Какой антивирус лучше использовать?

[RNZ]

это в линукс, в винде есть массу других средств

Только вот до банального простое решение из *nix по эффективности значительно выше чем вся эта "масса других средств" windows, эффективность которых постоянно стремится к нулю.

[ELDKAMIL]

А в autorun.inf может быть только одна секция для исполнения автозапуска, что прикажешь делать антивирусу в случае если в autorun.inf строка автозапуска была заменена на строку запуска вируса?

Ты хочешь сказать что через ауторан можно только одну программу вызвать, не более??

 

То что ты хочешь от антивируса реализуется "ревизором

Этот ревизор есть и в НОД 32 ... между прочим... )))))))))))

Edited August 29, 2008 by KML

[ELDKAMIL]

RNZ

теперь значит мы линукс обсуждаем.... :cool:

 

и вообще как я сказал autorun.inf на жестких диска по умолчанию отключён, но если же он у тебя имеется отключи его в реестре

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000000

[RNZ]

Ты хочешь сказать что через ауторан можно только одну программу вызвать, не более??

Насколько мне известно windows обрабатывает только первый экзепляр shellexecute в autorun.inf.

Так же, насколько мне известно, в NOD32 нет ревизора, есть набор инструментов для проактивной защиты (сейчас она почти во всех популярных антивирусах есть). Ревизор тотальная штука, её редко применяют.

 

теперь значит мы линукс обсуждаем....

Да нет, тут обсуждаем антивирусные защиты (которые требуются не только в windows),

а я просто констатирую, что значительно более простое решение *nix в этом вопросе много эффективнее всех обычно применяемых решений для windows.

 

На только что установленной Windows XP

"NoDriveTypeAutoRun"=dword:00000091(145)

И для отключения автозапуска, есть более удобное средство - gpedit.msc

[ELDKAMIL]

Насколько мне известно windows обрабатывает только первый экзепляр shellexecute

Я конечно не знаю точно, но что мешает ему использовать два параметра shellexecute, кроме того есть пераметр Open, правда конфликтует с shellexecute

насколько мне известно, в NOD32 нет ревизора, есть набор инструментов для проактивной защиты

не знаю как оно там точно называется, но действует оно очень эффективно, всегда когда я обновлял прогу, руссифицировал, крякал и т.д. НОД уведомлял об этом сообщением: Данная прога была изменена другой, возможно это вирус (что-то типо того)

 

в gpedit.msc что можно сделать с аутораном, полностью вырубить нельзя ведь?

[RNZ]

Данная прога была изменена другой, возможно это вирус (что-то типо того)

Это и есть проактивная защита, в данном случае её реализует монитор который контролирует изменения в файлах, при этом у него есть список потенциально опасных действий и список важных файлов. Вполне можно внести в список мониторинга и контроль действий над файлами autorun.inf. Но ты изначально рассматривал условие когда вирус уже поменял значения в файле, а антивирус был запущен позже, в этом случае антивирус должен обладать функциями ревизора.

 

Я конечно не знаю точно, но что мешает ему использовать два параметра shellexecute

Спроси об этом разработчиков explorer'а.

 

кроме того есть пераметр Open, правда конфликтует с shellexecute

Open не поднимается explorer'ом для автоисполнения (с локальных дисков).

 

Added пятница, 29 августа 2008 г. 16:12:13 :

в gpedit.msc что можно сделать с аутораном, полностью вырубить нельзя ведь?

gpedit позволяет выключить автозапуск со всех носителей.

[ELDKAMIL]

ты изначально рассматривал условие когда вирус уже поменял значения в файле, а антивирус был запущен позже

не рассматривал я такое.... когда я оперу обновлял... антивирус кричал что другое ПО пытается изменить код данного ПО, блокировать это выполнение? рекомендуется (почти дословно). И даже если антивирус запущен позднее, это и есть его прямая задача найти заражённый файл...

 

Open не поднимается explorer'ом для автоисполнения (с локальных дисков)

с других устройств зато исполняется

Спроси об этом разработчиков explorer'а

Гле ты это узнал, что shellexecute не возможно использовать дважды в ауторан?

 

Я так и не понял что есть у ревизора, чего нет у антивирусов?

[xenus]

KML

RNZ

У меня вот тоже этот авторан вирус раньше я мог от него избавиться почти любым антивирусом, но щас нет посоветуйте мне какой можно использовать чтоб его в корне удалить

[RNZ]

не рассматривал я такое...

Прочитай свои же слова:

Трудно сказать, лучше бы конечно если антивирус подтирал строки, где прописан этот вирус, но вряд ли такое возможно... если удалять, то это смотря какой теперь этот ауторан, после вируса, если вирус добавил строки а ауторанф, то лучше его оставить, если же создал новый, то он естественно не нужен...

Значит вирус уже поработал.

 

когда я оперу обновлял

Тебе ещё раз говорю - это проактивная защита со стороны антивирусного монитора по контролю действий над файлом.

И даже если антивирус запущен позднее, это и есть его прямая задача найти заражённый файл...

Изменённый файл и зараженный файл. Если действия выполненые вирусом уже существуют в виде изменённых значений, то антивирус не всегда сможет распознать, какие нужно выполнить действия по откату действий вируса. Например откуда антивирусу знать что было прописано в файле autorun.inf до действий вируса?

 

Я так и не понял что есть у ревизора, чего нет у антивирусов?

Ревизор делает снимки системы и позволяте вести полный контроль целостности файлов в системе. Есть антивирусы которые включают ревизор, но они не пользуются популярность.

 

с других устройств зато исполняется

Ты наверное пра^n'внук Колумба...

 

Гле ты это узнал, что shellexecute не возможно использовать дважды в ауторан?

Использовать его в autorun.inf можно не единожды, а вот действие autorun выполняется только один раз и только для одного экземпляра shellexecute в autorun.inf.

Узнал опытным путём, а так думаю в msdn по этому поводу возможно что-то и упоминается.

 

xenus

Выключи автозапуск c носителей с помощью Пуск\выполнить\gpedit.msc

[Observer]

KML

А у тебя NOD под лицензией ? :)

[xenus]

RNZ

Сделал я там вышло много всего непонятного

[ELDKAMIL]

Значит вирус уже поработал

Ты узко мыслишь.. этот ауторан мог быть на любом носителе, флешки, диска, который попал с другого зараженного компа..

 

Изменённый файл и зараженный файл. Если действия выполненые вирусом уже существуют в виде изменённых значений, то антивирус не всегда сможет распознать, какие нужно выполнить действия по откату действий вируса. Например откуда антивирусу знать что было прописано в файле autorun.inf до действий вируса?

а ревизор знает что было прописано в этом ауторане занесенным с флешки?

 

Ревизор делает снимки системы и позволяте вести полный контроль целостности файлов в системе. Есть антивирусы которые включают ревизор, но они не пользуются популярность.

Неудивительно! это сколько ресурсов он жрет?

 

Ты наверное пра^n'внук Колумба...

Ну и что это значит?

Edited August 29, 2008 by KML

[Bertone]

RNZ написал:

 

Ты наверное пра^n'внук Колумба...

 

Ну и что это значит?

Наверно про то, что заново пытаешься открыть Америку. Или изобрести велосипед :)

[RNZ]

Ты узко мыслишь.. этот ауторан мог быть на любом носителе, флешки, диска, который попал с другого зараженного компа..

...

а ревизор знает что было прописано в этом ауторане занесенным с флешки?

Ага куда уж уже. :lol: Речь идёт о зараженной системе и её локальных носителях. А сменные носители так и так надо чистить от вируcов и autorun.inf на них ссылающихся. Если монитор современного антивируса не находит у себя в базе сигнатуры программы с флешки, то антивирус использует эвристический сканер, которые проверяет программу на наличие потенциально опасных методов, если же и эвристика ничего не обнаружит, то антивирус воспринимает вирус как обычную программу. А там где есть эвристика могут быть и ложные срабатывания на нормальные программы. Поэтому использование всяких autorun.inf - вред и зло.

 

Неудивительно! это сколько ресурсов он жрет?

Ресурсов ревизор жрёт не много, он просто снимки системы делает долго потому и не снискал популярности у рядовых пользователей.

 

xenus

gpedit\компьютер\адмистративный раздел\система\отключить автозапуск , вроде.

[FIGO]

но если кому то всё равно трудно его настроить или лень можно просто временно отключить его в панели задач

тогда можно обычный нод без фаервола поставить и будет то же самое

Любой фаервол не даёт пинговать комп по умолчанию (что очень хорошо),

кому как

[N-FROST]

KML

 

для тебя это наверно большая тайна)), но даже в самой компании Eset не отрицают, что они являются основным спосором тестов VB 100%

 

на закуску:

 

Стандарт тестирования VirusBulletin был разработан где-то в середине 90-х годов прошлого века и с тех пор практически не изменялся. Антивирусные продукты тестируются на неком наборе зараженных файлов (так называемый ITW-набор, ITW = [in The Wildk, т.е. вирусы, обнаруженные в [дикой природеk), по результатам прогонов затем делается вывод: заслуживает продукт 100% сертификата безопасности или нет. Количество файлов же в этом ITW-наборе мизерное около двух или трех тысяч, т.е. меньше, чем появляется новых ITW-вирусов и троянцев всего за один месяц! Таким образом, увы, результат VB100% никак не говорит о том, что данный продукт действительно защищает от вирусных угроз. Данная награда свидетельствует только о том, что данный продукт прекрасно справляется с ITW-коллекцией VirusBulletin и ничего более......

 

в настоящем своем виде коллекция WildList морально устарела и не отражает реальной ситуации с вирусами в сети интернет. В результате, по мнению Андреаса Маркса, тесты, основанные на коллекции WildList, становятся все более бессмысленными. Они хороши для рекламы продуктов, которые их прошли, но реально качество антивирусной защиты они не отражают.

 

anti-malware.ru

Edited August 29, 2008 by N-FROST

[FIGO]

N-FROST

как я понимаю среди них: 1.NOD 32

2.Kaspersky AntiVirus

3.Dr.WEB

4.Avast

5.Norton AntiVirus нет нормальных антивирусов тогда какой антивирус ты предложишь?

[Katalonec]

мне больше всего Dr.WEB понравился :) , до этого пользовался NOD 32 (так он не мог выличить некоторые виды червей)

 

а на счет autorun , я на винтах создал папки с названием autorun.inf , и все не беспокоят (т.к. уже имеется файл с таким нзванием , вирус не может залезть :) )

[RNZ]

Katalonec

А если вирус удалит папки и создаст файл? 8))

[Katalonec]

RNZ :D (а еще антивирус с ней вместе ;) ) :lol:

[N-FROST]

FIGO

 

Все, кроме Нортона) Не надо воспринимать сказанное буквально. Антивирусные компании участвую в тестах, т.к. пользователи смотрят на все эти награды и звания - это раз....компаниям легче продвигать свой продукт на рынке когда у нее есть эти самые награды и звания - это два. Есть тесты, спонсируемые той или иной компанией, для того, чтобы показать какой он хороший - это три...Есть голова у пользователя, который может поочередно попользоваться всеми известными антивирусами и выбрать для себя достойный- это четыре ... а всех вирусов ни один антиврус в он-лайн режиме никогда не словит - это пять))

Edited August 29, 2008 by N-FROST

[RNZ]

Katalonec

Не вижу ничего смешного - антивирус может не отреагировать на удаление каталогов.

 

N-FROST

А почему не Norton'a?

[N-FROST]

RNZ

Только по одной причине: медленная реакция на вирусы рунета. С "тормознутостью" проблемы вроде пропали с выпуском последних версий продуктов. Саппорт у них хорош и фолсов бывает мало.

[RNZ]

Только по одной причине: медленная реакция на вирусы рунета.

Несколько раз нарывался на ситуацию, когда это только на пользу. А так основная причина медленной реакции - меньшая распространённость в рунете антивирусов symantec.

[ELDKAMIL]

N-FROST

Нашёл где-то что-то и решил сразу же вставить, не врубаясь в смысл текста, а может даже и не читав его...

 

Причём тут Стандарт тестирования VirusBulletin. Ты наверно пологаешь, что кроме данного стандарта НОД больше ничего не использует, что ли...

 

Ага куда уж уже. al Речь идёт о зараженной системе и её локальных носителях. А сменные носители так и так надо чистить от вируcов и autorun.inf на них ссылающихся. Если монитор современного антивируса не находит у себя в базе сигнатуры программы с флешки, то антивирус использует эвристический сканер, которые проверяет программу на наличие потенциально опасных методов, если же и эвристика ничего не обнаружит, то антивирус воспринимает вирус как обычную программу. А там где есть эвристика могут быть и ложные срабатывания на нормальные программы. Поэтому использование всяких autorun.inf - вред и зло

Исходя из твоего рассуждения можно смело утверждать, что любая программа это зло, поскольку любой файл может запустить вирус, даже картинка, а автозапуск в одном только реестре имеется в нескольких разделах

 

Ресурсов ревизор жрёт не много, он просто снимки системы делает долго потому и не снискал популярности у рядовых пользователей

Помимо ревизора есть множество других средств, которые за пять минут делают снимок всего винта (с:\), и вслучае проблем можно так же легко и быстро восстановить всё..

 

Added суббота, 30 августа 2008 г. 07:02:52 :

На только что установленной Windows XP

"NoDriveTypeAutoRun"=dword:00000091(145)

91 - AutoRun включен для всех дисководов

 

91 - AutoRun для всех дисководов включен; bd - AutoRun для всех дисководов выключен; b9 - AutoRun для FDD (Floppy Disk Drive) включен, для CD-ROM и HDD выключен; b5 - AutoRun для HDD включен, для CD-ROM и FDD выключен; 9d - AutoRun для CD-ROM включен, для HDD и FDD выключен; b1 - AutoRun для HDD и FDD включен, для CD-ROM выключен; 95 - AutoRun для CD-ROM и HDD включен, для FDD выключен.

 

Added суббота, 30 августа 2008 г. 07:18:27 :

Katalonec

можно заменить файл, без всякого предупреждения пользователя