Как заблокировать bat'ник?

У вас, у всех АМЕРИКОСОВ ХР 3? Joke… У мея Win 7, понимаешь, там Shark007 кодеки “такой есть” и в нём впарена ASKTOOLBAR, по умолчанию. Это фуфло пишется совершенно в другие ключи, но я считаю, что это вирус по умолчанию? Где же алерт? Опять же при режиме установки Акула007 по умолчанию, как делают многие?

Речь про этот тулбар? Apps for Browsers - CNET Download
Если да, то какой же это вирус? http://www.virustotal.com/file-scan/report.html?id=5d6914dd2142fd7179e9ad4f56a0105cc35ec9ecd5f4c5e0ef5a85eeca7463ba-1312378830
P.S. Кто мешает во время установки кодеков и прочего хлама временно включать параноидальный режим?

Да не вирус это, просто он впарен в установщик. И если на его месте будет мой батник, то алерта не возникнет, потому - что setup.exe акулы007 получит привилегии над всеми доверенными прогами Microsoft. Разве это правильно?

P.S. ключей то не так и много, *\current version\run, *\winlogon - vmapplet, userinit, shell

P.P.S. сейчас какая-то мода пошла на заражение jpg, png, doc, и т.д подобных файлов, это-то хоть как-то защищено? Просто видел в настройках “защищённые файлы и папки” или всё также плохо? (этого вируса у меня нет, на собственном опыте проверить не могу, говорят, он через e-mail распространяется)

serge#77, я просто уже не понимаю Вашей логики, вероятно. У программы есть три режима работы, где алерты поднимаются либо на новые для компьютера приложения, либо на неизвестные Comodo или пользователю приложения, либо на все приложения. zil968 выше описал свой принцип работы, о котором я говорил раньше, если у него вдруг появляется алерт на запуск чего-то неизвестного, он разбирается с этим неизвестным в целом, а не по каждому конкретному действию этого неизвестного. На настройках по умолчанию за него это сделала бы песочница. Вы говорите, “мне не нравится этот режим! Хочу алерты на любое приложение и на любую модификацию!”. Ну и прекрасно. Включайте параноидальный режим, мне тоже не нравится безопасный и я работаю с параноидальным. Но Вы же, буквально, хотите убрать безопасный и сделать два параноидальных. Смысл этого мне лично не понятен абсолютно.

Если Вы добавите свой батник в инсталятор и подпишете инсталятор своей подписью, причём такой подписью, которая входит в число одобренных Комодо доверенных поставщиков и будет включена галка “доверять файлам из доверенных инсталяторов”, тогда да. И если Ваш батник будет делать действительно что-то плохое, то у такой подписи будут все шансы очень быстро вылететь из списка доверенных поставщиков.

serge#77, к сожалению ключей как раз таки очень много. CIS даже при настройках по умолчанию контролирует сотни объектов операционной системы, файловой системы, реестра и COM. И почему Вы в данном случае выделяете именно винлогон совершенно непонятно. Почему именно на запись в винлогон Вы хотите видеть алерты, а на запись в разделы сешн-менеджера, сервис-контроллера, на доступ к физдиску или на создание экземпляров COM-объектов, скажем, - не хотите. В конце концов, если это Ваше видение, CIS позволяет это настроить, но отталкиваться всё равно нужно от параноидального режима, поскольку в нём исключения не обрабатываются автоматически.

Что конкретно Вы имеете в виду под “заражением jpg, png, doc, и т.д подобных файлов”? И почему Вы считаете, что мода пошла только сейчас? все эти файлы заражались ещё 15 лет назад.

В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon В поле "Значение": Shell
В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows В поле "Значение": AppInit_DLLs
В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon В поле "Значение": Userinit
В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*
В поле "Ключ": *\SOFTWARE\Policies В поле "Значение": *
В поле "Ключ": *\SOFTWARE\Policies\*
В поле "Ключ": *\SOFTWARE\Policies\* В поле "Значение": *
В поле "Ключ": HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot В поле "Значение": *
В поле "Ключ": HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*
В поле "Ключ": HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\* В поле "Значение": *

Это как защитить, как создать это правило, КАК СДЕЛАТЬ ТО, ЧТО Я ХОЧУ? Возможно ли создать и выполнить эти правила в Комодо? ВОПРОС ВСЕМ!!! (чтоб не испугались, то что выше это копия настроек отсюда http://www.anti-malware.ru/node/2179)

Уважаемый Ntoskrnl 15 лет назад у многих не было ни компьютера, ни цифрового фотоаппарата, а сейчас вирус, шифрующий эти, миллионам людей нужные файлы актуален. И опять же, жду ответ - защита “файлов и папок” работает?

serge#77, Вам уже несколько человек несколько раз написали, как сделать (c)“ТО, ЧТО ВЫ ХОТИТЕ”, но Вы продолжаете задавать один и тот же вопрос.

Да, работает.

P.S. Тот список ключей, что Вы приводите, относится только к винлокам двухлетней давности.

Хоть и ненавижу “переводить стрелки”, но, приведу пример Вашего же спора о 2ip firewall тесте. Да, его ,
при живом и действующем каспере, при установленных для него запрещённых всё и вся правилах элементарнейшим образом раз 20-25 можно запустить при перезагрузке. Но, мараткин аргумент реально перевешивает любые доводы - как он прописался?, иначе говоря, как он создал эти правила сам? Мы при проверке, создаём все условия для обхода антивируса самостоятельно, также и с моим файлом. Понимаете, для меня этот файл безопасен, и для антивируса моего, да и любых других тоже. Но контроль программ на запрет ведь должен реагировать же запросом, а не просто выносить. Вроде бы безобидный winrar этими ключами пользуется в temp формате, то есть меняет временно и возвращает обратно, хотя что далеко ходить, Driver Genius у меня при всём разрешённом не может установить драйвера сам, приходится идти в его папку и устанавливать драйвер вручную и опять же нет алерта разве это правильно? А вы, обратили внимание на то, что правила 2-х летней давности… какая разница, смысл в том, что могу ли я создать мне нужные правила на данный момент… Ведь всё просто для понимания, как мне кажется, Я ПИШУ СПИСОК КЛЮЧЕЙ РЕЕСТРА В КОТОРЫЕ ЗАПРЕЩЁН ДОСТУП ДЛЯ ЛЮБЫХ ПРОГРАММ, НО ПРИ ПОПЫТКЕ ВЛЕЗТЬ ТУДА, ХОЧУ ВИДЕТЬ АЛЕРТ. Вот это и есть мною созданное правило и должно оно работать в любом режиме. Возможно это или нет?

Нет.

serge#77, действительно не нужно переводить стрелки потому, что тот спор был совершенно о других вещах и к автозагрузке прицепился именно Маратка, хотя я никогда не говорил, что это обязательное требование. И если Вы помните, то главным аргументом с той стороны было отключение автопринятия, т.е. переход к максимальному режиму защиты, и приходилось демонстрировать его обходы, в т.ч. и мне.

Уже неоднократно написали, что в CIS есть несколько режимов работы, в частности безопасный режим, когда безопасные программы автоматически исключаются из проверки, условно говоря. На них не будет алертов и CIS не будет мешать их (и пользователя) работе, если не указан явный запрет. Так задумано. Будут алерты на неизвестные программы и Вы эти алерты видели. А с настройками по умолчанию все эти программы вообще полетят в песочницу, откуда вообще ничего не поменяют и без всякого вмешательства пользователя. Вас не устраивает этот режим? Переходите на параноидальный и настраивайте его соотв. образом. Там алерты на любые программы, как Вы и хотите. Если есть какие-то вопросы именно по настройкам, то спрашивайте, поможем. Чёрт возьми, мне тоже не нравится ни “безопасный”, ни “Чистый ПК”, но мне в голову не приходило требовать чтобы в них были все те же алерты на любые программы, т.е., фактически, требовать отказа от этих двух режимов и перехода к трём параноидальным, хотя бы потому, что массу людей эти режимы вполне устраивают и, если не жать всё подряд, они настолько же безопасны, но при этом не дают алерты на всё, что шевельнулось. то же самое и с установкой драйверов. У меня, например, вообще никто не может драйвер поставить без запроса, что же мне теперь требовать чтобы из программы исключили все остальные режимы и все остальные пользователи “наслаждались” горами ненужных в большинстве случаев алертов?

Я обратил внимание на то, что это правила двухлетней давности и винлоки с тех пор сильно изменились. Против многих уже недостаточно только тех правил, хотя бы против тех которые пишутся в бутсектор. Но Вы, почему-то, сосредоточились именно на винлогоне, как будто алерты на другие вещи Вам не нужны. Сейчас вижу, что Вы вспомнили и про драйверы, и про другие возможности, так что можно не обращать внимания на то моё замечание.

Да, это просто для понимания, и Вам уже несколько раз дали этот ответ. Если Вам нужны алерты на всё, где стоит запрос и на любые программы, то включайте параноидальный режим. Это прямо указано в документации на продукт и это нормальный режим работы программы, не нужно пугаться названия, который полностью отвечает Вашим требованиям. Ещё на первой странице дали этот ответ, почти 2 недели назад, но Вы по совершенно непонятной причине продолжаете добиваться алертов там, где их не должно быть по замыслу разработчика.

Спасибо большое за ответы!

P.S. Ntoskrnl, будете в Ленинграде, и если будет свободное время, можно было бы встретится. Хоть я и живу в Выборге (140 км), 2 часа всего. Слова на форуме, как не старайся, живого общения не заменят, а “такие вопросы, с кандачка не решаются”.

Всем отвечавшим, большое спасибо!

До Свидания…

Если можно возобновлю эту тему. Качнул сегодня вирус (winlocker) от “Чижа” и получил интересный результат. Как видите на 1-ом скрине одинаковое “НЛО” пытается запустить доверенное приложение, но дальше…скрин 2 видите, реакции разнятся, здесь уже жмём блокировать, видим скрин 3, тоже жмём блокировать, скрин 4, и после перезагрузки скрин 5, чистейшая рабочая винда. Настройки у Комодо и там, и там одинаковые - безопасный режим, но алерты, здесь на XP именно мне нужные возникают, а на Win7 нет, как прокомментируете?

P.S.И кстати, пока Комодо полностью не иннициализируется, вирус запускается свободно, что-то мне это напоминает Kis, может это изыски виртуалки, но очень сомневаюсь, напомню конфигурацию Win7(лиц.) +Nod32 antivirus(лиц.)+Comodo firewall+defence(+) Виртуалка - Win XP(лиц.) “кстати сегодня обновилась, хотя вроде говорили, что всё” + Comodo - CIS, из-за антивируса он очень долго стартует, на это я обратил внимание, но повторюсь может это изыски виртуалки.

[attachment deleted by admin]

Это не зависит от версии ОС. Алерты во втором случае Вы видите из-за того, что ключи реестра пытается изменить НЛО (неопознанный левый объект), он же Видео flv.exe. В первом же случае ключ реестра менял reg.exe, который является ДБО (доверенный безопасный объект), поэтому алертов в безопасном режиме не было.

Скорее всего из-за виртуалки.

А можно как-нибудь убрать reg.exe из доверенных и чем это грозить будет? Не сочтите за рекламу, но я не поленился, снёс Comodo на виртуалке, поставил ESET 5, перенёс туда этот файл, создал правило и вот… разве не так должна работать проактивка??? Скрин уже на заключительном этапе.

[attachment deleted by admin]

Если есть желание, можете попробовать:

  1. Удалите из списка доверенных поставщиков все строчки, начинающиеся со слова Microsoft.
  2. Отключите облачную проверку (2 птички) в настройках проактивной защиты.
  3. Переместите reg.exe и cmd.exe из доверенных файлов в неопознанные.
  4. Удалите правило для reg.exe, если оно есть.
  5. Пробуйте запустить bat’ник.
    О результатах потом напишите здесь.

Появится много лишних вопросов от проактивки.

А разве есть какой-то ГОСТ по работе проактивки? Или есть эталон, с которым нужно сверяться? Каждый продукт работает по своему. У Комодо есть песочница, которая с настройками по-умолчанию включена, и которая защищает от изменений важных ключей реестров подобными bat’никами. Отключать песочницу стоит только продвинутым пользователям, которые хорошо понимают, какие алерты можно разрешать, а какие нет.

Проверил на рабочей машине, действительно, пока Комодо полностью не загрузится, можно спокойно запускать любые неопознанный файлы, если для них нет явных запрещающих правил или если не выбрано “Блокировать все неизвестные запросы, если приложение закрыто”. Не спасает даже параноидальный режим. А это не есть хорошо.

Hause, спасибо за информацию. Были и у меня такие подозрения, но проверить не было возможности.

military, это еще цветочки. Ягодки начались после того, как я дальше продолжил экспериментировать со злосчастным батником.
Для начала просто добавил его в автозагрузку. В настройках Комодо поставил птичку “Блокировать все неизвестные запросы, если приложение закрыто”. После перезагрузки все хорошо, реестр не поменялся, батник заблокирован. Но стоило его только добавить в назначенные задания с запуском при включении компьютера, как он после перезагрузки изменил защищенный ключ реестра. И отфильтровать такое поведение Комодо никак не может…
Кроме того, проверил антивирус, он тоже не отлавливает известные ему вирусы до тех пор, пока сам не загрузится полностью…
Единственный модуль, который не подвел, оказался фаервол - он просто ставит соединение на “паузу”, пока не загрузится полностью, а потом уже спрашивает, можно разрешать или нет.
P.S. Интересно было бы узнать мнение ntoskrnl по этому поводу.

Hause, для батника уже были созданы какие-либо правила? Он распознавался CIS как доверенное или неопознанное приложение или это не имеет значение?