Перейти к содержанию
Ummitium

NIS 2010 вопросы и неясности...

Recommended Posts

Кирилл Керценбаум
как убрать последнюю строку?

пока никак, это было сделано специально для более широко представления этой функции, ведь File Insight некий аналог Свойств файла

Я еще внимательно полазаю по журналам, может еще что-то в таком духе найду и, если Кирилл не будет против, вышлю файликом.

буду только благодарен, в 2010 версии появилось очень много новой терминологии, и не везде переводчикам удалось ее правильно интерпретировать, но уже многие неточности замечены и будут исправлены к следующему большому продуктому апдейту, который скорей всего будет в декабре. Также все будет учтено в новом релизе Norton 360 4.0 весной 2010 года

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla
пока никак, это было сделано специально для более широко представления этой функции, ведь File Insight некий аналог Свойств файла

а я тут уже принялся перелопачивать реестр =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
а я тут уже принялся перелопачивать реестр =)

ну чисто теоретически это может помочь :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla
ну чисто теоретически это может помочь

не, не помогло.. оно единое, вместе с верхней менюшкой. Т.е. удаляю одно то удаляется и другое..

Вот ещё вопрос, замечаю такую картинку в трее иногда, что значит? c0e5d950baa3.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Вот ещё вопрос, замечаю такую картинку в трее иногда, что значит?

Это значит что активирован режим Без вывода сообщений

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla

Хм.. Странный какой-то значок.. Наверно непонятен из-за галочки зелёной.

А есть ли возможность ставить другой фон для главного окна NIS 2010?

Вроде как ещё не уверен, но сонар при первом обнаружении вируса на диске, постоянно орёт что там вирус после перезагрузки винды, даже если диск я уже вынул...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla

Как меня этот сонар 2 уже законал!.. Ладно на агрессивном много орал, так и на стандартном уровне орёт немногим меньше.. На всякие инсталлки игр, на портативные программки, и на не популярные приложения. И сонар ещё ж не отрубается из трея, когда вырубаю там Автоматическую защиту, обычный вирусолов отрубается, а сонар остаётся на страже, его надо самому вырубать в главном окне NIS...

И ещё из трея не полностью экран сетевой вырубается, я так понял что это только отключение контроля приложений, а сетевые атаки всё равно фиксируются и блочатся, что тоже для меня не хорошо.

Ещё бести что почти при любом обнаружении вируса требует перезагрузку системы, хотя вирус был один файлик на флешке, который не запустился даже и был мною полностью удалён. И уже фиг вырубишь потом(как на скрине в первом посте) автоматическую защиту и сонар, перезагрузиться нужно по-любому!

И ещё какие-то странные фолсы у этого сонара 2(в сонаре 1 таких припадков вообще не было), один раз удалил мне файл ctfmon.exe, обозвав его троянцем, восстановил, перезагрузился, и сонар успокоился.. Вообще без какой либо причины, захламив мне весь журнал этим "трояном" записями о безрезультатных попытках удалить его, опять обнаружения трояна, опять попытка удалить, и опять и опять, где-то записей >10 было..

Ещё раз он мне удалил официальную инсталлку библиотек vcredist, установку которой запустила другая программа в тихом режиме..

Ещё журнал жутко тупит и захламляется каждым чихом системы! И из-за этого ещё утром чистый журнал, через пол дня забивается так, что переключение между фильтрами его, очень нагружают процессор и усиленно шуршит жёсткий..

В общем 2010-я версия намного проблематичнее, чем, имхо, 2009, с ней всё намного спокойней было, и не сваливайте это всё на новые технологии..

В общем откатываюсь на предыдущий антивирус..

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss
Как меня этот сонар 2 уже законал!.. Ладно на агрессивном много орал, так и на стандартном уровне орёт немногим меньше.. На всякие инсталлки игр, на портативные программки, и на не популярные приложения. И сонар ещё ж не отрубается из трея, когда вырубаю там Автоматическую защиту, обычный вирусолов отрубается, а сонар остаётся на страже, его надо самому вырубать в главном окне NIS...

И ещё из трея не полностью экран сетевой вырубается, я так понял что это только отключение контроля приложений, а сетевые атаки всё равно фиксируются и блочатся, что тоже для меня не хорошо.

Ещё бести что почти при любом обнаружении вируса требует перезагрузку системы, хотя вирус был один файлик на флешке, который не запустился даже и был мною полностью удалён. И уже фиг вырубишь потом(как на скрине в первом посте) автоматическую защиту и сонар, перезагрузиться нужно по-любому!

И ещё какие-то странные фолсы у этого сонара 2(в сонаре 1 таких припадков вообще не было), один раз удалил мне файл ctfmon.exe, обозвав его троянцем, восстановил, перезагрузился, и сонар успокоился.. Вообще без какой либо причины, захламив мне весь журнал этим "трояном" записями о безрезультатных попытках удалить его, опять обнаружения трояна, опять попытка удалить, и опять и опять, где-то записей >10 было..

Ещё раз он мне удалил официальную инсталлку библиотек vcredist, установку которой запустила другая программа в тихом режиме..

Ещё журнал жутко тупит и захламляется каждым чихом системы! И из-за этого ещё утром чистый журнал, через пол дня забивается так, что переключение между фильтрами его, очень нагружают процессор и усиленно шуршит жёсткий..

В общем 2010-я версия намного проблематичнее, чем, имхо, 2009, с ней всё намного спокойней было, и не сваливайте это всё на новые технологии..

В общем откатываюсь на предыдущий антивирус..

Я понимаю ваше огорчение, но всему есть причина. Уверен, в вашем случае тоже. По поводу системных файлов ни на одной из 3 ОС (Windows XP x32 RUS SP3, Windows 7 x32 RUS, Windows 7 x64 RUS), на которых устанавливался НИС 2010 подобного поведения - прибитие Сонаром каких либо системных файлов или инсталляторов - не наблюдалось. Конечно, уточнять сейчас, пожалуй бессмысленно, но вы уверены, что ваша ОС установлена с официального дистрибутива Майкрософт? Случается, что в некоторые т.н. сборки вносится ряд изменений (в том числе и в системные библиотеки), на которые крайне настороженно реагируют очень многие антивирусы. Не раз сталкивался с такой реакцией Nod32 v.3.0.

Что же до всяких инсталлок игр, портативных и непопулярных приложения, то реакция Сонара на подозрительные действия в системе - вполне оправданы, если все эти программы осуществляют какие-либо действия в реестре, обращаются к памяти и т.д. (точно режим Сонара обычный, а не агрессивный?), но вы вполне можете нужные файлы, в которых вы уверены, "Считать надежными" (выбрав на каком-либо файле в контекстном меню пункт Norton File Insight). Как видите, решение все-таки найти можно, если захотеть его найти. Впрочем, при этом я ни в коем случае не отказываю вам в праве принимать продукт или не принимать на основе ваших субъективных ощущений.

Вам не нравится, что блочатся сетевые атаки? Так для этого продукт и предназначен в том числе. Или просто не нравится, что сообщения об этом все время появляются? Если речь только о сообщения, в соответствующих настройках вы можете выключить уведомления об атаках, а если вы, например играете или используете любое иное полноэкранное приложение, которое по каким-то причинам не распознал Нортон - вы также вручную можете включить режим без вывода сообщений (кстати, это можно сделать в контекстном меню NIS 2010 прямо в трее).

В общем, уважаемый Zilla, попробуйте еще раз внимательно отнестись к поведению продукта на вашей системе, и если действительно есть проблемы, то форум для того и есть, чтобы возможные проблемы решать, а не просто прийти, плюнуть и гордо удалиться :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla
Конечно, уточнять сейчас, пожалуй бессмысленно, но вы уверены, что ваша ОС установлена с официального дистрибутива Майкрософт?

да, оригинал. ctfmon.exe удалил сонар, и в Norton File Insight (кстати, штучка эта очень понравилась, правда база ещё маловата всё таки) показывало что этот файл был использован тысячами пользователями, и то что у него рейтинг высокий(красный). Но после восстановления и перезагрузки рейтинг поменялся на Низкий.

но вы вполне можете нужные файлы, в которых вы уверены, "Считать надежными" (выбрав на каком-либо файле в контекстном меню пункт Norton File Insight). Как видите, решение все-таки найти можно, если захотеть его найти.

Кстати, да, спасибо! Как-то забыл про эту кнопочку)

Что же до всяких инсталлок игр, портативных и непопулярных приложения, то реакция Сонара на подозрительные действия в системе - вполне оправданы, если все эти программы осуществляют какие-либо действия в реестре, обращаются к памяти и т.д. (точно режим Сонара обычный, а не агрессивный?)

Сначала я поставил уровень агр., но он у меня тогда вообще разбушевал, поставил обычный, тревог стало по-меньше, но всё равно частенько на инсталлки и портативки орал.. Не, вообще меня оно устраивает даже на агрессивном уровне, но пускай он не сразу бы удалял процесс вместе с файлом, а спросил меня что ему делать, и я бы нажал Доверять этому приложению (как в КИС 2010, например, в интерактивном режиме), а то ж например ставлю какую-то игру, и где-то под конец запускается какая-то мелкая распаковка, занесение ключей в реестр и другие завершающие операции, как сонар сносит процесс и заносит инсталлку в хранилище, и игра накрылась =(

Вам не нравится, что блочатся сетевые атаки? Так для этого продукт и предназначен в том числе. Или просто не нравится, что сообщения об этом все время появляются?

Нет, нет, устраивает.. Ну вот например хочу я поиграть в онлайн игру, через трей отрубаю Автоматическую защиту и Сетевой экран, играю некоторое время, выхожу, нортон из тихого режима переходит в обычный и уведомляет о том что пока я играл он что-то там обнаружил, удалил и заблокировал. И смотрю, а там огромный список атак на мой компьютер, но всё дело в том, что никаких атак не было, я даю гарантию, это просто фолсы нортона. Так в общем мне не нравится просто то, что через трей при выключении Автоматической защиты и Сетевого экрана не отрубается СОНАР и защита от сетевых атак, по идее это же всё относится к защите и к сетевому экрану..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss
да, оригинал. ctfmon.exe удалил сонар, и в Norton File Insight (кстати, штучка эта очень понравилась, правда база ещё маловата всё таки) показывало что этот файл был использован тысячами пользователями, и то что у него рейтинг высокий(красный). Но после восстановления и перезагрузки рейтинг поменялся на Низкий.

Кстати, да, спасибо! Как-то забыл про эту кнопочку)

Сначала я поставил уровень агр., но он у меня тогда вообще разбушевал, поставил обычный, тревог стало по-меньше, но всё равно частенько на инсталлки и портативки орал.. Не, вообще меня оно устраивает даже на агрессивном уровне, но пускай он не сразу бы удалял процесс вместе с файлом, а спросил меня что ему делать, и я бы нажал Доверять этому приложению (как в КИС 2010, например, в интерактивном режиме), а то ж например ставлю какую-то игру, и где-то под конец запускается какая-то мелкая распаковка, занесение ключей в реестр и другие завершающие операции, как сонар сносит процесс и заносит инсталлку в хранилище, и игра накрылась =(

Нет, нет, устраивает.. Ну вот например хочу я поиграть в онлайн игру, через трей отрубаю Автоматическую защиту и Сетевой экран, играю некоторое время, выхожу, нортон из тихого режима переходит в обычный и уведомляет о том что пока я играл он что-то там обнаружил, удалил и заблокировал. И смотрю, а там огромный список атак на мой компьютер, но всё дело в том, что никаких атак не было, я даю гарантию, это просто фолсы нортона. Так в общем мне не нравится просто то, что через трей при выключении Автоматической защиты и Сетевого экрана не отрубается СОНАР и защита от сетевых атак, по идее это же всё относится к защите и к сетевому экрану..

По поводу отключения всего сразу через трей, может и стоит обратиться к разработчикам через Кирилла Керценбаума, хотя лично на мой взгляд, такая фрагментарная защита, когда пользователь то включает, то отключает защитные системы, ничуть не лучше, чем если бы она все время была отключена. Нортом тем и хорош, что позволяет отразить практически любые угрозы бызопасности превентивно. Но это только мое мнение, вы, естественно, можете считать иначе. Атаки распознаются по сигнатурам. Да, к сожалению, пользователь изменить сигнатуру по своему усмотрению (но, кажется, для этого надо быть все-таки специалистом), но если вы уверены, что это фолсы, вы можете в списке этих сигнатур отключить те, что по вашему мнению фолсят. Тогда никаких сообщений о них не будет, да и блокироваться они также не будут.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss

Кстати, интересная штука, вот только что буквально наткнулся - при отключении автоматической защиты в трее, отключается и Сонар. Отключил защиту на 15 минут, открыл главное окно НИС 2010, зашел в параметры - Сонар там отключен.

Приду домой, зловредика запущу, который еще не определяется ни сигнатурно, ни эвристиком - погляжу, действительно ли Сонар отключается или это просто видимость в настройках создается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic
при отключении автоматической защиты в трее, отключается и Сонар

И еще Download Insight отключается...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla

Эм.. Почему так не знаю, у меня были случаи что я отключаю авт. защиту через трей, играю во что-то несколько часов, выхожу, и вылазят сообщения что за время игры сонар обнаружил троянов всяких.. =(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Что же до всяких инсталлок игр, портативных и непопулярных приложения, то реакция Сонара на подозрительные действия в системе - вполне оправданы, если все эти программы осуществляют какие-либо действия в реестре, обращаются к памяти и т.д.

у меня Sonar срабатывал на программку, переконвертирующую файлы из одного формата в другой. Программе - сто лет в обед, ни в какие реестры и т.д. она не лезет... Так что алгоритм сонара - большая тайна :) Правда одно но: сонар был в агрессивном режиме

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss
у меня Sonar срабатывал на программку, переконвертирующую файлы из одного формата в другой. Программе - сто лет в обед, ни в какие реестры и т.д. она не лезет... Так что алгоритм сонара - большая тайна :) Правда одно но: сонар был в агрессивном режиме

Конечно, алгоритм Сонара - большая тайна. Коммерческая в том числе :)

А конвертеры конвертерам рознь. Вот использовал я как-то один конвертер извсегововсеиобратно, так там при запуске прямо так и написано, что, мол, эвристику желательно отключить, а можно и вообще антивирь вырубить, однако тот же Сонар - вполне уживается, никаких тревожных сообщений не шлет. Это я к тому, что не только алгоритм работы Сонара тайна, но и алгоритм работы других программ (конечно, может, не всех) - тоже. В вашем случае можно попробовать отправить этот конвертер в вирлаб Симантека с указанием, что Сонар фолсит на эту программку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss
Кстати, интересная штука, вот только что буквально наткнулся - при отключении автоматической защиты в трее, отключается и Сонар. Отключил защиту на 15 минут, открыл главное окно НИС 2010, зашел в параметры - Сонар там отключен.

Приду домой, зловредика запущу, который еще не определяется ни сигнатурно, ни эвристиком - погляжу, действительно ли Сонар отключается или это просто видимость в настройках создается.

Проверка прошла успешно. Файл, на который Сонар нервно реагировал при включенной автоматической защите, хорошо и правильно отработал при отключении защиты через меню в трее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
В вашем случае можно попробовать отправить этот конвертер в вирлаб Симантека с указанием, что Сонар фолсит на эту программку.

проблема "решилась" более радикально :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Как?

оттуда попросили убрать NIS, увы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla
Проверка прошла успешно. Файл, на который Сонар нервно реагировал при включенной автоматической защите, хорошо и правильно отработал при отключении защиты через меню в трее.

Что-ж.. Возможно то был баг.. Но то о чём я говорю уверен на 100%.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator

Если мне не изменяет память, на ноябрь планировался выпуск новой версии NIS в линейке 2010. Уже известно, какие планируются изменения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Если мне не изменяет память, на ноябрь планировался выпуск новой версии NIS в линейке 2010. Уже известно, какие планируются изменения?

Конец октября-начало ноября, версия 17.1, будет доступна через LiveUpdate, только исправление нескольких ошибок, некоторые косметические доработки будут в версии 17.5 в декабре

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss
Конец октября-начало ноября, версия 17.1, будет доступна через LiveUpdate, только исправление нескольких ошибок, некоторые косметические доработки будут в версии 17.5 в декабре

в версии 17,1 - исправление нескольких ошибок.

в версии 17,5 - некоторые косметические доработки.

Я все правильно понял?

Уж, вы простите, уважаемый Кирилл, когда человек говорит, по интонации понятно, что именно имеется в виду, а вот когда пишет, то не всегда :unsure: (вот такой я непонятливый бываю :( )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss

У меня вопрос по поводу встроенного в Windows 7 файрвола. При установке NIS 2010 на Windows 7 x64 встроенный файрвол продолжает работать. При этом в "Центре поддержки" в разделе безопасность указывается, что в системе установлено и работает два брандмауэра. Есть примечание, в котором говориться, что "если одновременно запущено более одного брандмауэра, то они могут вступать в конфликт".

Конфликта не наблюдается, и НИС вполне перехватывает обращения программ к сети, однако мне все-таки не совсем ясна логика работы этих двух брандмауэров. Так что же лучше - оставить так как было с начала - то есть два включенных брандмауэра (тем более, что (!!!), если встроенный отключить, то нет возможности, скажем, разрешить удаленный доступ к машине)? Или встроенный все-таки отключить?

Заранее благодарю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Как Вы верно заметили, отключение встроенного файерволла влечёт за собой функциональные неудобства. Во их избежание продукт Симантек сделан так, чтоб нормально уживаться с файерволлом Windows7.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      santy, 1) " критерии - это те же самые фильтры "  " один фильтр поднять, удалить все.... " Те, да не те.   В FRST оператор ( анализируя лог в текстовом редакторе ) может в один заход удалить _любое число объектов - хоть исполняемых, хоть не исполняемых. Это несколько секунд. Да, таких объектов в логах обычно 2-8 вроде бы и не много... Но они есть:  No File  ->  No Name ->  [0]  ->  [X]  ->  FirewallRules  -> .info.hta  всего 2-8 объекта у которых может быть до 100 записей. Создать постоянный критерий ? Это не вариант. Файлы:  .bat   Чего вроде проще - взять и всё удалить. Однако мы понимаем, что есть и полезные .bat файлы упрощающие работу администратора - запуск тех, или иных программ.  Или .TMP объекты - вроде и не нужны ?  но удалять всё разом также не вариант - если некая программа в процессе обновления и мы его прервём это может привести к сбою в её работе. Я же предлагаю адаптивный  _ситуативный вариант.  В системе есть, как полезные так и  не желательные... .bat ... Отфильтровываем ( по идентичному имени, или SHA1 ) и удаляем хоть 10 файлов разом не нанося вреда файлам полезным и не тратя зря время. И как мы знаем не всё что удаляется достойно занесения в snms так, как бывают уникальные случаи которые встречаются один -два раза, а мороки с настройкой\корректировкой критерия будет море. 2) " создать критерий black_sha "  мы же понимаем, что это не серьёзно - это не будет работать. Сейчас в ходу не те примитивные вирусы, что были, да и Adware ежедневно выпускаются новые. " изначально и не обещали, что будет легко работать с uVS "  Работа в uVS - как работа с инструментом это одно. А отдельно взятая операция\команда - это другое. Разве не требуется анализ лога в FRST ? однако никто не требует от оператора  тыкать 100 раз по всем этим _мусорным No File  ->  No Name ->  [0]  ->  [X]....  Здесь достаточно 2-3 команд. 3)  " если добавить команду "удалить текущий файл и всю его "родню"", на процент применения инструментов на форумах это не повлияет. " Не могу согласиться с эти утверждением. Привычки привычками. Например на некоторых велосипедах пита BMX вообще нет тормоза - он не предусмотрен конструкцией.  Тормоз утяжеляет велосипед - мешает работать в прыжковых дисциплинах ( можно случайно его нажать ) , влияет на стоимость при покупке ( есть место под крепление, если нужно - купи и установи ) Однако мы же понимаем, что такая езда не безопасна - тормозить ногами, ездить по городу в транспортном потоке и т.д. т.е. одно прямо противоречит другому. 4) " твои предложения сводятся к созданию еще одного удалятора " Программа, какой была такой и останется - что поменяется ? Здесь всё как раз наоборот: Сигнатуры это прерогатива антивирусов, это временное решение:  есть угроза - есть сигнатура, нет угрозы - нет сигнатуры ( она устарела )  Критерии же могут служить годами. Если программа будет помнить поисковые запросы оператора - не придётся и поиск с клавиатуры набирать. В предложении, я не умоляю функционал uVS - напротив предлагаю его дополнить. Под привычки операторов - которые анализируют\работают в текстовых редакторах ? Пусть так. _Оператор решает, как ему работать. Хочешь стреляй одиночными, хочешь отсекай по два выстрела - хочешь бей очередями.      
    • santy
      wscript.exe, csript.exe, mshta.exe, так же как regsvr32.exe, rundll32.exe засветят в образе тот отдельный файл, который они выполняют. --------------------------------- вот еще картинка, как могут быть применены системные файлы в деструктивных действиях. wmic, bitsadmin: Программа администрирования BITS (BITS) используется в Windows для загрузки обновлений безопасности. Именно это свойство службы использует киберпреступники, чтобы скрыть свое присутствие на скомпрометированной системе. Еще одна особенность, которая затрудняет предупреждение BITS, заключается в том, что когда опасное приложение загружает файлы с использованием службы, трафик, как представляется, поступает из BITS, а не из приложения.  Возможности злоупотреблений BITS не ограничиваются загрузкой программ. Служба BITS может стать источником утечки информации, если воспользоваться ею для передачи файлов из сети на внешний компьютер
    • santy
      RP55, 1. критерии - это те же самые фильтры, и потому команды удаления, реализованные в критериях - это тоже самое удаление с учетом конкретного фильтра. В snms их может быть много, и uVS строит автоскрипт согласно множеству фильтров одновременно, а не так как ты предлагаешь: один фильтр поднять, удалить все.... второй фильтр поднять - удалить все и т.д. 2. если тебе нравится удалять по хэшам, ты можешь создать критерий black_sha, и вести список черных хэшей в отдельном файле. надеюсь, как подключить файл к критерию ты еще не забыл. никто изначально и не обещал, что будет легко работать с uVS - только те, кому интересно не просто быстро удалять файлы, но и в первую очередь выполнить анализ заражения системы в комплексе. Зачастую же на форумах выполняют удаление вначале одним, потом вторых и третьим инструментом, (а иногда еще и сканерами) и только когда проблема не решается, тогда делают образ автозапуска в uVS, в итоге проанализировать всю картину заражения в комплексе (и сделать какие то полезные выводы и решения) становится сложнее по тем остаткам, что попадут в образ автозапуска. процент применения инструментов на форумах, если он такой какой ты его привел здесь не отражает адекватно тот факт, что инструменты FRST, avz удобнее в анализе или удалении, чем uVS. Скорее всего, это отражает привычку тех или иных форумов работать по определенной методике. avz +hj + скрипты + (adwcleaner) +FRST или uVS + скрипты+ (adwcleaner)+FRST и если добавить команду "удалить текущий файл и всю его "родню"", на процент применения инструментов на форумах это не повлияет. --------------- так что в основном твои предложения сводятся к созданию еще одного удалятора вредоносных программ, которых сейчас предостаточно, вместо реального поиска проблем и анализа, который можно сделать в uVS.
    • PR55.RP55
      Как мы выше выяснили, не все файлы которые нужно удалять являются исполняемыми. Не для всех файлов возможно добавление сигнатур - как мы помним из опыта в ряде случаев в код вируса намеренно добавляется код системных файлов - что приводит к ложным срабатываниям. Если у файлов идентичные SHA1 - сигнатуры не нужны так, как определение по SHA1 - надёжнее. Не все операторы работают с сигнатурами - это занимает больше времени - требуется проверка по V.T.  с целью определения типа угрозы, нужно прописать наименование угрозы, если нет результата по V.T. ; необходимо проверить список и исключить ложные срабатывания, если же корректировка невозможна то приходиться параллельно  работать с сигнатурами + удалять файлы в ручную, или через поисковые критерии\автоскрипт. таким образом изначально простое действие превращается в целый набор операций. Если бы удаление работало по типу: " Удалить все объекты с учётом фильтра "  было бы ещё проще. Удалить все: .bat Удалить все: .info.hta Удалить все: .TMP Удалить все: .HTTP  и т.д. Если есть опасение за целостность системы - можно установить заглушку на удаление по типам расширений. uVS  _избыточно требовательна к оператору. Как итог 75% всех случаев заражения  это очистка в FRST и 12% в AVZ на долю uVS приходиться ( как это ни печально ) 5%
    • demkd
×