Вчера поставил на комп Comodo и HIPS был настроен так:
http://s017.radikal.ru/i421/1304/2c/93bc9132fc68.png
Сегодня вечером чел звонит и говорит, что не может зайти Вконтакт.
Я посмотрел его комп - файл hosts подменён.
В результате чего вирусу удалось это осуществить?
Как правило-через панели поиска в браузерах.от всяких поисковиков,устанавливаемые без надобности.Эт хорошо если приложение из 100% источника,и панели не здовреды.А если от васи пупкина?Второе всякие закачивальщики Вконтакте,Почтовые недоклиенты,от мэйл ру,яндекса и т.д.Это с учетом того,я уверен в этом,что вы всё сделали правильно.У меня подобное часто.Нужно еще и попутно объяснять что способ установки по умолчанию таит в себе угрозу.Вот недавно ходил повторно.Там этих сторонних зверей за неделю накопилось…Гугл хром не хотел скачиваться.
Мой ответ через браузер,и стороннее по.
Да.Спасибо,именно так и есть.Плюс ко всему обнаруживаемые потом в правилах проактивной защиты правила типа-Мэйл ру Спутник-обработать как-Вэб браузер.Жмут короче что хотят.А если разрешают,например-требует неограниченный доступ к вашему компьютеру-разрешить.Чего потом ждать?
Я вчера не мог зайти тоже и имел проблемы я думал тут проблема в Комодо брандмауэре или в браузере и серверах вконтакте.
Как правило-через панели поиска в браузерах.от всяких поисковиков,устанавливаемые без надобности.Эт хорошо если приложение из 100% источника,и панели не здовреды.А если от васи пупкина?Второе всякие закачивальщики Вконтакте,Почтовые недоклиенты,от мэйл ру,яндекса и т.д.Это с учетом того,я уверен в этом,что вы всё сделали правильно.У меня подобное часто.Нужно еще и попутно объяснять что способ установки по умолчанию таит в себе угрозу.Вот недавно ходил повторно.Там этих сторонних зверей за неделю накопилось…Гугл хром не хотел скачиваться.
Мой ответ через браузер,и стороннее по.Нужно объяснять,чтобы человек взял себе за правило
нажимать при установке- фукцию “дополнительно” или advansed или любое другое по смыслу.В общем в 90% случаях я столкнулся с бездумной установкой ПО,которое просто разрывает в клочья браузер.Если б вы ещё предоставили скринов?
Скринов чего именно?
Ну,хотя бы Диспетчера задач.Или кил свитч.
http://forum.ru-board.com/topic.cgi?forum=62&topic=19215
http://www.ferra.ru/ru/soft/news/2013/03/12/Dr-Web-Trojan-Hosts-8000-PC/
==============================
А взять его - да в карантин. (Шутка)
Смотрю анг справку,один момент.Выходит его нет таки в защищенных.Сколько раз лазил в группах,не обратил внимания-%windir%\system32\SearchProtocolHost.exe.Но это совсем не то.Аблажался.Кстати эту галочку для чтения зловреды легко обходят,по моему.
http://www.zedcreate.narod.ru/pages/viruses/viruses007.htm
Начинать читать с-
4. Принцип заражения файлов.
При заражении файлов вирус обходит атрибут “только для чтения”
Всё же(сам себя реабилитирую)- дирректория %windir%*|,находиться в защищенных…Так что вопрос в принципе остаётся(каламбур) под вопросом…
Я всегда вручную host прописываю в защищённые файлы 
Может я по слабоумию делаю что-то не так? Подскажите, что не так?
Вообще-то с hosts у меня проблем никаких нет - ради эксперимента :
Защита+ - HIPS - Защищенные Обьекты - Защищенные файлы - Добавить :
C:\Windows\System32\Drivers\etc\hosts
Сохраняю копию оригинального hosts,в папке etc заменяю нормальный на модифицированный.Тишина.
Удаляю его.Тишина.
Возвращаю оригинальный файл в папку etc.Тишина.
Чего не так?
Это лишнее, если в защищенных фалах прописана строка “%windir%*|” (по умолчанию должно быть прописано), - этот параметр (строка), как раз таки и означает слежения за всеми изменениями в директории Windows.
Действия инициированы, непосредственно Вами (т.е. самим пользователем). Если нет разграничение прав или юзер имеет права админа, то это вполне легитимные действия.
Чтобы сработала защита (HIPS), изменение файла должно быть инициировано со стороны стороннего процесса (файла).
Для примера, можно создать битник (.bat) вида:
rename "c:\Windows\System32\drivers\etc\hosts" "hosts00"
(переименование hosts-файла в hosts00)
После запуска, должно выскочить оповещение о попытки изменении защищенного файла…
[attachment deleted by admin]
У меня такого вида запроса вообще нет.
Если через explorer запускать, то выдается запрос о том что он хочет запустить батник, потом что батник хочет доступ к диску…
Если через cmd запускать, вообще молча переименовывает и все.
Это в безопасном режиме.
В параноидальном запрос от cmd выдает.
Но ни в одном режиме нет запроса о изменении защищенного файла.
Версия 6.
Для начала:
Далее смотреть надо более подробно…
Неудивительно… Ведь сама командная строка Windows, по умолчанию – является доверенным, и ей разрешен доступ, почти ко всем директориям системы…
Оповещение должно выводиться как в безопасном режиме, так и (тем более) в параноидальном…
Все это есть, и в защищенных и галка стоит.
Ясно, что cmd доверенное. Но почему запроса даже нет? Просто проходит команда и файл переименовывается.
Вот единственное, что для explorer было правило - разрешенное приложение. Может поэтому запрос возникает. А Cmd как системное обрабатывается…
И главное, что нет предупреждения, что пытаются изменить защищенный файл…
Выводы-всем приложениям из списка доверенных,можно изменять.Потому как у обычных людей всё ,всё в доверенных.Лишь бы не раздражало сообщениями.Я смотрел в списках на 3 компах,после полемики на этом топике…Чего там только нет…Доп выводы-это просто ппц. :-TD
Запускал Mini Security Test. Пишет,что hosts защищен. Заодно запустил CLT (видео с тестами вчера
насмотрелся). Mini Security Test - 7 из 7, Comodo Leak-Test - 340 из 340.
Если честно, не знаю как относится к результатам, да и к тестам. Показывают они,так сказать,
реальную картину или они, если и не игрушка, то так… чего то там…