"Удаление произвести не удалось" плюс жуткие тормоза

Не буду сначала ругаться, может это не программа кривая, а руки кривые.
Вобщем, довольно часто наблюдаю такую картинку как на скриншоте. Я так понимаю CIS обнаруживает заражённые файлы, но вылечить их не может, хотя раньше этого никогда не было. Раньше, это примерно до апреля-мая этого года, когда CIS глобально обновился. Потом на большинстве рабочих компьютеров, а там их примерно 40, а также на домашнем после запланированного сканирования вместо результатов стала отображаться эта картинка, кроме того: компьютеры стали сильно тормозить, появились случае незапуска программ с рабочего стола (типичные признаки заражения), запланированное сканирование (я настраиваю по понедельникам, средам и пятницам производить глобальное сканирование всего компьютера во время обеденного перерыва) длится по несколько часов, а порой и до конца рабочего дня не заканчивается. Хотелось бы знать что это такое?

[attachment deleted by admin]

Iskatel S, так в чём конкретно Ваша проблема? В заражении, в долгой проверке, в незапуске чего-то, или просто в этом окне? Объясните подробнее. И покажите настройки антивируса, особенно, раз речь о запланированных проверках, не включена ли там галка “автоматически помещать в карантин обнаруженные угрозы”.

А вы мне хотите посоветовать создать отдельно три темы: отдельно по заражению, отдельно по долгой проверке, отдельно по окну?
А проблема, да, есть проблема, если антивирь пропускает вирусы или обнаруживает их уже после того как они совершили своё вредоносное действие - это вообще не защита. Что значит “Удаление произвести не удалось”, CIS работает как служба значит имеет права на запись для всех файлов системы и удалить стало быть может любой файл. Кроме того, почему я “привязался” к этому окну: именно с той версии CIS, в которой было введено это окно, мной и были замечены тормоза системы и пропускание вирусов.
По настройкам. Все настройки было бы переписывать слишком долго, если кратко: режим работы антивируса - сканирование по доступу, режим работы фаервола - режим обучения, режим работы проактивной защиты - неактивен, ражим работы sandbox - неактивен. В настройках антивируса везде указан средний или высокий уровень эвристического анализа, опция “не сканировать файлы больше” повышена с умолчальных 20 до 2048, чтобы сканер не пропускал большие файлы, на всех вкладках: сканирования в реальном времени, ручного и запланированного сканирования проставлены все галочки в том числе и “автоматически отправлять обнаруженные опасные объекты в карантин”.

Может быть, почему нет? Но пока вполне достаточно просто описать проблему подробнее, Вам же не нужен пустой топик без ответов?..

Вполне возможно, что он просто неправильно настроен.

Это не совсем так, и CIS работает не только как служба, и работать службой недостаточно, чтобы удалить любой файл. Но сейчас не в этом дело.

В версии 5.4 были проблемы с тормозами антивируса, в 5.5 они процентов так на 80 решены. У Вас какая сейчас? Про пропускание вирусов - ниже.

При таких настройках все вирусы - Ваши. Серьёзно. Оставить от всего комплекса всего один компонент, это не лучший выход.

Ну тогда, в общем-то, ничего удивительного, он пытается закарантинить нечто, а сколько у Вас там этих “нечто” пока непонятно. Вы песочницу и проактивку выключили, а файрвол практически выключили, из каких-то соображений или просто так?

Спасибо за информацию. Буду на всех компьютерах обновляться до 5.5

Ну так начнём разбираться. Давно как раз хотел задать вопрос о правильной настройке CIS.

  1. При установке CIS что нужно менять в настройках или можно оставить всё по умолчанию?
  2. Фаервол у меня не отключён, а работает в режиме обучения. В литературе сказано, что в режиме обучения должен работать любой фаервол в течении первого месяца, чтобы в нём автоматически создались правила. Потом я эти правила редактирую, меняя их на trusted или bloked. По опыту, один раз всё же фаервол помог мне, с его помощью я выявил программу, которая создавала много соединений одновременно со всеми компьютерами сети тем самым напрочь забивая канал, как вирус программа не определялась, но стала определяться на следующий день после того как я отправил её на проверку.
  3. В тех антивирусах, которыми я пользовался раньше, никакой проактивной защиты не было, потому я отключил её и sandbox. Я подумал, что проактивная защита, это что-то вроде второго антивируса, рядом с основным и что основной должен итак справляться без неё, если уровень эвристики высокий. Подумал, что дополнительный анализ кода будет сильнее затормаживать систему. Я неправ, да?

А что Вам мешало? :slight_smile:

Можно и по умолчанию. В принципе, чтобы держать систему чистой этого вполне достаточно. И для “обычного” пользования компом этого обычно достаточно. Менять настройки нужно уже или в зависимости от используемого софта, или от своих личных предпочтений. В принципе, Вы вполне можете проверить работу на настройках по умолчанию и если уже тогда будут появляться какие-то шероховатости, то решать их отдельным порядком. Единственное, что ставить нужно, конечно, на чистую систему, не уверен, как у Вас сейчас с этим.

Я потому и написал “практически отключен”, что у Вас сейчас на всё подряд создаются разрешающие правила. А уж в течение месяца… Даже не знаю, это какая-то неправильная литература, это если “политкорректно”… Обучающего режима и на час бы хватило и то, если лень “вручную” на алерты отвечать, а так, конечно, должен быть как минимум безопасный, а лучше пользовательский режим. Плюс ещё некоторые настройки, особенно с учётом того, что там у Вас сеть, как я понял.

Зря, зря. Для этого всё-таки есть журнал, а если у Вас софт каждый день не меняется, так и через алерты настроить недолго.

Ну вот, выявили нечто, что уже успело насвиничать, а вполне могли пристрелить “на взлёте”…

В том или ином виде она сейчас есть у многи хпродуктов и это ни в коем случае не “второй антивирус” Её задача ловить то, о чём антивирус ещё не имеет ни малейшего представления, как в Вашем случае выше, и либо это дело сразу “под микроскоп”, либо просто запрещать опасные действия неизвестным “товарищам”, Это уже кому как больше нравится. Дополнительных тормозов от этого не то, чтобы практически нет, а можно сказать, вообще нет. В случае с CIS, во всяком случае.

В любом случае, Вам сейчас нужно определяться в первую очередь с тем, заражена ли система(ы) и лечить при необходимости. Попробуйте для начала сделать проверку без занесения в карантин, чтобы оценить масштабы бедствия…

Прочитайте этот материал!У вас не должно остаться вопросов по настройке…

Прочитал. Там не все настройки раскрываются.
Наверное на всех компьютерах придётся CIS удалить, а потом поставить заново, чтобы настройки умолчальные были в том числе проактивка, потому что я не помню что я там изменял.
Хотелось бы некоторые опции разобрать, например всё ту же “автоматически отправлять обнаруженные опасные объекты в карантин”, я так и не понял почему она должна быть снята. Я ведь так понимаю установка этого флажка разрешает антивирусу лечить заражённые файлы не спрашивая об этом пользователя, то есть исключён вариант что пользователь ответит нет, оставив машину заражённой. Также какое число должно быть в “не сканировать файлы больше”? Для чего нужны опции “использовать сканирование в облаке” и “использовать руткит сканер”? Как сделать, чтобы запланированное сканирование длилось не 4 часа, а хотя бы час и было невидимо для пользователя и не выводило окно “удаление произвести не удалось”?

;D

Просто значения по умолчанию Вы можете поставить если выберете одну из стандартых конфигураций или через меню, или через “управление кофигурациями”. Естественно, если накопившиеся изменения Вы потом не записывали под теми же именами. Но если чистота системы под вопросом,то лучше переставлять. Разумеется, предварительно вычистив систему. Ну а раз Вам всё равно переходить на следующую версию, то, само собой, проще переставить.

Хм… Никто не говорил, что обязательно должна быть снята. Просто, видимо, в Вашем случае она приводит к неприятным последствиям в виде того окна. Вам, возможно, удалось таки заразить систему и перемещение “чего-то” в карантин, видимо, уже оказалось проблематичным. А в нормальной ситуации, когда “тушки” просто лежат где-то или списываются с интернета, внешних носителей, т.п., они карантинятся без видимых проблем.

Не столько “лечить”, сколько изолировать. И не столько “оставит машину зараженной”, сколько просто не прибьёт малварь сразу. Из чего вовсе не следует, что CIS даст ей что-либо заразить. Вы исходите из парадигмы “традиционных” антивирусов. Которые сначала с радостью дают заразить систему, а потом, когда “приедут” сигнатуры и/или процедуры лечения, начинают героически бороться с зараженной системой. Что происходит в промежутке и чего это стоит пользователю их не интересует. CIS позволяет в принципе не заражать систему, а уж как быть с неактивными и ничего не сделавшими тушками, удалять, карантинить или “пускай лежат, потом посмотрим” - это уже второй вопрос. Если Вас беспокоит, что пользователь может что-то не то “нажать”, то ему можно просто не показывать алерты, это настраивается в т.н. “родительском контроле”. Или даже можно вообе не загружать интерфейс CIS для конкретного пользователя. Нужно будет только сначала убедиться, что все программы работают нормально, поскольку тогда CIS будет считать, что на всех алертах нажали “запретить”, “блокировать” и т.п.

Полагаю, это на личный вкус. У меня там просто столько девяток, сколько влезло (в ручном и плановом). Но, в принципе, можете оставить по умолчанию. Если остальные компоненты CIS работают, это не так уж и принципиально, антивирус в нём вещь, скорее, вспомогательная.

Для анализа поведения файлов, не проходящих ни по белым, ни по чёрным спискам, на серверах Comodo. См. http://camas.comodo.com/ , http://valkyrie.comodo.com/ . Ну а “использовать руткит сканер” для поиска руткитов, разумеется. Что Вы имели в виду?

Не зная, какие объёмы Вы проверяете, мне лично сложно сказать, сколько должна длиться проверка. Единственное, по-моему Вы переборщили с проверками каждые два дня. Окно, по идее, должно не показываться, так же, как и все алерты (см. выше) Здесь предполагаю, поскольку данное конкретное окно сам вижу только при экспериментах с малварью.

И, Iskatel S, главное, убедитесь, что, так “экстравагантно” используя CIS, Вы не заразили систему(ы). Если не уверены, проверьте здесь или здесь. CIS предназначен не для лечения, а недопущения заражения.

Уже проверяю. Удаляю CIS, проверяю, потом ставлю CIS версии 5.5 в котором настройки не трогаю, оставляя умолчальными за исключением того что добавляю запланированное сканирование 3 раза в неделю и в “настройках” отключаю “Центр сообщений COMODO”. Сканирование теперь проходит гораздо быстрее.
Но по настройкам остались вопросы. Да, антивирус проверяет файлы по сигнатурам и эвристике, да, проактивка следит чтобы несанкционированные программы не получали доступ к критическим системным ресурсам. Фаервол должен следить чтобы несанкционированные программы не могли получать доступ к сетевым подключениям, однако сейчас у меня фаервол работает в безопасном режиме и сеть доступна любой программе, и правила никакие не создаются, хотя когда работал в режиме обучения правила создавались. Нужно ли что-то менять в настройках фаервола?

Нужно ли что-то менять в настройках фаервола?
Смотря в каком месте и для каких целей вы используете сеть. Единственное, в настройках по умолчанию для фаервола, вроде бы есть правило, которое разрешает все исходящие соединения, как по мне, - то его лучше удалить. Остальное настраивается в зависимости от ваших потребностей...