RNZ Posted August 29, 2008 Report Share Posted August 29, 2008 это в линукс, в винде есть массу других средствТолько вот до банального простое решение из *nix по эффективности значительно выше чем вся эта "масса других средств" windows, эффективность которых постоянно стремится к нулю. Quote Link to comment Share on other sites More sharing options...
ELDKAMIL Posted August 29, 2008 Report Share Posted August 29, 2008 (edited) А в autorun.inf может быть только одна секция для исполнения автозапуска, что прикажешь делать антивирусу в случае если в autorun.inf строка автозапуска была заменена на строку запуска вируса?Ты хочешь сказать что через ауторан можно только одну программу вызвать, не более?? То что ты хочешь от антивируса реализуется "ревизоромЭтот ревизор есть и в НОД 32 ... между прочим... ))))))))))) Edited August 29, 2008 by KML Quote Link to comment Share on other sites More sharing options...
ELDKAMIL Posted August 29, 2008 Report Share Posted August 29, 2008 RNZтеперь значит мы линукс обсуждаем.... :cool: и вообще как я сказал autorun.inf на жестких диска по умолчанию отключён, но если же он у тебя имеется отключи его в реестре[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDriveTypeAutoRun"=dword:00000000 Quote Link to comment Share on other sites More sharing options...
RNZ Posted August 29, 2008 Report Share Posted August 29, 2008 Ты хочешь сказать что через ауторан можно только одну программу вызвать, не более??Насколько мне известно windows обрабатывает только первый экзепляр shellexecute в autorun.inf.Так же, насколько мне известно, в NOD32 нет ревизора, есть набор инструментов для проактивной защиты (сейчас она почти во всех популярных антивирусах есть). Ревизор тотальная штука, её редко применяют. теперь значит мы линукс обсуждаем....Да нет, тут обсуждаем антивирусные защиты (которые требуются не только в windows), а я просто констатирую, что значительно более простое решение *nix в этом вопросе много эффективнее всех обычно применяемых решений для windows. На только что установленной Windows XP"NoDriveTypeAutoRun"=dword:00000091(145)И для отключения автозапуска, есть более удобное средство - gpedit.msc Quote Link to comment Share on other sites More sharing options...
ELDKAMIL Posted August 29, 2008 Report Share Posted August 29, 2008 Насколько мне известно windows обрабатывает только первый экзепляр shellexecuteЯ конечно не знаю точно, но что мешает ему использовать два параметра shellexecute, кроме того есть пераметр Open, правда конфликтует с shellexecuteнасколько мне известно, в NOD32 нет ревизора, есть набор инструментов для проактивной защитыне знаю как оно там точно называется, но действует оно очень эффективно, всегда когда я обновлял прогу, руссифицировал, крякал и т.д. НОД уведомлял об этом сообщением: Данная прога была изменена другой, возможно это вирус (что-то типо того) в gpedit.msc что можно сделать с аутораном, полностью вырубить нельзя ведь? Quote Link to comment Share on other sites More sharing options...
RNZ Posted August 29, 2008 Report Share Posted August 29, 2008 Данная прога была изменена другой, возможно это вирус (что-то типо того)Это и есть проактивная защита, в данном случае её реализует монитор который контролирует изменения в файлах, при этом у него есть список потенциально опасных действий и список важных файлов. Вполне можно внести в список мониторинга и контроль действий над файлами autorun.inf. Но ты изначально рассматривал условие когда вирус уже поменял значения в файле, а антивирус был запущен позже, в этом случае антивирус должен обладать функциями ревизора. Я конечно не знаю точно, но что мешает ему использовать два параметра shellexecuteСпроси об этом разработчиков explorer'а. кроме того есть пераметр Open, правда конфликтует с shellexecuteOpen не поднимается explorer'ом для автоисполнения (с локальных дисков). Added пятница, 29 августа 2008 г. 16:12:13 : в gpedit.msc что можно сделать с аутораном, полностью вырубить нельзя ведь?gpedit позволяет выключить автозапуск со всех носителей. Quote Link to comment Share on other sites More sharing options...
ELDKAMIL Posted August 29, 2008 Report Share Posted August 29, 2008 ты изначально рассматривал условие когда вирус уже поменял значения в файле, а антивирус был запущен позжене рассматривал я такое.... когда я оперу обновлял... антивирус кричал что другое ПО пытается изменить код данного ПО, блокировать это выполнение? рекомендуется (почти дословно). И даже если антивирус запущен позднее, это и есть его прямая задача найти заражённый файл... Open не поднимается explorer'ом для автоисполнения (с локальных дисков)с других устройств зато исполняетсяСпроси об этом разработчиков explorer'аГле ты это узнал, что shellexecute не возможно использовать дважды в ауторан? Я так и не понял что есть у ревизора, чего нет у антивирусов? Quote Link to comment Share on other sites More sharing options...
xenus Posted August 29, 2008 Report Share Posted August 29, 2008 KMLRNZУ меня вот тоже этот авторан вирус раньше я мог от него избавиться почти любым антивирусом, но щас нет посоветуйте мне какой можно использовать чтоб его в корне удалить Quote Link to comment Share on other sites More sharing options...
RNZ Posted August 29, 2008 Report Share Posted August 29, 2008 не рассматривал я такое...Прочитай свои же слова:Трудно сказать, лучше бы конечно если антивирус подтирал строки, где прописан этот вирус, но вряд ли такое возможно... если удалять, то это смотря какой теперь этот ауторан, после вируса, если вирус добавил строки а ауторанф, то лучше его оставить, если же создал новый, то он естественно не нужен...Значит вирус уже поработал. когда я оперу обновлялТебе ещё раз говорю - это проактивная защита со стороны антивирусного монитора по контролю действий над файлом.И даже если антивирус запущен позднее, это и есть его прямая задача найти заражённый файл...Изменённый файл и зараженный файл. Если действия выполненые вирусом уже существуют в виде изменённых значений, то антивирус не всегда сможет распознать, какие нужно выполнить действия по откату действий вируса. Например откуда антивирусу знать что было прописано в файле autorun.inf до действий вируса? Я так и не понял что есть у ревизора, чего нет у антивирусов?Ревизор делает снимки системы и позволяте вести полный контроль целостности файлов в системе. Есть антивирусы которые включают ревизор, но они не пользуются популярность. с других устройств зато исполняетсяТы наверное пра^n'внук Колумба... Гле ты это узнал, что shellexecute не возможно использовать дважды в ауторан?Использовать его в autorun.inf можно не единожды, а вот действие autorun выполняется только один раз и только для одного экземпляра shellexecute в autorun.inf.Узнал опытным путём, а так думаю в msdn по этому поводу возможно что-то и упоминается. xenusВыключи автозапуск c носителей с помощью Пуск\выполнить\gpedit.msc Quote Link to comment Share on other sites More sharing options...
Observer Posted August 29, 2008 Report Share Posted August 29, 2008 KMLА у тебя NOD под лицензией ? :) Quote Link to comment Share on other sites More sharing options...
xenus Posted August 29, 2008 Report Share Posted August 29, 2008 RNZСделал я там вышло много всего непонятного Quote Link to comment Share on other sites More sharing options...
ELDKAMIL Posted August 29, 2008 Report Share Posted August 29, 2008 (edited) Значит вирус уже поработалТы узко мыслишь.. этот ауторан мог быть на любом носителе, флешки, диска, который попал с другого зараженного компа.. Изменённый файл и зараженный файл. Если действия выполненые вирусом уже существуют в виде изменённых значений, то антивирус не всегда сможет распознать, какие нужно выполнить действия по откату действий вируса. Например откуда антивирусу знать что было прописано в файле autorun.inf до действий вируса?а ревизор знает что было прописано в этом ауторане занесенным с флешки? Ревизор делает снимки системы и позволяте вести полный контроль целостности файлов в системе. Есть антивирусы которые включают ревизор, но они не пользуются популярность.Неудивительно! это сколько ресурсов он жрет? Ты наверное пра^n'внук Колумба...Ну и что это значит? Edited August 29, 2008 by KML Quote Link to comment Share on other sites More sharing options...
Bertone Posted August 29, 2008 Report Share Posted August 29, 2008 RNZ написал: Ты наверное пра^n'внук Колумба... Ну и что это значит?Наверно про то, что заново пытаешься открыть Америку. Или изобрести велосипед :) Quote Link to comment Share on other sites More sharing options...
RNZ Posted August 29, 2008 Report Share Posted August 29, 2008 Ты узко мыслишь.. этот ауторан мог быть на любом носителе, флешки, диска, который попал с другого зараженного компа.....а ревизор знает что было прописано в этом ауторане занесенным с флешки?Ага куда уж уже. :lol: Речь идёт о зараженной системе и её локальных носителях. А сменные носители так и так надо чистить от вируcов и autorun.inf на них ссылающихся. Если монитор современного антивируса не находит у себя в базе сигнатуры программы с флешки, то антивирус использует эвристический сканер, которые проверяет программу на наличие потенциально опасных методов, если же и эвристика ничего не обнаружит, то антивирус воспринимает вирус как обычную программу. А там где есть эвристика могут быть и ложные срабатывания на нормальные программы. Поэтому использование всяких autorun.inf - вред и зло. Неудивительно! это сколько ресурсов он жрет?Ресурсов ревизор жрёт не много, он просто снимки системы делает долго потому и не снискал популярности у рядовых пользователей. xenusgpedit\компьютер\адмистративный раздел\система\отключить автозапуск , вроде. Quote Link to comment Share on other sites More sharing options...
FIGO Posted August 29, 2008 Report Share Posted August 29, 2008 но если кому то всё равно трудно его настроить или лень можно просто временно отключить его в панели задачтогда можно обычный нод без фаервола поставить и будет то же самоеЛюбой фаервол не даёт пинговать комп по умолчанию (что очень хорошо),кому как Quote Link to comment Share on other sites More sharing options...
N-FROST Posted August 29, 2008 Report Share Posted August 29, 2008 (edited) KML для тебя это наверно большая тайна)), но даже в самой компании Eset не отрицают, что они являются основным спосором тестов VB 100% на закуску: Стандарт тестирования VirusBulletin был разработан где-то в середине 90-х годов прошлого века и с тех пор практически не изменялся. Антивирусные продукты тестируются на неком наборе зараженных файлов (так называемый ITW-набор, ITW = [in The Wildk, т.е. вирусы, обнаруженные в [дикой природеk), по результатам прогонов затем делается вывод: заслуживает продукт 100% сертификата безопасности или нет. Количество файлов же в этом ITW-наборе мизерное около двух или трех тысяч, т.е. меньше, чем появляется новых ITW-вирусов и троянцев всего за один месяц! Таким образом, увы, результат VB100% никак не говорит о том, что данный продукт действительно защищает от вирусных угроз. Данная награда свидетельствует только о том, что данный продукт прекрасно справляется с ITW-коллекцией VirusBulletin и ничего более...... в настоящем своем виде коллекция WildList морально устарела и не отражает реальной ситуации с вирусами в сети интернет. В результате, по мнению Андреаса Маркса, тесты, основанные на коллекции WildList, становятся все более бессмысленными. Они хороши для рекламы продуктов, которые их прошли, но реально качество антивирусной защиты они не отражают. anti-malware.ru Edited August 29, 2008 by N-FROST Quote Link to comment Share on other sites More sharing options...
FIGO Posted August 29, 2008 Report Share Posted August 29, 2008 N-FROSTкак я понимаю среди них: 1.NOD 32 2.Kaspersky AntiVirus 3.Dr.WEB 4.Avast 5.Norton AntiVirus нет нормальных антивирусов тогда какой антивирус ты предложишь? Quote Link to comment Share on other sites More sharing options...
Katalonec Posted August 29, 2008 Report Share Posted August 29, 2008 мне больше всего Dr.WEB понравился :) , до этого пользовался NOD 32 (так он не мог выличить некоторые виды червей) а на счет autorun , я на винтах создал папки с названием autorun.inf , и все не беспокоят (т.к. уже имеется файл с таким нзванием , вирус не может залезть :) ) Quote Link to comment Share on other sites More sharing options...
RNZ Posted August 29, 2008 Report Share Posted August 29, 2008 KatalonecА если вирус удалит папки и создаст файл? 8)) Quote Link to comment Share on other sites More sharing options...
Katalonec Posted August 29, 2008 Report Share Posted August 29, 2008 RNZ :D (а еще антивирус с ней вместе ;) ) :lol: Quote Link to comment Share on other sites More sharing options...
N-FROST Posted August 29, 2008 Report Share Posted August 29, 2008 (edited) FIGO Все, кроме Нортона) Не надо воспринимать сказанное буквально. Антивирусные компании участвую в тестах, т.к. пользователи смотрят на все эти награды и звания - это раз....компаниям легче продвигать свой продукт на рынке когда у нее есть эти самые награды и звания - это два. Есть тесты, спонсируемые той или иной компанией, для того, чтобы показать какой он хороший - это три...Есть голова у пользователя, который может поочередно попользоваться всеми известными антивирусами и выбрать для себя достойный- это четыре ... а всех вирусов ни один антиврус в он-лайн режиме никогда не словит - это пять)) Edited August 29, 2008 by N-FROST Quote Link to comment Share on other sites More sharing options...
RNZ Posted August 29, 2008 Report Share Posted August 29, 2008 KatalonecНе вижу ничего смешного - антивирус может не отреагировать на удаление каталогов. N-FROSTА почему не Norton'a? Quote Link to comment Share on other sites More sharing options...
N-FROST Posted August 29, 2008 Report Share Posted August 29, 2008 RNZТолько по одной причине: медленная реакция на вирусы рунета. С "тормознутостью" проблемы вроде пропали с выпуском последних версий продуктов. Саппорт у них хорош и фолсов бывает мало. Quote Link to comment Share on other sites More sharing options...
RNZ Posted August 29, 2008 Report Share Posted August 29, 2008 Только по одной причине: медленная реакция на вирусы рунета.Несколько раз нарывался на ситуацию, когда это только на пользу. А так основная причина медленной реакции - меньшая распространённость в рунете антивирусов symantec. Quote Link to comment Share on other sites More sharing options...
ELDKAMIL Posted August 30, 2008 Report Share Posted August 30, 2008 N-FROSTНашёл где-то что-то и решил сразу же вставить, не врубаясь в смысл текста, а может даже и не читав его... Причём тут Стандарт тестирования VirusBulletin. Ты наверно пологаешь, что кроме данного стандарта НОД больше ничего не использует, что ли... Ага куда уж уже. al Речь идёт о зараженной системе и её локальных носителях. А сменные носители так и так надо чистить от вируcов и autorun.inf на них ссылающихся. Если монитор современного антивируса не находит у себя в базе сигнатуры программы с флешки, то антивирус использует эвристический сканер, которые проверяет программу на наличие потенциально опасных методов, если же и эвристика ничего не обнаружит, то антивирус воспринимает вирус как обычную программу. А там где есть эвристика могут быть и ложные срабатывания на нормальные программы. Поэтому использование всяких autorun.inf - вред и злоИсходя из твоего рассуждения можно смело утверждать, что любая программа это зло, поскольку любой файл может запустить вирус, даже картинка, а автозапуск в одном только реестре имеется в нескольких разделах Ресурсов ревизор жрёт не много, он просто снимки системы делает долго потому и не снискал популярности у рядовых пользователейПомимо ревизора есть множество других средств, которые за пять минут делают снимок всего винта (с:\), и вслучае проблем можно так же легко и быстро восстановить всё.. Added суббота, 30 августа 2008 г. 07:02:52 : На только что установленной Windows XP"NoDriveTypeAutoRun"=dword:00000091(145)91 - AutoRun включен для всех дисководов 91 - AutoRun для всех дисководов включен; bd - AutoRun для всех дисководов выключен; b9 - AutoRun для FDD (Floppy Disk Drive) включен, для CD-ROM и HDD выключен; b5 - AutoRun для HDD включен, для CD-ROM и FDD выключен; 9d - AutoRun для CD-ROM включен, для HDD и FDD выключен; b1 - AutoRun для HDD и FDD включен, для CD-ROM выключен; 95 - AutoRun для CD-ROM и HDD включен, для FDD выключен. Added суббота, 30 августа 2008 г. 07:18:27 : Katalonecможно заменить файл, без всякого предупреждения пользователя Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.