Не с другими, а с теми, что назвал. С Авастом было подряд два заражения. Причем, он не мог ничего вылечить. Я только констатирую.
Вы знаете, я даже прикидываться не буду, что понимаю, о чем Вы. Сканирование при загрузке всегда устанавливаю. Как там было - не помню, но уверен, что если было написано, то значит было. У меня совсем другая профессия, но хочу, чтобы комп просто работал. Вот сейчас все работает, о чем и пишу.
Аваст - неплохой антивирус (иногда действительно пропускает какие-нибудь нехорошие баннеры и фальшивые антивирусы, но кто без греха). Однако у его хозяев, похоже, есть бзики. Так, например, после форматирования диска, переустановки XP SP2, а затем и Аваста, антивирус наотрез отказался подключаться к серверам для получения обновлений баз. Такое впечатление, что меня на сервере за что-то забанили по МАС-адресу. Обратился на их форум, а там вместо помощи ехидно попросили поделиться забористой травкой, которой я якобы обкурился. Так что не всё так хорошо. А CIS нередко глючит, иногда приходится сносить и ждать, пока подправят, но хотя бы никого не банят. Если срочно нужен антивирус, то CIS всегда доступен.
AVZ и CureIT тоже не панацея.
Во экстремалы
А откуда такая уверенность?
Это тоже только против слабой заразы поможет.
www.securelist.com/ru/analysis/208050674/TDSS_TDL_4
TDL-4, как и другой известный руткит — буткит, заражает главную загрузочную запись (MBR). Данный способ позволяет ему загружаться раньше операционной системы, сразу после старта компьютера.А значит и раньше любого антивирусного компонента. И у подобных зловредов есть все возможности скрыть свое присутствие от любого антивирусного ПО работающего из-под зараженной системы. И «сканирование во время загрузки», а тем более всякие CureIT-ы пролетают как стая напильников... http://technet.microsoft.com/en-us/sysinternals/bb897445
Is there a sure-fire way to know of a rootkit's presence In general, not from within a running system. A kernel-mode rootkit can control any aspect of a system's behavior so information returned by any API, including the raw reads of Registry hiveГораздо надежнее загрузить к примеру Linux с LiveCD и проверить незапущенную систему. technet.microsoft.com/en-us/sysinternals/bb897445
an off-line scan from a secure environment such as a boot into an CD-based operating system installation is more reliableМожно взять Dr.Web LiveCD или любой другой по вкусу. Но лучший способ борьбы с такими зловредами - не допускать заражения.
Нет, не экстремалы . Это к сожалению основной способ получить сампл зловредного содержания.
Вообще вирусы очень предсказуемы и зная по каким тропинкам они ходят можно и вручную устранять или предотвращать заражение.
АВАСТ НЕ ПРОИЗВОДИТ ЛЕЧЕНИЕ ПОВРЕЖДЕННОГО ФАЙЛА. Троянская программа удаляется целиком а после файлового вируса вылеченный файл корректно работать не будет. ПОЭТОМУ ЗАРАЖЕННЫЙ ФАЙЛ УДАЛЯЕТСЯ. Слово “ЛЕЧИТЬ” платные антивирусные продукты используют в качестве саморекламы. В авасте 4.* предусмотрен механизм восстановления определенных служебных файлов из созданной копии. В 5* версии точно не скажу -я не стал пользовать эту версию.
Что все про TDSS шумят и шумят? Хоть кто-нибудь знает что эта поделка платная? А цену на нее? Погуглив, можно узнать что такие поделки за такую цену в паблик не выставляют. Ими пользуются там, где не ставят антивирусы и др. охранный софт для домашнего пользования. И интересно, что -же запустит руткит если операционка не запущена? Разве не службу диспетчера печати использует загрузчик руткита? A?
А вот я перешел полностью на CIS. Единственный минус CIS это то что не сканирует авторан флешек и нет веб-антивируса.
Ранее стоял Аваст 5 фри и комодо(фаер и проактивка). Почему перешел - скачал базу вирусов(4907шт.) и проверил ее:
Авастом
http://i4.fastpic.ru/thumb/2011/0131/43/61ba64af6a687225d8118d3fc58afc43.jpeg
KIS2011 проверял из под др. ОС т.к Аваст и CIS удалять было влом.
http://i4.fastpic.ru/thumb/2011/0131/7d/df518a61fd9b24327c1ea3e77e60627d.jpeg
и…
http://i4.fastpic.ru/thumb/2011/0131/48/6e37d99952f7c6fae6a1ed20b33ba948.jpeg
на руткиты
http://i4.fastpic.ru/thumb/2011/0131/4c/9caab4ff2aabb081ad2600120be58a4c.jpeg
.
http://i4.fastpic.ru/thumb/2011/0131/ad/595120631b5ee625bcccafad3c722fad.jpeg
.
http://i4.fastpic.ru/thumb/2011/0131/96/11a5262eb88e1ab2e16644260420a696.jpeg
Решайте сами)
Ну не на рабочей же системе. Виртуальные машины для чего? Можно, конечно, и специально выделенный для этого физический комп взять, но каждый раз восстанавливать систему из образа, например, - то еще удовольствие, это ж не виртуалку к снапшоту вернуть
Хотя, может я неправильно понял и под “Тут специально хочешь заразиться” подразумевалась виртуальная машина. Но в этом случае можно не ставить антивирусы, фаерволы, обновления - и никаких усилий прилагать не нужно Малвари эту систему сами найдут.
Так об этом и я всегда говорю: можно и без real-time антивируса обойтись. У меня только сканер ‘on demand’ и то нечасто используется.
Про “лечение” - полностью поддерживаю. :-TU
TDSS был упомянут в качестве широко известного примера, это не единственный руткит на сегодня. И не важно сколько он стоит. Остается факт, что проверка из-под зараженной системы не надежна. Я уже приводил цитату, там и на русском есть (сразу не глянул)
http://technet.microsoft.com/ru-ru/sysinternals/bb897445
Существуют ли гарантированные способы обнаружения rootkit-программ? В общем случае невозможно гарантировать обнаружение этих программ во время работы системы. Rootkit-программы, работающие в режиме ядра, могут полностью контролировать поведение системы, поэтому они могут подменять информацию, получаемую с помощью прикладных программных интерфейсов, включая прямое чтение кустов реестра и данных файловой системы ...Любой kernel-mode руткит имеет в системе не меньше прав, чем любой антивирус. При желании можно найти примеры и подешевле :)
Не-а Уязвимость в этой службе используется на этапе заражения, а после записи загрузчика в MBR эта служба ему нафиг снилась.
Именно для того и нужно не запускать проверяемую операционку, чтобы ничто не запустило руткит и чтобы он не смог помешать его обнаружить.
В кернел-моде вообще все равны.
Dr.Livesey, может Вы мне и подскажете отладчик который корректно работает в виртуальных машинах? Оллю не предлагать.
1 Что Вы подразумеваете под словом “загрузчик”?
2 Вы так уверенно рассуждаете про цены что мне показалось, что Вы знаете того идиота который купил руткит-поделку и будет использовать ее через паблик на частные системы?
Как не допустить запуск бинарников с флешек с помощью самой системы могу посоветовать. Надо?
Недавно для ознакомления устанавливал 5-ю версию аваста. И возник такой вопрос: есть ли реальная необходимость в том, что в данном продукте присутствует такое количество экранов защиты (7 шт.!), которые, как я понимаю, все как один основаны на эвристическом анализе? Разве не достаточно одного монитора файловой системы, который будет срабатывать при чтении/записи, не зависимо от того каким путем получен тот или иной файл? Кто что думает по этому поводу?
ЗЫ. Сам длительное время пользуюсь связкой Avira + CIS (фаервол и проактивка) и сейчас с оптимизмом смотрю на то, чтобы полностью перейти на защиту от CIS (включая антивирь).
Недавно для ознакомления устанавливал 5-ю версию аваста. И возник такой вопрос: есть ли реальная необходимость в том, что в данном продукте присутствует такое количество экранов защиты (7 шт.!), которые, как я понимаю, все как один основаны на эвристическом анализе? Разве не достаточно одного монитора файловой системы, который будет срабатывать при чтении/записи, не зависимо от того каким путем получен тот или иной файл? Кто что думает по этому поводу?По этому вопросу Вам наверное сюда - http://forum.avast.com/index.php?board=2.0
Я понимаю конечно, что вопрос про аваст было бы уместнее задать на форуме пользователей аваста Но учитывая контекст, в котором я задаю свой вопрос, мне кажется, я бы не услышал там независимого мнения)
И меня интересует не конкретно аваст, а принципиальная необходимость наличия дополнительных модулей защиты в антивирусе (веб, мэйл и т.д.) кроме стандартного монитора файловой системы. Не зависимо от наличия/отсутсвия проактивной защиты в системе.
Дополнительные модули защиты вставляются в коммерческие версии, например, вэб-экран у той же Avira, скриптовый экран у Avast и т. п. Мониторинг файловой системы - это, конечно, хорошо, но если бы его было достаточно, то люди не платили бы деньги за комплексные решения.
Хорошо, ‘Оллю’ не предлагаю. А чем Windbg не угодил?
WinDbg allows debugging Microsoft Windows kernel running on a VMware or VPC virtual machine using a Named pipe. This can be achieved by using a virtual COM port. In the case of VMware or VirtualBox, the VirtualKD extension adds native support for VM debugging to Windows kernel.Судя по статьям Examples: Debugging over a Virtual Serial Port и Kernel debugging Windows XP inside of a virtual machine отладчик не обязательно должен быть в исследуемой машине, но может быть и в хост-системе и в другой виртуальной машине. Но требования к функционалу и возможности у каждого свои, без знания всех обстоятельств бесполезно что-то предлагать. Это все интересно, но не очень вписывается в тему. Продолжать не буду, а то нас скоро побьют за офтоп
Его и подразумеваю, он же loader В данном случае
Основной задачей небольшого загрузчика в MBR является поиск компонента ldr16 на зашифрованном разделе руткита, расшифровка ldr16, загрузка его в память и передача на него управления.
Если я его не знаю, это не значит, что его нет. Во всяком случае, не учитывать такую вероятность было бы опрометчиво. Такого добра всегда хватало Кроме того, и цены со временем меняются, и рентабельность проекта не всегда очевидна. Конечно, повода для паники нет, но и игнорировать возможные угрозы не стоит. Простые трояны тоже не из космоса прилетают Но и это не совсем по теме ‘Avast + Comodo’, посему завершаю, пока в меня камни не полетели
Скажу лучше, что Avast меня не устраивает, потому что не предоставляет возможности установить только сканер “по требованию”. И Comodo тоже, как и многие друге известные антивирусы.
Люди платят не потому, что недостаточно, а за большее количество бесполезных примочек, потому что с ними чувствуют себя спокойнее и увереннее. Мало кто интересуется: а действительно ли это нужно. Принцип простой: чем больше, тем лучше. Покупают же мегагерцы, мегапиксели… А спрос рождает предложение…
А я знал что Windbg упомянется!
Да, теперь я понял. Может имеется ввиду метод доставки. Только какая версия вами упомянута ? Дайте ссылку где описана версия с использованием MBR. У меня описание с примерами датировано маем 2010 года. И механика там другая. . Через инсталятор=>cвой драйвер=>системный драйвер+устройство иниц. обсл. своей ф.с. и тд.
Вполне резонно. Я и не доказываю что аваст “самый самый” и тп. Каждому свое. Когда человек мотивирует чем не устраивает тот или иной продукт - я понимаю его. Вот некоторые пытаются сравнивать антивирус и файрвол. Разные по идеологии вещи.
Я цитату приводил из этой статьи (вроде 13 дек 2010): securelist.com/ru/analysis/208050674/TDSS_TDL_4
Да. И хипс ближе к фаерволу, в Comodo с ним устанавливается и без антивируса, это логично.
Без комментариев.
[attachment deleted by admin]
Никогда не смотрел на эти тесты и не собираюсь,доверяю лишь собственному опыту.
Помнится, меня убеждали, что бенгальский огонь не жжется. А мне на руку капля упала и след до сих пор. Так вот себе как-то больше верится. И мой скромный опыт говорит как раз об обратном. Правда я о CIS.
Ну их, эти тесты. в одном Аваст лидирует, в другом Касперский, в третьем НОД. А COMODO вообще резкий гость на тестировании. Но он мне нравится. Пока ниаких нареканий в его сторону.