесту вопросов в общем нет, всё понятно.

[dr_dizel 385]

Мы и стараемся это делать - доводим до общественности сведения о реальном положении дел. Москва не сразу строилась, также и ожидать всеобщего признания наших тестов в один момент не приходится.

Но общественность противоречиво воспринимает доводимые сведения. Оно сравнимо с принуждением их писать справа налево.

Как решение, которое логически должно удовлетворять все стороны, вижу следующее:

на медалях писать номер занятого места т.е. I, II, III, IV.

Не надо ни капельки изменять методику, не надо менять металлы для наград, а нужна лишь графическая доработка медалей.

Что можно против этого возразить я даже и не представляю...

[Илья Рабинович 521]

на медалях писать номер занятого места т.е. I, II, III, IV.

Поддерживаю. А то всякие маркетоиды будут пиарить "золото" как великое достижение их продуктов.