Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

umnik

КАКОЙ АНТИВИРУС ЛУЧШЕ!

Рекомендованные сообщения

Тормоза нашего Продукта - это ненормально. Возможные причины:

1. В нулевом кольце живут несовместимые драйверы. От криво удаленных других защитных ПО, от работающих защитных ПО, от кривых драйверов устройств (хотя на сайте производителя лежат исправленные)

2. Используются кривые драйверы сетевой платы\модема. На сайте производителя нужно искать всегда самую последнюю версию.

3. Работает руткит или ПО с функциями руткита\антируткита

4. Бага в ОС, которая уже исправлена производителем, но пользователь почему-то отказывается ставить фиксы\SP. В Vista минимум две таких знаю.

5. Логические ошибки на винте (chkdsk x: /f)

6. Банальная фрагментация

7. Криво установился, по какой-то причиние

Если все это отметается, то нужно предоставить GSI на рассмотрение для начала тут. Если не поможет - на оффоруме. Если и там разведут руками - в техподдержку. Можно сразу в техподдержку, если проблема заведомо сложная. Или потому что так хочется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
но не во всех же *exe)))а просто все удалял даже которые в папке с виндой

а вы какую версию пользовали, как часто обновляли, а настройки у вас какие были?

а не заметили, когда он спрашивает что делать с файлом, ну типа переместить в карантин, переименовать и т.д.

я всегда выбирал "переименовать" (он по умолчанию добавляет .virr ) затем проверял этот файл на virustotal (чтоб не думать о ложных срабатываниях) и карантин не дураки придумали.

А отправить зараженные файлы разработчику не пробывали?

Если Вы не разобрались в настройках или не научились пользоваться всеми инструментами продукта, то кто в этом виноват?

то об этом долго жалел

любой комп лечится очень быстро. от 1 часа

 

 

 

Тормоза нашего Продукта - это ненормально. Возможные причины:

...

совершенно верно

+ еще одна - убит вирём

и все эти причины справедливы практически для всех продуктов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
любой комп лечится очень быстро. от 1 часа

Вы не сталкивались с sinowal, например...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Тормоза нашего Продукта - это ненормально. Возможные причины:

1. В нулевом кольце живут несовместимые драйверы. От криво удаленных других защитных ПО, от работающих защитных ПО, от кривых драйверов устройств (хотя на сайте производителя лежат исправленные)

 

Быстрее klif систему положит от того количества хуков что он ставит, чем тормозить начнет, если вдруг появятся драйверы перехучивающие функции.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Вы не сталкивались с sinowal, например...

Это загрузочный вирус, что ли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

касперский на мощный машинах..может и ничего..а на старых все тормозить будет..много съедает оперативки..

аваст проще..удобен в использовании..и по качеству также не плох..xD

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мячин Д.А.,

Что есть GSI?

 

Тормоза нашего Продукта - это ненормально. Возможные причины:

1. В нулевом кольце живут несовместимые драйверы. От криво удаленных других защитных ПО, от работающих защитных ПО, от кривых драйверов устройств (хотя на сайте производителя лежат исправленные)

у меня небыло других по кроме каспера

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
касперский на мощный машинах..может и ничего..а на старых все тормозить будет..много съедает оперативки..

аваст проще..удобен в использовании..и по качеству также не плох..xD

 

на старых машинах любые антивирусы тормозят, хоть нод, хоть каспер, хоть авира, хоть даже макафии

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

для тех у кого нет интернета (по разным причинам)

При старте создает в системной директории (%sysdir%) свою копию под именем OEMBIOS.EXE, и файлы SYSPROC32.SYS и SYSPROC86.SYS, в поддиректории sysproc64 в %sysdir%.

Троян обеспечивает себе автозагрузку при каждом старте Windows. Для этого он записывает путь к своей копии в соответствующем разделе реестра:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ WindowsNT\ CurrentVersion\ Winlogon Userinit = %sysdir%\oembios.exe

 

Рассылается злоумышленниками в спаме; сообщение содержит текст на английском языке, обвиняющий получателя в рассылке вредоносных программ и угрозами обратиться в полицию. Сам троян прикреплен в файле "IPLOGS.zip", который представлен как журнал вирусных атак. Внутри находится сам троян, IPLOGS.exe, с иконкой документа PDF.

 

источник: PandaSecurity.com

 

ЗАЩИТА

 

* Отключить функцию "Восстановление системы" (для Windows ME и XP)

* Полностью проверить систему антивирусом с обновлённой базой сигнатур

* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Быстрее klif систему положит от того количества хуков что он ставит, чем тормозить начнет, если вдруг появятся драйверы перехучивающие функции.

Количество хуков не особо-то влияет на производительность. :) Узкое место в производительности нашего АВ - это не ядро. :) Угадайте что.

 

Это загрузочный вирус, что ли?

Угу. Русток.

 

Нет. Это ерунда.

 

касперский на мощный машинах..может и ничего..а на старых все тормозить будет..много съедает оперативки..

аваст проще..удобен в использовании..и по качеству также не плох..xD

Мммм. 1,8 ГГц/512 МБ/ХР SP3 - мощная? 20-40 Мб в штатном режиме - много?

 

Мячин Д.А.,

Что есть GSI?

у меня небыло других по кроме каспера

GetSystemInfo - наша утилитка.

Я несколько причин назвал. Кому-то, вот, SP1 для Висты помог. С помощью GSI можно быстро найти простые проблемы. Сложные - это саппорт. Вплоть до того, что выдадут персональную ppl, например.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Количество хуков не особо-то влияет на производительность. B) Узкое место в производительности нашего АВ - это не ядро. :D Угадайте что.

 

Ну и я говорю что не влияет. Узкое место... даж и не знаю, у меня сложились стереотипы об авп с далеких 3хх версий, как-то и не особо стремлюсь их развеивать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Aike,

Ааа. Я не так понял. :)

В общем, узкое место. Кто еще может предположить? B)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну думаю пользователь.

Кстати, вопрос не в тему, а как авп теперь узнает приложения, всмысле доверять им или нет? Например есть одна вещь, которой авп доверяет, этой вещью можно снять хуки klif'а, соотв. убить этим хипс и защиту процессов авп. Что мешает злобной программе мимикрировать под добрую тем самым повредив хипс?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ни скажи..к примеру у меня стоит относительно старый комп..стоит аваст..работает..ощютимых проблем и загруженности машины не ощющаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Aike,

Узкое место - операции с жестким диском, ЮСБ. :angry: Потому 8-ка так легко работает в фоне но нагружает систему при проверке по требованию. :angry: Разработчики выжали из нового движка 80% возможностей. Вот теперь почти все и уперлось в железо :D

 

У нас есть огромная база доверенных приложений + мы смотрим на цифровые подписи.

Если приложение числится в нашей базе, то будет так:

post-343047-1224003555_thumb.png

А если доверенная цифровая подпись, то так:

post-343047-1224003599_thumb.png

Но эти технологии, особенно первая, сильно связаны с Инетом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Если приложение числится в нашей базе, то будет так:

post-343047-1224003555_thumb.png

а вот это откровенно улыбнуло <_< , ну сами вдумайтесь хорошенько.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

VladimirSS,

Источник улыбнул? :huh: Если да, то нет причины. КИС следит, кто именно стянул программку - легитимное приложение (Fx в белом списке по ЭЦП) или какой-нибудь троян-дроппер (или просто приложение не из белого списка).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А как вам такие результаты анализа: http://www.virscan.org/report/a5e666e1faab...da45a50dd9.html

Ложное срабатывание?

Это я недавно испытывал антивирус, переходя по очень "интересной" ссылке в спаме на одном из форумов. :)

4fff173cfbaft.jpg Если проигнорировать и перейти на страницу, то получим навязчивое предложение загрузить очень нужный для просмотра кодек :)

4e7aa636aae3.jpg7eec9cef2508.jpg

Любой ламер, естественно, запустит данный файл, который не палится ни одним из антивирусов, кроме Майкрософта :)

Этот МСкодек тихо скачивает некий файл a.exe, (на который антивирус тоже не ругается), который втихаря меняет критические значения реестра, один из них: a0b441253504t.jpg и скачивает файл b.exe, e8468750e7ddt.jpg на который Авира уже ругается. Он тоже меняет ключи реестра и скачивает следующий файл c.exe, на который Авира тоже ругается как на троян. После запуска этого экзешника комп завис так, что пришлось выключать кнопкой отключения питания.

Эксперимент проводился в режиме "тени" под Shadow Defender и после перезагрузки все изменения были утрачены, остались только эти скрины и результат анализа, которые успел сохранить. Ещё успел отправить на анализ в ЛК из карантина этот самый HTML document tttt23.jpg

Сегодня утром пришел ответ:

Здравствуйте,

 

tttt23.jpg_ - Trojan-Downloader.HTML.Agent.lm

 

Детектирование файла будет добавлено в следующее обновление.

 

Пожалуйста, при ответе включайте переписку целиком.

 

--

С уважением, Сергей Прокудин

Вирусный аналитик Лаборатории Касперского.

e-mail: newvirus@kaspersky.com

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это не палился. :D Это ругался на пакер. =)

HIPS не даст изменить критичные ключи реестра. Плюс процесс пытается работать с сетью от себя. Ну это уже полная ерунда, с которой справится даже НОДовский недофаервол :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А тут разве речь идёт о файрволлах? В данном случае модуль WebGuard, входящий в состав антивируса не даст скачать нечто недетектируемое. В данном случае реакция на пакер оправдана.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А я не спорю, что в данном случае реакция оправдана :D

Можно ссылку мне в личку? Дома проверю не обновляя базы. Специально зайду не из Fx с NoScript, а из-под IE.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
А как вам такие результаты анализа: http://www.virscan.org/report/a5e666e1faab...da45a50dd9.html

Ложное срабатывание?

этот сайтик (download-software....) опасный по определению при заходе на главную странцу - он пытается вгрузить вам файлик со случайным именем

результат http://www.virustotal.com/analisis/c47b1ee...b2a29c2fa965487

что б это понять скачивать кодек необязательно.

ну какой мнормальный сайт так делает?

и тут дело не в пакерах, а в стратегии сайта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Именно поэтому очень важно, что модуль WebGuard выдаёт предупреждение ещё до того, как скрипт будет обработан браузером и выполнен. Если даже эксплойт будет пойман сканером по доступу в кэше браузера, может быть уже поздно, т.к. загрузка нового недетектируемого трояна уже пошла.

Файлы a, b, c, скачиваемые загрузчиком могут меняться.

Сам загрузчик MSCodecLite: http://www.virscan.org/report/d919003c9153...748e6df468.html

Вот сегодняшние:

a: http://www.virscan.org/report/568c9d3acb6f...7c5a18fa14.html

b: http://www.virscan.org/report/88a7b52557b5...5869e6788e.html

c: http://www.virscan.org/report/efd304afc4c8...89396fef8d.html

Туговато с детектом.

Ответ вирлаба Авиры:

File ID Filename Size (Byte) Result

25163071 a.exe 57 KB MALWARE

25159548 b.exe 100 KB MALWARE

25163034 c.exe 16 KB CLEAN

 

Please find a detailed report concerning each individual sample below: Filename Result

a.exe MALWARE

 

The file 'a.exe' has been determined to be 'MALWARE'. Our analysts named the threat TR/Dldr.Small.exl. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates.

Filename Result

b.exe MALWARE

 

The file 'b.exe' has been determined to be 'MALWARE'. Our analysts named the threat TR/Dropper.Gen. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.This malware is detected by a special detection routine from the engine module.

Filename Result

c.exe CLEAN

 

The file 'c.exe' has been determined to be 'CLEAN'. Our analysts did not discovered any malicious content.

Файл с, возможно, просто полностью не докачался.

___________________________________________________________________________

А вот и вердикт по загрузчику:

File ID Filename Size (Byte) Result

25163129 MSCodecLite.7.exe 28.5 KB MALWARE

 

Please find a detailed report concerning each individual sample below: Filename Result

MSCodecLite.7.exe MALWARE

 

The file 'MSCodecLite.7.exe' has been determined to be 'MALWARE'. Our analysts named the threat TR/Dldr.Small.nsq. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection will be added to our virus definition file (VDF) with one of the next updates.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я через Оперу сижу. :P

А ведь подобный метод впаривания троянов использовался и на Одноклассниках в Мае этого года.

И когда лабы Касперского и Данилова гордо рапортовали об обнаружении угрозы, Авира тихо блокировала с помощью эвристики:

Доступ к файлу был запрещен Предупреждение: в данных (HTTP) был обнаружен вирус или вредоносная программа. Запрошенный URL: http://www.mis-runet.********videor.htm Информация: Contains suspicious code HEUR/HTML.Malware Сгенерирован AntiVir WebGuard 8.0.13.0, AVE 8.1.0.46, VDF 7.0.4.77

Ссылка подправлена, т.к. она ещё рабочая с гадостью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Ссылка подправлена, т.к. она ещё рабочая с гадостью.

может из-за того что я под линуксом, но у меня ссылка не работает (кнопки ссылка#), но их механизм хоть предлагает выбор.

а предыдущий пример грузит сразу.

а каспер пока обработает тот сайт пройдет пол года, и то если стучать будут. самая лучшая Эвристика - мозг пользователя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

VladimirSS, если интересно, могу ссылку в личку скинуть. :)

Для меня, например, было очевидно, что переходя по подобным ссылкам я подвергаю комп повышенному риску заражения, но я сознательно шел на это для проверки антивируса. А сколько людей заразились подобными методами?! Далеко за примером ходить не нужно: когда я обнаружил эту фигню на Одноклассниках, тут-же отписал другу и спросил, не приходило ли ему подобное сообщение? Он сказал, что приходило и его жена буквально только что переходила по ссылке и по доброте душевной нажала кнопку, чтобы поддержать "конкурсантку". Нод молчал. Друг обнаружил в браузере закачку неизвестного файла и прервал её.

Так что антивирусы всё ещё актуальны. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В общем, как и ожидалось. ;)

Не знаю, к чести Авиры или нет, но она сработала на... В общем, сами посмотрите, на какой упаковщик :lol:

16.10.2008 19:44:57	Задача завершена
16.10.2008 19:44:57	ОК	C:\Documents and Settings\Мячины\Рабочий стол\MSCodecLite.7.exe
16.10.2008 19:44:41	ОК	C:\Documents and Settings\Мячины\Рабочий стол\MSCodecLite.7.exe/#
16.10.2008 19:44:41	ОК	C:\Documents and Settings\Мячины\Рабочий стол\MSCodecLite.7.exe/#
16.10.2008 19:44:40	ОК	C:\Documents and Settings\Мячины\Рабочий стол\MSCodecLite.7.exe/PE_Patch.UPX
16.10.2008 19:44:40	ОК	C:\Documents and Settings\Мячины\Рабочий стол\MSCodecLite.7.exe/PE_Patch.UPX/UPX
16.10.2008 19:44:40	Упаковано: UPX	C:\Documents and Settings\Мячины\Рабочий стол\MSCodecLite.7.exe/PE_Patch.UPX
16.10.2008 19:44:40	Упаковано: PE_Patch.UPX	C:\Documents and Settings\Мячины\Рабочий стол\MSCodecLite.7.exe
16.10.2008 19:44:40	ОК	C:\Documents and Settings\Мячины\Рабочий стол\MSCodecLite.7.exe:Zone.Identifier
16.10.2008 19:44:39	Задача запущена

Т.е. упакойте им легитимную программу - тоже самое получите =) Ладно, пользователь не обязан абсолютно доверять эвристике - это подстраховка. Как метод защиты, в общем-то, пойдет для опытных пользователей.

 

Как и обещал, захожу из-под IE. Ничего оригинального - предлагают скачать "кодек". Если жать отмену, но снова предлагают скачать кодек. Каждая "Отмена" - возвращение в начало цикла.

 

Скачал "кодек". Проверил - детекта сигнатурного у нас нет. Хорошо, ибо сигнатура сейчас - не самое главное :lol:

 

Запускаю. На удивление долго (несколько секунд) наш эмуль нюхал файл:

post-343047-1224175408_thumb.png

Такого маленького размера:

post-343047-1224175421_thumb.png

Почему так - это к нашим девелоперам. Видимо надо :)

 

Вредонос получил высокий рейтинг опасности и его работу HIPS предлагает ограничить его работу. Рекомендуется - соглашаемся:

post-343047-1224175431_thumb.png

Ну, вредонос полез ко мне, чтобы что-то дропнуть. Я соглашаюсь с тем, что мне предлагает HIPS:

post-343047-1224175440_thumb.png

Вредонос пытается проверить, есть ли у меня доступ к Инету и что-то стянуть. Ну само-собой - на то он и Троян-Даунлеудер :)

 

На запрет вредонос обиделся и снова попытался что-то сдропать:

 

Ну и пытается запустить батник. Что там - не знаю.

 

В итоге вредонос окончательно обижается и выгружается. Сдропанные файлы, так и не запустившись, исчезают из жизни. :)

 

Но это все в интерактивном режиме. В Автоматическом режиме, если у вредоноса низкий рейтинг, то ему будет разрашено все, кроме опасного. А дроп файла и доступ к Инету - это не опасно. Если рейтинг высокий, то будет автоматом выполняться то, что тыкал я в алертах. И момент истины, смотрим рейтинг вредоноса:

 

Та-дам :)

Помещено пользователем - это я ткнул на "Ограничить" в пером алерте.

 

Все честно - HIPS справился с задачей. Вредонос не смог отработать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

AVP всех победил, ура, ура! ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах