Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

umnik

КАКОЙ АНТИВИРУС ЛУЧШЕ!

Рекомендованные сообщения

Знаешь, социнженеринг - он такой... Бессмысленно говорить о защите при таком раскладе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поставил KIS2k9 вместо Корбиновскогог Веба, приятно удивлен скоростью работы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мячин Д.А., прокомментируйте, пожалуйста, сообщения Касперского в журнале событий.

Следуют подряд, приведены в хронологическом порядке.

 

Антивирус Касперского 6.0 для Windows Workstations (6.0.2.678) (Веб-Антивирус проверка скриптов): Вредоносный скрипт <http://www.фиговы_аватары.ru/[29]>: обнаружено: троянская программа 'Trojan-Downloader.JS.Psyme.aev'.

 

Антивирус Касперского 6.0 для Windows Workstations (6.0.2.678) (Веб-Антивирус проверка HTTP-трафика): Вредоносный HTTP-объект <http://www.фиговы_аватары.ru/>: обнаружено: троянская программа 'Trojan-Downloader.JS.Psyme.aev'.

 

Антивирус Касперского 6.0 для Windows Workstations (6.0.2.678) (Веб-Антивирус проверка скриптов): Вредоносный скрипт <http://www.фиговы_аватары.ru/[29]>: доступ заблокирован.

 

Антивирус Касперского 6.0 для Windows Workstations (6.0.2.678) (Веб-Антивирус проверка HTTP-трафика): Вредоносный HTTP-объект <http://www.фиговы_аватары.ru/>: доступ заблокирован.

 

Пока нормально.

Но следующие сообщения вызывают изумление, вызванное недавними диалогами на форуме. :rolleyes:

 

Антивирус Касперского 6.0 для Windows Workstations (6.0.2.678) (Файловый Антивирус): Файл C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\0X234527\фиговы_аватары[1].htm, обнаружено: троянская программа 'Trojan-Downloader.JS.Psyme.aev'. Пользователь: Его_Имя, компьютер:localhost.

 

Антивирус Касперского 6.0 для Windows Workstations (6.0.2.678) (Файловый Антивирус): Файл C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\0X234527\фиговы_аватары[1].htm удален.

 

Цитата из более раннего диалога про другой Продукт, в котором нет Веб-АВ компонента и поэтому он уступает Касперскому.

Мячин Д.А.: "... если Продукт находит в кэше малвару, это не значит, что он хорошо отработал. Это значит, что малвара УЖЕ выполнила свою функцию. В общем, это значит, что уже поздно. Все из-за отсутствия Веб-АВ."

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Validator,

1. Самое-самое первое, что написано в отчете, это: "Владелец, ты используешь СТАРУЮ версию Продукта. Как бы ни был хорош антивирус, он не просто так развивается. Он затачивается под все новые и новые угрозы". Загрузи и установи актуальные версии как WKS, так и других Продуктов из состава того пакета, который у тебя используется. Переход на новые версии в пределах срока действия лицензии БЕСПЛАТЕН.

2. Тут еще нужно посмотреть, как отсортирована хронология: по времени получения отчета на сервер или по времени регистрации на локалхосте? Какие настройки ВА. На рекомендуемых он должен справляться с этим. Т.е. не должен, а обязан. Если зараза реально проскочила, то жуть какая-то. В общем, дай подробный лог.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Validator,

1. Самое-самое первое, что написано в отчете, это: "Владелец, ты используешь СТАРУЮ версию Продукта. Как бы ни был хорош антивирус, он не просто так развивается. Он затачивается под все новые и новые угрозы". Загрузи и установи актуальные версии как WKS, так и других Продуктов из состава того пакета, который у тебя используется. Переход на новые версии в пределах срока действия лицензии БЕСПЛАТЕН.

Я так и предполагал, что первым делом будет попытка кивнуть на устаревшую версию. :D

Увы, не принимается. Sorry. :D

На сайте Лаборатории эта сборка находится в числе действующих и поддерживаемых.

И она даже не самая старая в списке поддерживаемых.

Хорошо видно на прикрепленной картинке.

Кроме того, продукт регулярно обновляется с сайта лаборатории.

К слову, помнится, даже бывали обновления, требующие перезагрузки.

Не из-за новых сигнатур, ведь, правда ? :D

 

Validator,

2. Тут еще нужно посмотреть, как отсортирована хронология: по времени получения отчета на сервер или по времени регистрации на локалхосте? Какие настройки ВА. На рекомендуемых он должен справляться с этим. Т.е. не должен, а обязан. Если зараза реально проскочила, то жуть какая-то. В общем, дай подробный лог.

Это события из локального Kaspersky Event Log.

Приведены последовательно.

Первые четыре вчера в 16:55:16.

Последние два вчера в 16:55:34.

post-66458-1227082874_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. Ну смотри. Ты сам себе злобный Буратино :D Картинка мне не особо-то и нужна. Ситуацию с поддержкой я знаю отлично :D

2. Как настроен ВА? Есть ли у локального пользователя права на приостановку компонентов защиты?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2. Как настроен ВА? Есть ли у локального пользователя права на приостановку компонентов защиты?

Вот так. Нет прав на приостановку.

post-66458-1227085219_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все верно. Прокси есть? Если да, то по какому порту доступ в Инет у машины?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Убедись, что контроль порта 8080 не отключен и что у локального пользователя нет прав это сделать. После этого зайди на http://www.eicar.org/anti_virus_test_file.htm и попробуй скачать все eicar. По идее, должен быть отчет только от ВА. Для точности можно создать локальную задачу проверки кэша браузера после скачивания тестовиков.

В общем, у меня на уме крутятся три варианта:

1. Лажанул ВА. Но это в ряд ли. Проверить можно как раз тестом выше.

2. Детект вредоноса был добавлен уже после того, как на этот сайт ходили. Склоняюсь к этому.

3. Фолс. Я не могу проверить, т.к. сейчас на работе. А IP Аверов давно известны и часто для наших IP подсовывают чистые страницы, а для остальных - зараженные. http://viewhtml.com/ мертв...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я склоняюсь к первому или третьему варианту.

Детект имел место.

Веб-Антивирус обнаружил и заблокировал (первые 4 сообщения именно об этом).

Но в кэше, несмотря на произошедший детект, почему-то файл появился (хотя не должен был бы) и был обнаружен уже файловым антивирусом через несколько секунд.

Кстати, это далеко не первый случай у него.

Но раньше файлы в кэше не появлялись. Блокировка срабатывала нормально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поясню, почему я склоняюсь к 2. Кстати, объединение 2 и 3 тоже вполне вероятно.

Зашли как-то на сайт. Детекта нет и файлы попали в кэш. Потом ЛК добавляет детект (как вариант - фолс) и снова заходят на сайт. Тут самое главное. Алгоритм:

0. Начинается загрузка сайта. Файл за файлом

1. ВА детектит в одном из скриптов вредонос/фолс

2. Через коннектор, Нагент, klcfginst ВА отправляет отчет на сервер администрирования согласно настройке

3. Параллельно файлы, на которых нет детекта/фолсы должны попасть в кэш. Браузер сверяет даты и еще черт знает что для выяснения, нужно ли загружать каждый файл или его можно просто взять из кэша

4. ФА перехватывает все попытки чтения и записи браузера в кэш

5. Напоминаю - работа браузера (загрузка сайта, обращение к кэшу), работа ВА (проверка входящего трафика по порту 8080) и работа ФА идут параллельно. Это момент принципиальный. В общем, подходит момент, когда под действием работы браузера ФА натыкается в кэше на скрипт, который остался с прошлой загрузки(-ок) сайта, находит его в своих базах и детектит.

6. Аналогично ВА, ФА тоже посылает отчет.

 

Я отправлю аналитикам ссылку на сайт на всякий случай. Если это фолса, то не есть хорошо.

 

Привет,

Нет, это не ложное срабатывание. Скрипт действительно злой.

> Привет!

> У нас не ложняк, часом? [затер]

>

> ---

> С уважением,

> Мячин Дмитрий.

---------

С уважением, Андрей Ладиков

Вирусный аналитик

ЗАО "Лаборатория Касперского"

Validator

Тоже убери ссыль на сайт, на всякий случай.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Убрал.

Расскажи потом, чем было чревато, ради интереса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не моя область. Могу только к нам на сайт отправить, но описания именно этого вредоноса нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
но описания именно этого вредоноса нет.

Вот я и говорю, что потом, когда будет.

Или об этом уже никто не сообщит ?

"Следите за рекламой" ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можешь последить. :( RSS подскажу. Но появится ли запись или нет - не знаю. Ибо _ежедневно_ наш вирлаб добавляет детект ~1,5 тыс. вредоносов. Это если нет эпидемии. Т.е. в спокойный период.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Гость Lum1noFor

"Сравнивать антивирусы - все равно что мериться пиписьками" © Крис Касперски

 

Лучший антивирус - прямые руки. Достаточно хорошего файлового менеджера, Process Explorer'a и RootKit revealer'a чтобы удалить большинство вирусов, червей и руткитов

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Достаточно хорошего файлового менеджера, Process Explorer'a и RootKit revealer'a чтобы удалить большинство вирусов, червей и руткитов

У меня немного другой наборчик- AVZ, HijackThis, IceSword, в некоторых случаях- CureIt (скорее для файловых вирусов, буткитов)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Чтобы удалить большинство вирусов, а если быть точным, то все, нужен антивирус или утилита, которая умеет лечить зараженные файлы.

Чтобы удалить большинство червей, нужно выключить компьютер. А еще лучше - поставить заплатку, которую использует червь и обновить ПО, уязвимости которого использует червь. Те черви, которые все-таки держат почему-то свои тела на диске, можно удалить клавишей Delete, прибив их процесс.

Чтобы удалить большинство руткитов, нужны утилиты борьбы с руткитами. Наиболее мощная - GMER. Наиболее гибкая - AVZ.

Чтобы пролечить зараженный компьютер, зачастую достаточно AVPTool (AVZ).

 

В общем, ты не сталкивался с реальными заразами. Да, такие утилиты можно использовать при мелких заражениях. Но в реальном "бою" они не помогут. Кроме того, по совокупности, мне легче и дешевле использовать толковый комбайн (понятно какой), нежели держать пачку утилит.

 

З.Ы. Терминология у тебя хромает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Гость Lum1noFor
Чтобы удалить большинство вирусов, а если быть точным, то все, нужен антивирус или утилита, которая умеет лечить зараженные файлы.

Чтобы удалить большинство червей, нужно выключить компьютер. А еще лучше - поставить заплатку, которую использует червь и обновить ПО, уязвимости которого использует червь. Те черви, которые все-таки держат почему-то свои тела на диске, можно удалить клавишей Delete, прибив их процесс.

Чтобы удалить большинство руткитов, нужны утилиты борьбы с руткитами. Наиболее мощная - GMER. Наиболее гибкая - AVZ.

Чтобы пролечить зараженный компьютер, зачастую достаточно AVPTool (AVZ).

 

В общем, ты не сталкивался с реальными заразами. Да, такие утилиты можно использовать при мелких заражениях. Но в реальном "бою" они не помогут. Кроме того, по совокупности, мне легче и дешевле использовать толковый комбайн (понятно какой), нежели держать пачку утилит.

 

З.Ы. Терминология у тебя хромает.

 

 

Я сказал "большинство", а не все. И ваш хваленый комбайн находит далеко не всю заразу. ДАЛЕКО не всю. Не буду с вами спорить - вам лучше знать, но "реальный бой" на домашних компьютерах встречается ОЧЕНЬ РЕДКО.

 

 

легче и дешевле

 

Все вышеупомянутые утилиты бесплатны

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Я сказал "большинство", а не все

Где нужно - я поправил. Забыл добавить, что упомянутые тобою утилиты ничем, совершенно ничем, не могут помочь в борьбе с вирусным заражением.

но "реальный бой" на домашних компьютерах встречается ОЧЕНЬ РЕДКО.

Знал бы ты, почему в моем селе начинали переходить на лицензионное ПО. Начиная с антивируса ;)

Все вышеупомянутые утилиты бесплатны

AVPTool/AVZ совершенно бесплатны, если речь о борьбе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Где нужно - я поправил. Забыл добавить, что упомянутые тобою утилиты ничем, совершенно ничем, не могут помочь в борьбе с вирусным заражением.

 

Знал бы ты, почему в моем селе начинали переходить на лицензионное ПО. Начиная с антивируса ;)

 

AVPTool/AVZ совершенно бесплатны, если речь о борьбе.

 

видать богатое сило не рублевка случаем? :)

 

Каспер 09 окозался кривым ГО---М снес к чертям поставил нод32 неодного глюка Нашол 2 трояна которые каспер нераспознал :cray:

 

если у разрабов кривые руки нефиг воще этот нат было мутить Как я с ним немучался как токо ненастраивал тормозит инет на 100 сетку хоть тресни один торент пахал с 6 и 7 такого небыло видать зажрались в топку каспер реньше мне нравился но щас стал гов--м ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Глупости, у меня почему то все в порядке с КИС2009. То что другой антивирь находит что-то, чего не находит Касперский - это еще не показатель.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня с КИСкой другая проблема, эта зараза в ломанном софте на Си ++ в исполняющем файле вирь нашла. Очень прикольно смотрится, когда этот софт используется в фирме, где на каждом КИСка стоит, ещё прикольней когда ген. директору начинаешь объяснять что это не вирус, а форма обхода регистрации. Как то вечно этот антивирь на нервы действует.

Заранее извиняюсь за офтоп, у моего друга тоже был инцендент с этим антивирусом, ну скорее не в программном а в личном плане. Пригласил он девушку домой, уже началось всё интересное и тут у каспера проверка по графику пошла. Говорит, только начали и тут из компа на полной громкости характерный для каспера звук нахождения виря, короче он смотрит на неё она на него и 20 хрюканей подряд, мол говорит, если у кого нибудь что то при этом получится флаг ему в руки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Можешь последить. :angry2: RSS подскажу. Но появится ли запись или нет - не знаю. Ибо _ежедневно_ наш вирлаб добавляет детект ~1,5 тыс. вредоносов. Это если нет эпидемии. Т.е. в спокойный период.

Как обычно, вообщем, типичная ситуация получается.

Защита полноценно не сработала. И никто ничего не скажет у производителя, и спросить не с кого и не у кого.

Серьезный довод не в пользу использования лицензионного ПО.

Реальная поддержка от производителя ---> 0.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Глупости, у меня почему то все в порядке с КИС2009. То что другой антивирь находит что-то, чего не находит Касперский - это еще не показатель.

 

 

вот именно что на другом компе уу меня тоже в порядке видимо несовместимость гдето а раз так криво нафиг нужно это унылое го--о я понимаю Мячин как я понял гдето в ихней конторе работает ему выгодно проддвигать ябб сам так делал несмотря ни на что Но я называю вещи своими именами ни с 6 ни с 7 небыло проблемм тормозили да но на моей машине некритично темболее это фтп ресурс поэтому они были хорошие конечно невсе ловили но 09 это просто я незнаю Поспрашивал у друзей такиеже проблеммы через раз все переходят с этого антивируса на авиру нод и т.д

 

Видимо он фильтрует подключения у меня их набирается 30 -40 и он начинает жутко лагать Ище он лагает когда медленно пашет инет инет если медленный в один прекрасный день то каспер зделает его ище медленнее Я свой выбор зделал покашто нод32 А когда каспер перестанет быть унылым го--ом тогда с радостью протестим :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Aike, я давно этот объект в игнор отправил. Тебя не раздражает читать его речи?

Validator, ну, причину мы установили - детект был добавлен позже. Если юзеры работают не под админами, то троян-даунлеудер этот обломался. Если под админами, то я не нашел в описаниях его "собратьев" чего-то ужасного. Более того, если ОС и ИЕ пропатчены, то он и не выполнился. А поддержку тут не осуществляют. Поддержка - это в саппорте. Мои посты никак не официальны. В свободное время я волен делать что хочу, в т.ч. писать на форумах :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
А поддержку тут не осуществляют. Поддержка - это в саппорте. Мои посты никак не официальны. В свободное время я волен делать что хочу, в т.ч. писать на форумах :lol:

Знаю.

Мой последний пост здесь был написан в состоянии эмоционального "подъема" после официального обращения в саппорт Лаборатории и не относился лично к тебе.

Саппорт ничем реально не помог и клиент остался наедине со своими проблемами.

Проблема, из-за которой Продукт перестал функционировать, касалась плановой замены лицензионных ключей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я даже догадываюсь, что это за проблема. Но это оффтоп.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мячин Д.А., не знаешь случайно, иконки антивирус свои подставляет случайно или целенаправленно ? :D

post-66458-1227607976_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах