[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Предыдущая часть ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Обсуждаем результаты тестов, выкладываем ссылки на коллекции с вредоносным ПО и тестируем антивирусы самостоятельно.

С результатами некоторых сторонних тестов можно ознакомиться на следующих ресурсах:


AV-Comparatives.org ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Anti-Malware.ru ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Virus.gr ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

AV-Test.org ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

PC Security Labs ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

SRI International ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Вот как интересно получается.Значит в некоторых антивирусах настройки роли не играют (на АМ кто-то говорил),а в некоторых антивирусах настройки всё же играют роль.

Добавлено через 3 минуты
Black_N
Скачай IDA и посмотри в той проге всё можно увидеть.
Единственное не могу понять,как всё-таки вирус преобразуют в сигнатуру,чтобы антивирус его обнаружил?
Если это неуместный вопрос,можно не отвечать.

KIS 2009, кстати, тоже легко определил заразу

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

kis 2009 схватил при распаковке архива
нортоны (360. nav 2009)при запуске
типа kis рулит???

Не знаю рулит или нет, но факт на лицо. Кашмарский не дал файлу при распаковке из архива ходу дальше временной папки (как и Avira). Я думаю при сигнатурном детекте так и должно быть. Если Norton блокирует при запуске, то тут уже другие механихмы срабатывают!

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

И ещё, авира знает этого трояна с 25.01.07, а последнее улучшение его детекта от 24.04.09. Думаю она и рулит!:kurim:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

авира знает этого трояна с 25.01.07.... Думаю она и рулитНу давайте будем объективными и внимательными:

1. TR/Crypt.XPACK.Gen - групповой детект

2. обсуждаемый зловред - только появился

А создаваемые в процессе запуска:
svhogst.exe
154.bat
tmp365.exeЛовятся и Авирой и всеми вендорами?

В общем, не надо создавать "богов" - это не соответствует действительности. Все и всё пропускают, но в разной степени и в разное время.

georgy_n,
Жора глянь на продукт извините что не в тему но на форуме этого зверя не нашел (3 в одном KIS 9 про) KINGSOFTpro обзывается
с нортоном в паре не дал браузер открыть пришлось нортона временно снести дают 90 дней триала:
Learn more and download the 90-day trial version, here: [Ссылки могут видеть только зарегистрированные и активированные пользователи]

(3 в одном KIS 9 про)KIS в данном случае - не Касперский. Позже добавим ссылки на его сачивание, спасибо.
с нортоном в пареБоже упаси от 2-х антивирусов на 1-м ПК :crazy:

Да, неприятная штуковина :-
сегодня проверил, нод в пролёте с новыми базами ((
веб не видит. каспер не видит.
опять "сильная" тройка облажалась.

Добавлено через 1 минуту
Боже упаси от 2-х антивирусов на 1-м ПК
да, помню мои эксперименты несколько лет назад, весело было.
правда не всегда конфликты, но копашки тормозили просто жуть ))

Да, неприятная штуковина :-( Убивает напрочь загрузку безопасного режима, прописывается в автозагрузку:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Dr.Web пока в пролете. Да неприятная вещь. Но перед появлениием этой штуковины мой брандмауэр сообщил, что какой-то процесс хочет выползти в инет. Имя процесса exploree.exe/http (TCP). Ну я ему естественно доступ заблоркировал. Потом антивирус выдал сообщение, что ктоо-то что-то пытается прописать в автозагрузку. Я ему тоже ззапретил. А потом появилась картинка, которая ошарашила. Решил перезапуститься, рискнуть (хоть и опасался, но не за то, что система рухнет, или уже рухнула, а за данные на жёстком диске). Ребутнулся. Вроде всё нормально. Машина работает. Шо это вообще такое было было?

pumbala, судя по описанию, это была хорошая работа связки "пользователь - защитное ПО", и в итоге, похоже, вирус обломался.

pumbala, судя по описанию, это была хорошая работа связки "пользователь - защитное ПО", и в итоге, похоже, вирус обломался. Да уж, методом проб и ошибок со временем понимаешь, что лучше самого пользователя машину никто лучше не контролирует. Автоматика - это конечно тоже неплохо, но всё таки лучше, чтобы машинка каждый раз спрашивала, а человек уже сам принимал решения. Это единственный оптимальный подход к системе.

Оптимальный то он оптимальный, но для среднестатистического юзверя довольно проблематичный, проги по безопасности, одни из самых сложных в усвоении, у себя на форуме, иной раз уходило по 5! часов непрерывной переписки, для того что бы помочь в установке и настройке одного только файервола, и потом ещё несколько дней ответы на вопрос: почему не работает инет)

Вот еще пара тестов, результаты которых кое-где сильно противоречат друг другу; в общем, сколько людей, столько и мнений, как обычно.

The Results:
(Program name, Detection Rate)

1. Avira AntiVir Personal Edition Premium – 99.43%
2. a-squared Anti-Malware – 99.37%
3. G DATA Antivirus – 99.18%
4. avast! Professional Edition – 98.95%
5. Kaspersky Antivirus – 98.64%
6. Norton Antivirus – 98.58%
7. BitDefender Antivirus – 98.49%
8. ZoneAlarm Security Suite – 98.36%
9. F-Secure Antivirus – 98.16%
10. Nod32 Antivirus – 97.83%
11. McAfee Antivirus Plus – 97.51%
12. Comodo Internet Security – 96.93%
13. AVG Antivirus – 96.65%
14. Panda Antivirus – 96.22%
15. Rising Antivirus – 95.78%
16. Sophos Antivirus – 94.86%
17. F-Prot Antivirus – 93.47%
18. Outpost Security Suite – 92.58%
19. VIPRE Antivirus + Antispyware – 92.49%
20. VirusKeeper – 91.31%
21. Spy Emergency – 73.62%
22. Dr.Web – 71.05%
23. CA Antivirus – 68.84%
24. BullGuard Internet Security - DNF
25. Malwarebytes Anti-Malware – DNF

Источник ([Ссылки могут видеть только зарегистрированные и активированные пользователи])


RANK -- AV Product -- Malware Identified -- Percentage of Total

1. -- G Data -- 36,423 -- 99.95 percent
2. -- Trust Port -- 36,171 -- 99.26 percent
3. -- eScan -- 36,146 -- 99.20 percent
5. -- BitDefender -- 36,105 -- 99.08 percent
6. -- Avira -- 35,846 -- 98.37 percent
7. -- Hauri -- 35,325 -- 96.94 percent
8. -- Trend Micro -- 35,182 -- 96.55 percent
9. -- DrWeb -- 34,114 -- 93.62 percent
10. -- F-Prot -- 32,635 -- 89.56 percent
11. -- Ashampoo -- 32,291 -- 88.61 percent
12. -- Panda -- 31,719 -- 87.04 percent
13. -- BullGuard -- 31,608 -- 86.74 percent
14. -- PCTools -- 30,023 -- 82.39 percent
15. -- Arcabit -- 28,944 -- 79.43 percent
16. -- Rising Software -- 27,991 -- 76.81 percent
17. -- Clam -- 27,247 -- 74.77 percent
18. -- CA -- 24,996 -- 68.59 percent
19. -- ESET -- 23,746 -- 65.16 percent
20. -- VBA -- 22,417 -- 61.52 percent
21. -- AhnLab -- 21,301 -- 58.45 percent
22. -- Norton (Symantec) -- 20,404 -- 55.99 percent
23. -- Kaspersky -- 20,289 -- 55.68 percent
25. -- File Sentry -- 111 -- 3.04 percent
26. -- AVG -- 110 -- 3.01 percent
27. -- Hacker Eliminator -- 1 -- 0 percent
4 or 24 -- Avast -- Make sure to read the footnote for this entry in the individual assessment. Avast had either 99.14 percent or 57.67 percent success.

Источник ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Ребят согласитесь, последний год все вирлабы очень подняли в качестве своих продуктов, тут уже вступает человеческий фактор, знание дополнительных прог безопасности, умение работать с инетом, при поиске решения проблем, да и вообще желание разобраться в основах безопасного сек..., о пардон) компьютера. Я к тому, что можно взять с десяток первых прог, из таких тестов и рекомендовать к использованию. Да и самое главное забыл, многие вирлабы должно благодарить, такие как этот форумы и их пользователей, за поиск и выявление новых вирей, что я увидел воочую.

Данные противоречия скорее всего обусловлены различием в используемых для тестирования "коллекциях" и главным образом в источниках подобных "коллекций" зловредов.

Ребят, второй тест... ну увольте! Имхо, его результаты... кгм... ну никак не могут быть ориентиром эффективного отлова. Каспер с Нортоном - по 55%... посмеялся бы, если бы не было грустно.

Ivaemon, согласен, но опять же с небольшой оговоркой. Вспомните недавно проводимое на форуме самостоятельное сканирование архива зловредов. Результаты ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) помните. Почти повторяется та же картина, только немного последние продукты не в том порядке.

Жаль, что я в английском не понимаю

Моя методология тестирования была столь же непредубежденна, как я мог сделать ее. В конце концов, у меня была личная заинтересованность в обнаружении лучшего решения AV для моего собственного компьютера. Конечно мое тестирование теряет двойной слепой научный метод, но я думаю, что это держит хорошо для публикации в господствующих СМИ. Помните это прежде всего: я искал продукт AV, который идентифицирует и удалит самое высокое число теста malware, что я имею. Мой акцент в тестировании был на высоком числе обнаружений, и мое тестирование оштрафовало программное обеспечение, которое сообщило о большом количестве "ложных положительных сторон."

Объясните не сведущему - это проводили исследование специалисты, или простые журналисты.Меня смущают последние слова, о ложных, если я правильно понял, срабатываниях.

Сергей, по-моему, просто один мужик, этот Соверс, решил провести свой личный тест. Откуда он откопал базу, что она собой представляет - ни слова там я не нашел! Ну, а все остальное (система, откуда он скачивал дистрибы и каких версий, тыр-пыр-восемь дыр и т.д.), по-моему, не играет значения. Эти результаты не достовернее наших, имхо. Впрочем, допускаю, что не прав, поправьте, если не так.

Так, сегодня в поисках System Safety Monitor (их сайт лежит) попытался скачать System Safety Monitor 2.4.0.622 Beta отсюда:[Ссылки могут видеть только зарегистрированные и активированные пользователи]В итоге получил некий файл install.exe небольшого размера. На VT палится только Prevx'ом. Пароль стандартный - virus:[Ссылки могут видеть только зарегистрированные и активированные пользователи]

georgy_n,
Все бесплатные слоты для вашей страны заняты.

curier,
это ж ты из какой такой страны ;-)
[Ссылки могут видеть только зарегистрированные и активированные пользователи]Да похоже файл неинтересный, ЛК ответили - чисто. Хотя мне кажется - адварь какая-то

А я Trial-Reset сегдня качал. Авира с ума чуть не сошла.
Вирустотал показывает 28 из 39:
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Ну, ЛК сказали - чисто...

Тайлер, Триал-Ресет на Авиру?

Нет, вот этот Trial-Reset ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

georgy_n, Россия родная :))) Я скачал файл с первоисточника :))) Спасибо за рапиду, я думаю она не помешает, может у других тоже возникнут проблемы при скачивании.

Кстати, для Авиры тоже есть Trial Reset. Не проверял в действии, ибо не вижу в этом смысла. Зачем ломать программу, если есть акционные ключи?
Авира, естественно, на этот файл ругается, да и другие тоже: [Ссылки могут видеть только зарегистрированные и активированные пользователи]
Отправлял на анализ в ЛК, сказали - чисто.

Хм, интересная, как обычно стало в последнее время, ситуация с этим install.exe ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) сложилась,

Вирлаб ЛК (интересно, что за манера отвечать на английском???)
Hello,

install.exe_

No malicious code was found in this file.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.Вирлаб АвирыThe file 'install.exe' has been determined to be 'MALWARE'. Our analysts named the threat TR/Dldr.Delf.txh. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection is added to our virus definition file (VDF) starting with version 7.01.04.09. Если это действительно троян, то как-то круто выходит :( Все же троян - даже не адварь, как я предполагал

P. S.: вообще зашибись!!! Проверяю только что этот файл на VT, а его там и ЛК детектит - это как называется?[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Картина интересная. На трех сайтах по проверке файлов, три разных результата. Правда опять ответ может быть очень банален, базы обновления. georgy_n, может и у тебя так же.

1 результат ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) 2 результат ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) 3 результат ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

curier, очевидно, везде разные настройки (где на максимуме, где детект авдваре-спайваре отключили и т.д.) + базы, конечно. А касперовцы, очевидно, первый раз поторопились с ответом, ошиблись, а потом одумались.

касперовцы, очевидно, первый раз поторопились с ответомПохоже, что нет, потому что вирлаб Dr.Web ответил мне сегодня, что сам по себе файл угрозы не представляет без активного участия пользователя - о, как!Без команды пользователя ничего не скачиваетВ общем, Доктор Веб отказался добавлять зверька в базы.

Aвстрийская лаборатория сравнительного тестирования антивирусов AV-Comparatives опубликовала вторую часть отчета по итогам теста, проведённого в феврале 2009 года. В тесте принимали участие 16 популярных антивирусных решений. Вторая часть отчета содержит результаты теста на проактивное, эвристическое детектирование. Антивирус Касперского 2009 получил наивысшую оценку AV-Comparatives – Advanced+, показав отличный уровень эвристического обнаружения вредоносного ПО и незначительное количество ложных срабатываний. Помимо Антивируса Касперского 2009 оценку Advanced+ получили лишь два продукта других вендоров. Хотя лучший результат показала Avira, награда опять ушла к касперскому. И опять из-за фолсов. [Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) [Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

GDATA - 60%???[Ссылки могут видеть только зарегистрированные и активированные пользователи]
Никогда такого не было... упалсастула.
Ну, и мелкомягкие молодцы!

Каспер заплатил,вот и награда.Авира держится молодцом в детектировании.Вот,если бы 99% она набрала,то я бы со стулом вместе подпрыгнул бы от радости до потолка.

ещё интересное в документе Corporate_May_2009: сравнение HIPS [Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) Что за HIPS в авире? Тот который убрали в 9ке при выходе русской версии? Поясните...

Звёздочками отмеченны, я так понял, те у кого фолсы смазали результаты, ну а вообщем это подтверждает то, что я пишу на всех форумах, все вирлабы подтянули в качестве своих продуктов, и антивири из первой пятёрки, можно смело рекомендовать к юзанию) т.к. ротация от теста к тесту, по местам, как раз и происходит в их рядах. imho.
АндрейР, у G Data я тоже что то хипсы не заметил, или плохо смотрел?

Каспер заплатил
Не, контора Клементи - независимые ребята, за это их и уважают.
Что за HIPS в авире?
Странно. Авировцы только разрабатывают этот модуль, обещают внедрить в продукты следующей генерации.
Еще более странно: в ЕСЕТе по сути - не хипса, а элементы хипсы. А в Каспере давно полноценная стоит. И такие результаты...

Так что в Авире нету Гипса[Ссылки могут видеть только зарегистрированные и активированные пользователи]Обещали ведь,как же так убрать такую вещь.

Там во всех продуктах нет HIPS, кроме как у Kaspersky; у Sophos HIPS не совсем привычный - набор загружаемых правил, которые к тому же не настраиваются и как работают - фиг поймешь (примерно так же и у Prevx), скорее можно назвать эмулятором все же, чем HIPS.

AV-Comparatives с методологией не дружит, у него: "HIPS и другие виды защит, способные остановить зловреда". Так что думаю Авира сигнатурно + эвристически отработала здорово, вот и весь сказ.

Авира сигнатурно + эвристически отработала здорово, вот и весь сказ.
Страшно даже подумать, что будет, когда хипс добавят... [Ссылки могут видеть только зарегистрированные и активированные пользователи]Только бы не глючил)))

Страшно даже подумать, что будет, когда хипс добавятУгу, сегодня KIS 2010 поставил посмотреть и не знаю куда деться от этих нововведений :-)

Меня тут догнало отчего у ЛК результат такой низкий в этом тестировании HIPS'ов - его (HIPS) нет даже у ЛК, - это ведь корпоративные версии, а WKS 6 - текущая актуальная версия без ХИПСы, естественно, 6-ка она и есть 6-ка ;-)

Блин, как все любят зато громкие названия! Ну, честно сказать, у ЛК тут шансов было мало - эвристика в 6-ке никакая, HIPS нет, - эхо прошлого, так сказать.

Угу, сегодня KIS 2010 поставил посмотреть и не знаю куда деться от этих нововведений :-)
Ну и...? Как?[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Тут у меня в системе обнаружился файлик [Ссылки могут видеть только зарегистрированные и активированные пользователи] пароль infected, вот результаты [Ссылки могут видеть только зарегистрированные и активированные пользователи] находился этот svhosts в директории C:\Documents and Settings\User\Local Settings\Application Data, обнаружен mbam.

Кстати да, как КИС 2010? Крутой комбаин?

Тут у меня в системе обнаружился файлик [Ссылки могут видеть только зарегистрированные и активированные пользователи] пароль infected, вот результаты [Ссылки могут видеть только зарегистрированные и активированные пользователи] находился этот svhosts в директории C:\Documents and Settings\User\Local Settings\Application Data, обнаружен mbam.

вот что ответила ЛК: "svchost.exe Вредоносный код в файле не обнаружен.

вот что ответила ЛКугу, неоткуда ему там взяться. Зато KIS его на всякий случай заблокировал при попытке скачать

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

КИС 2010? КрутойКак видишь, крутой :-) Я позже в теме ЛК свое мнение выскажу, а то час только потратил на то, чтобы его активировать.

интересно. Только сейчас проверял его KIS 2009. Ничего! А 2010 уже что-то выкопал. Сколько версий, столько и мнений! :radost:

По моему это сработала эвристика. Тем более, ЛК считает, что файл чист

это сработала эвристиканикакой эвристики, файл определен как троянская программа, потому что защищен паролем :-)

Прикольно. Теперь все архивы с паролями будут палиться как трояны? А ещё лучше проверять по названию... всё с названием virus, infected и другие похожие на всякий случай тоже блокировать, а вдруг ... бяка! :crazy:

У БитДефендер на этот случай, есть опция запрашивать пароль, этот файл ZA отметил у себя, но никаких действий за ним не замечено, хотя пролежал он у меня месяц! имел атрибут скрытый, непонятно, может огрызок? Mbam определяет его эвристикой - Heuristics.Reserved.Word.Exploit

У Каспера тоже есть функция проверки файлов под паролем. По моему это действительно мусор. Возможно фаил был уже вылечен кем-то или изначально чист

Ну про изначально чист, это вы льстите этому файлу)) только посмотреть название, директорию и атрибуты, возможно битый.

Сегодня SUPERAntiSpyware нашел у меня эту штуку - Trojan.VXGame-Variant/D

Авира молчит. На Virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) файл считают подозрительным только McAfee-GW-Edition и CAT-QuickHeal.

Нагуглил только вот такое небольшое описание ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), которое и описанием то не назовешь. И то, что SUPERAntiSpyware добавили его в базы ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) 19 мая.

Залил сюда ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), pass: virus

Component of the vxgame trojan
Если это действительно так, вирлабы отпишутся: типа, в изолированном виде данный файл безвреден. ))
Послал в вирлаб Авиры, проверим.
Кстати, он и не запускается - Винда пишет: недопустимые данные.

Послал в вирлаб Авиры, проверим.
Кстати, он и не запускается - Винда пишет: недопустимые данные.

Я тоже послал Авировцам.))
Но вот еще продолжение банкета.
SUPERAntiSpyware находит Trojan.Unknown Origin
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Тайлер, а где у вас располагался первый файл? Не в системных папках?
Installs many small files in the Windows and System32 folders

Нет, не в системных... В Downloads пока что.
Но вот второй в System Volume Information сидит, так что добраться до него не смогу. Разрешил антиспаю удалить все.

У вас включено восстановление системы? Если да, то отключите, и тогда сможете опустошить всю эту папку.

Уже сделал, отключил.))
Жаль, Trojan.Unknown Origin пришлось удалить.

Вот и ответ от вирлаба ESET

Здравствуйте.
Присланный Вами файл не является вирусом и соответственно не опасен. Спасибо

у меня вопрос. На флешке нашёл заразу. Авира распознаёт её групповым детектом, а на virustotal его все определяют как kido/Conficker. Неужели это такая редкая "зараза", что на неё нет сигнатуры у авиры. Как я понимаю, групповой детект хуже или это не так?

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Странная ситуация с Ikarus и a-squared, последний пользует сигнатуры икаруса.

у меня вопрос. На флешке нашёл заразу. Авира распознаёт её групповым детектом, а на virustotal его все определяют как kido/Conficker. Неужели это такая редкая "зараза", что на неё нет сигнатуры у авиры. Как я понимаю, групповой детект хуже или это не так?

[Ссылки могут видеть только зарегистрированные и активированные пользователи]
А чем групповой детект хуже? Авира определяет этот вирус, и все ему подобные, даже которые еще не написаны. Скорость сканирования у Авиры в разы выше, чем у других антивирусов.

Или вы предлагаете помимо группового детекта еще и индивидуальный сделать под каждый вирус... Не сильно ли жирно будет (в плане размера баз и неповоротливости антивируса)?

Индивидуальный детект - выходит новая модификация и индивидуальный детект ее не видит. Так чем он лучше?

И еще: Кидо - нашумевший вирус. Неужели немцы будут рисковать своей репутацией и сделают некачественный детект этого зловреда? И если кидо включен в групповой детект, наверное немцам виднее - они разработчики.

Разница между групповым и индивидуальным детектом примерно такая же, как между реакциями на таракана энтомолога Аполлона Аполлоныча и его кухарки бабы Мани. Баба Маня, увидев таракана, убивает его с воплем "Опять эти гады ползают!!!". Аполлоныч же, прихлопывая таракана, меланхолично идентифицирует: "Blatta occidentalis, однако..."
Странная ситуация с Ikarus и a-squared, последний пользует сигнатуры икаруса.
Rampant, EMSI, начиная с 4-й версии, запихнула в свой А-КВАДРАТ еще и икарусовский движок.

Ivaemon, дык и про то же)) икарус не детектирует этот файл, в отличии от a-squared, а детект идёт по базе икарус.

Еще следует вспомнить, что у Авиры чуть ли не единственной не было эпидемии по kido/Conficker. В то время как другие антивирусные компании объявили тревогу, не могли с ним справится, Авире было пофиг на всю эту муйню.
-------
А Комодо как раньше не видел, так и сейчас невидит kido/Conficker.

Ivaemon, дык и про то же)) икарус не детектирует этот файл, в отличии от a-squared, а детект идёт по базе икарус.
Возможно, настройки икарусного движка в КВАДРАТЕ более жесткие, чем в оригинальном Икарусе? Может, по дефолту Икарус не настроен на детект каких-то групп потенциально опасных файлов. На вирустотале такое частенько наблюдается.

Ну ты что то загнул) вирустоталу лучше перебдеть, чем недобдеть))

Rampant, кстати, в GDATA нумерация движков - 1-Бит, 2-й аваст, так вроде? совсем недавно видел детект какой-то дряни GDATой, причем стояло в скобках: 1 engine. А Бит в этом случае молчал.

Нет Серёга) первый движок от Алвил. Я как поклонник Бита, даже был слегка обижен, в настройках так и указывается, 1-вый движок - максимальная эфективность, 2-ой - минимум нагрузки на систему.

Точно? Значит, апшипса) Когда они были там с Каспером, Аваст был вторым, вот мне, видно, и пригрезился вечно второй Алвил...

Протестил Panda Internet Security 2009 и McAfee Total Protection 2009.
(в архиве 3732 вируса) Результат:
Panda: 3677
McAfee: 1657
Да-а, от McAfee я такого не ожидал.

Кстати,на ВИ в тестировании антивирусов выложен график за Апрель-Май.Мои подозрения полностью оправдались,а именно,чтобы Каспер не отстовал от Авиры,то все вирусы отдаются ему,поэтому Авира на втором месте,но и это ещё не всё.
Мои подозрения ещё были на то,что Авире вирусы доставляют в последнюю очередь,что сказывается на подтяжке других вирусных продуктов.
Я даже не берусь и предположить,что теперь Авире будут давать вирусы в последнюю очередь.
На выходе мы получим как раз то,что Каспер начнёт,да он в принципе уже давно,будет орать,что он лучший по детекту вирусов итп.
Хочу заметить,что Каспер итак пиарами и расхваливаниями себя хвалит,но после таких результатов ([Ссылки могут видеть только зарегистрированные и активированные пользователи]),я вообще не берусь предсказывать,что будет.
Меня злит как раз то,чтобы Авира первой не была,каковой она являлась всё время,в первую очередь зловредов раздают другим ВирЛабам и потом только достаются вирусы Авире!
Я вообще считаю,что это не правильный метод и не честная раздача вредоносов,потому что потом Каспер будет орать то у него эпидемия,то их лабаратория одна из лучших в убийстве зловредов.
Насчёт него я молчу дальше,иначе меня на мат понесёт.Воздержусь!
Я считаю,что поступать надо честно,но ВИ поступает НЕчестно!
Надо зловредов рассылать одиннаково всем ВирЛабам,ну или для начала Авире,а потом Касперу!

Watch Out, Если честно, улыбнуло) ВИ "работает" на вирлаб Касперского, и в этом ничего нет плохого, ребята стараются сделать этот антивирь лучше, вот у вас на форуме Авиры, взялись бы, и начали отлов) нового вирья, но я думаю что не потянете, не в обиду. Тут надо принять как факт, что обеспечение новыми зловредами, у касперского лучше чем у других брендов, слишком много пользователей.

Друзья, а, собсно говоря, что вас так взволновало в этом АМ тесте? Если анализировать результаты в целом, то:
1. Тест на базе в 100 с лишним зловредов... и т.д. Так, ознакомление только.
2. Сколько я помню, Авира ниже второго места ни разу не опускалась.
3. Сколько я помню, Каспер первый раз поднялся на 4-е место, обычно был ниже.
4. Имхо, репутация этого ресурса слишком сильно подмочена, чтобы рассматривать эти результаты наравне с AV comparatives или AV test и даже прибиженно к ним. Но в данном случае, похоже, все достаточно чисто.

поэтому Авира на втором местеMcAfee GW использует движок Avira :-)

А вот большой разрыв в сигнатурном детекте F-Secure & Kaspersky - выглядит странно, равно как и a-squared & Ikarus.

На VT бардак все больше, поэтому ориентироваться на него - филькина грамота, - мое мнение.

Я думаю,если бы одиннаково сразу отсылали всем и потом только подвести итог.В итоге мы получим,т.е. если ВирЛаб уложится с полученным,а если нет,то это их проблемы,т.е. в графике мы увидим,кто эффективней работает,ну и соответственно детект.
Это уже будет более серьёзный подход.
Но огорчило то,что в конечном итоге пришли к Касперу.
А если он ещё им заплатил,то понятно,что ресурсы и живут за счёт этого.
Но есть более честные люди,которые не портят своё доброе имя.
Ivaemon
4. Имхо, репутация этого ресурса слишком сильно подмочена, чтобы рассматривать эти результаты наравне с AV comparatives или AV test и даже прибиженно к ним.
Да,но по заверениям ресурса про которые ты говоришь,Авира там была всегда первой и за ней тащился иногда Каспер,который не в силах её обогнать.
Но в этой ситуации мы видим,что в том отчёте им было выгодно поднять ажиотаж вокруг Каспера и накалить страсти.
Просто к большому сожалению приходится наблюдать и констатировать факт угоды (выгоды) Касперу.А раз ресурс популярен,то и пользователей переманить на сторону Каспера - это минутное дело.
А кто готов на Авире сидеть и таким же макаром чистить компы от зловредов?А раз некому,то и в проигрыше быть всегда.

Тест NOD 32 4.0.314.0 (3732 виря). Результат:
-3618

Rampant
Раскрою секрет подозрений.Когда у них в шапке появилась реклама Каспера,вот тут я и начал подозревать неладное,что собственно видно по результатам к чему в итоге пришли.
Я не осуждаю их работу на благо пользователей и зачистке компов от вирусов - это их право.
Пользователь естесственно сменит продукт на Каспера,что собственно открывает ему путешествие в раздел Помогите,а значит новые вирусы опять же будут доставаться Касперу.
Согласен,что никто не застрахован от посещения раздела Помогите!
А честность я думаю должна играть важную роль,но в итоге мы видим,что Каспер,которому Авира была недосягаемым,вдруг опережает её...

Каспер,которому Авира была недосягаемым,вдруг опережает её...Я что-то никак не пойму, Сергей, твоего возмущения. График:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

На нем продукт ЛК на 4-м месте. Впереди - McAfee GW (движок Avira), Avira, a-squared.

Что я упустил? Где ЛК обошла Авиру?

По поводу отправки сэмплов. Они их в вирлабы не отправляют, на сколько я помню. Используемая методология:

Тестирование антивирусов VirusInfo проводится с использованием бесплатного онлайн-мультисканера VirusTotal
Образец не должен детектироваться установленным на зараженном компьютере антивирусным программным обеспечением.
Образец должен быть обнаружен лично консультантом в ситуации реального лечения.
Образец не должен быть взят со стороннего сайта или из сторонней коллекции вредоносного ПО.
Таким образом, наблюдается некая закономерность - чем больше тестеров используют, например, Авиру, тем меньше шансов у нее набрать большее (победное) кол-во баллов, т. е. такая обратная пропорциональность.

P. S.: если верить этому графику, я со своим Dr.Web вообще должен был быть давно съеден вирусами вместе с ПК :kurim:

Георгий, Каспер выше по сигнатурному детекту. Кажется, впервые. Возможно, Сергей как раз об этом.

Возможно, Сергей как раз об этомУгу, понял. Посмотрите на их график февраль-март, Avira = Kaspersky по сигнатурному детекту, а Microsoft вообще всех порвала :-)

Эти все графики не имеют четкой выраженности в ретроспективе, напоминают взбалмошную синусоиду. Так что плюньте и разотрите.

Появилась интересная тема, цитирую с первоисточника:
Есть такой человек, Matt Rizos (Saint Louis, Missouri, США), который вдадеет своим ресурсом по anti-malware ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) (там форум даже), и который делает очень много обзоров программ защиты за бесплатно и действительно независимо. Он записывает всё на камеру, чтобы потом показать людям. Его творчество можно найти на youtube здесь: Канал пользователя mrizos ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) (192 ролика пока). Человек делает целыми днями ни что иное, как вылечивать компы. Очень любит своё дело и, кажется, знает, о чём говорит. Он по крайне мере не глупее Клементи и подобных тестеров.

Например, недавно он показал тест по предотвращению он-лайн заражения бесплатного Avira AntiVir 9 Free, который блокировал с настройками по умолчанию 9 из 10 (свежих!) заражённых ссылок, пропустил одну, но после перезагрузки компа режим 'Safe Start' ловил тот зловред, который всё-таки прошёл (поддельный анти-вирус), и таким образом спас комп. Там всё есть, от Norton Security до NOD до Kaspersky. Желаю приятного просмотра. Ещё есть ролики с инструкциями. Например: Как удалить вирусы типа Virut или Sality. Желательно знать хоть немного английского.

P.S.
Просмотрел несколько роликов, познавательно :kakoenebo

Получается,что Safe Start всё-таки работает,но у друга у его друга немного другая ситуация была.Авира вирус убивала.После перезагрузки она его опять детектила,но вирус всё время имя менял.
Георгий,спасибо за разъяснения,понял.Возьму на заметку.

блокировал с настройками по умолчанию 9 из 10 (свежих!) заражённых ссылок, пропустил одну, но после перезагрузки компа режим 'Safe Start' ловил тот зловред
Не совсем понятно. Антивирус блокировал свежие зараженные ссылки. Групповым детектом, эвристикой - не важно. Важно, что свежие заразы были заблокированы. Заблокировал 9 из 10. Одну свежатину пропустил, так как ее нет в базах, групповой детект ее не знает, эвристика не обнаружила. Одну новую заразу антивирус пока не знает.
И дальше: "но после перезагрузки компа режим 'Safe Start' ловил тот зловред".
Интересно, как? Как антивирус не зная заразы словил зловред, пусть даже в режиме 'Safe Start'?

Мало ли что зловред может вытворить при перезагрузке. Вот, у нас в этом топике был уже пример - при запуске троян устанавливал исполняемые файлы в системные папки, а потом самоликвидировался. Этот процесс может происходить и при ребуте, к примеру. Родительский файл Авира не детектила, а новые вполне могла эвристиком словить. Когда будет хипса - подобные вещи вообще в два счета отслеживать будет.

Когда будет хипса - подобные вещи вообще в два счета отслеживать будет.
Скорей всего это уже будет как Авира 010 (2010).
На деле пока видно,что антивирусам без неё сложней в определении вирусов.Если ещё будут новые вирусы детектится эвристикой,а карантин будет,как почта,что положил туда,то и автоматом отправляется.На деле получим слаженность продукта,т.е. не надо формы никакие заполнять итд.

Когда будет хипса - подобные вещи вообще в два счета отслеживать будет.

Немного оффтопа: После Malware Defender никакой другой хипсы не хочется, настолько в ней все удобно сделано, куча настроек, всевозможные примочки и прибамбасы. И, по полезности функций для пользователя, никакие хипсы файрволов (и антивирусов) не идут (и в ближайшее время не будут идти) в сравнении с ней. Кроме того Авира с MD удачно дружат. Поэтому, хипса в антивирусе это очень хорошо, но мне кажется, что эта хипса будет сделана под домохозяек, как это делают в файрволах. Поэтому, даже если в антивирусе появится хипса, все равно установленная на компе дополнительная хипса класса MD никогда не помешает.

Вывод: Не нужно ждать, что завтра антивирус будет со встроенной хипсой (неизвестно какого качества), если есть возможность сегодня поставить в дополнение к антивирусу удобную, функциональную и мощнейшую хипсу.

А если Гипс ещё типа Shadow Defender,т.е. возможность восстановить всё,как было до заражения,то такому Гипсу цены просто не будет.
Тогда LiveCD отойдут на второй план.

Запоздалый ответ Авирского вирлаба на сэмпл из 34-го поста:
Thank you for your email to Avira's virus lab.
Tracking number: INC00316618.
A listing of files alongside their results can be found below:
File ID Filename Size (Byte) Result
25211453 IEMonitor.exe 7.5 KB CLEAN

А если Гипс ещё типа Shadow DefenderНе, лучше без этого; аналог уже можно видеть в лице KIS 2010, но мне это все не нравится потому что лично мне - не нужно.

Перестал я года 2 назад любить комбайны, которые теперь наблюдают как часто я захожу на windows update, как регулярно я обновляю ПО, которые делают бэкапы системы и чистят реестр, а теперь еще способны создавать виртуальную среду.

Я все это проделываю регулярно и без чьей-либо напоминалки ;-)

Для меня это излишний функционал, а в качестве бэкапа (заморозки системы) нет для меня лучше, чем Acronis. Все остальное, в том числе и маркетинговое, должна заменять голова.

Запоздалый ответ Авирского вирлаба на сэмпл из 34-го поста:

Я тоже только сегодня ответ получил. Долго...
Ну и ладно, Clean значит Clean, им виднее...
Зато они "едитный модуль поддержки сети Fiery" определили как Malware:

The file 'ruversion.exe' has been determined to be 'MALWARE'. Our analysts named the threat TR/Dldr.Adload.fud. The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.Detection is added to our virus definition file (VDF) starting with version 7.01.04.47.

Эти все графики не имеют четкой выраженности в ретроспективе, напоминают взбалмошную синусоиду.
Так и есть, и выкладывать результаты, можно без всяких правил, я сколько раз так делал. Вот комент автора:
Апрель - Май. Что присылали, то и видим
Я поклонник BitDefender, и имея набор вирусов которые детектит мой антивирь, я подниму в этом графике ему рейтинг, выкладывая ежедневно результаты проверки на вирустотал.

я подниму в этом графике ему рейтинг, выкладывая ежедневно результаты проверки на вирустоталУгу, а учитывая, что VT в последнее время имеет серьезные проблемы с настройками некоторых антивирусных продуктов (точно: Dr.Web, Trend Micro, Ikarus; какие еще - не знаю даже), то тут обсуждать даже нечего, - на мой взгляд.

Нашел подпольный штаб испанских братьев-пиратов :crazy:
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

А я то наивно думал, только у нас так, а они... :nunu:

Георгий, я Вас понимаю. Но прогресс движется... И одним ACRONISом "сыт" не будешь. Правильно, старый, проверенный способ, но... прогресс идет дальше. Хотя я пользуюсь и ACRONISом и Shadow Defender.Нашел подпольный штаб испанских братьев-пиратов :crazy:
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

А я то наивно думал, только у нас так, а они... :nunu:Действительно, прямо как в России

Сейчас скачал с официального сайта программу Reg Organizer 4.23. Установил. За кряком полез на наш форум, скачал программу с кряком из этого ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) поста. (Проги всегда скачиваю с официального сайта, а кряки потом беру с форумов). Вытянул из архива кряк (keygenerator), приготовил блокнот, записывать нагенерированные серийники. Запускаю keygenerator и... В общем смотрите сами:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])


Не типичное поведение для генератора ключей, не правда ли?
Естественно, я запретил и завершил процесс. Теперь придется искать другой кряк (а лучше просто серийник).
Будете ругаться, но я этот кряк отправил в лабораторию Авиры, пусть вносят в базы.
Кому интересно отправить этот кряк в лабораторию своего антивируса, чтобы не скачивать архив с программой, я залил отдельно кряк сюда ([Ссылки могут видеть только зарегистрированные и активированные пользователи]).
Пароль на архив: infected

Не типичное поведение для генератора ключей, не правда лиНа сколько я могу судить, он просто упакован "хитрым" пакером и в процессе запуска не создается ничего, кромеC:\Documents and Settings\User\Local Settings\Temp\kg1.tmp

Но прогресс движется... И одним ACRONISом "сыт" не будешьЯ бы не сказал, что это такой уж прогресс. Все что из категории "не нужно" я запускаю на VM, остальное - в рабочей среде.

Восстановление Акронисом из бэкапа, как правило, не отнимает больше 3-4-х минут (на моем ПК), поэтому все, что кроме классического HIPS (антивируса, файерволла, разумеется) - мне не интересно.

Присутствие их (систем виртуализации) в системе - лишний повод привести систему к BSOD, драйвера у них, ой какие конфликтные.

В общем, у меня есть отработанная схема по превентивной защите, обслуживанию ПК, хранению данных. Менять ее я не собираюсь, потому что от добра добра не ищут.

В подавляющем большинстве твики и тюнинги в комбайнах справляются с задачами хуже, чем штатные средства в ОС, а тогда, спрашивается, нафига козе баян ;-)

Восстановление Акронисом из бэкапа, как правило, не отнимает больше 3-4-х минут (на моем ПК), поэтому все, что кроме классического HIPS (антивируса, файерволла, разумеется) - мне не интересно.
В общем, у меня есть отработанная схема по превентивной защите, обслуживанию ПК, хранению данных. Менять ее я не собираюсь, потому что от добра добра не ищут.

Любопытно, что независимо от Георгия пришел к практически идентичной схеме. Правда, параллельно создателю образов, еще гоняю MozBackup, чтобы не терять закладки.

На сколько я могу судить, он просто упакован "хитрым" пакером и в процессе запуска не создается ничего, кроме
C:\Documents and Settings\User\Local Settings\Temp\kg1.tmp
При создании файла MD так и сообщает, такое-то приложение пытается создать/удалить такой-то файл. А здесь прямо сказано: Доступ к физическому диску. Объект: \Device\Ide\IdePort1. А это не одно и то-же. Такое сообщение MD выдает ну крайне редко, по сути только для программ работающих непосредственно с физическим диском. И то что генератор серийников решил получить доступ к диску (не создавать файл, а именно получить доступ к диску) - очень странно. Как правило от генераторов серийников хипсе вообще работы нет, они никуда не лезут, а просто генерируют серийные номера. А тут...

И всё таки - что же выбрать? Вижу, что большинство народа предпочитает Авиру (я с ней, кстати, ваще не знаком - надо будет поюзать). Кто сможет дать рекомендацию по оптимальному набору софта для обеспечения максимально возможеной защиты домашнего компа?
у меня есть отработанная схема по превентивной защите, обслуживанию ПК, хранению данных
У меня тоже и тоже не хочется менять, но, похоже, придётся. Я до настоящего момента использовал для защиты набор из Agnitum Outpost Firewall Pro v4.0.1025.7828.700 и KAV 8.0. Бэкапами я ваще не занимаюсь при своей организации дискового пространства. Но буквально вчера у меня падает Outpost и падает так, что комп перезагружается каждые 15 - 30 минут (Outpost, кстати, отключен!!!) и связи нету почти никакой. Я понимаю, что, похоже, пора менять файерволл и вчера ставлю до выяснения Kaspersky Internet Security 2009 (при этом Agnitum Outpost Firewall всячески сопротивляется удалению и мне даже приходится зайти во вторую систему, чтобы тупо удалить его папку из Program Files первой системы).
К комбайнам я отношусь с лёгким недоверием - был прекрасный файервол от Агнитум и хороший антивирь от ЛК. Теперь я сильно подозреваю, что комбайн от Агнитум станет немного недоантивирем, а комбайн от ЛК станет немного недофайерволом. К Симантековской продукции у меня сильная аллергия...
Кстати, а любимая всеми Авира не делает комбайнов? И ктонить может сказать про Malware.Defender, что енто ваще такое. Я его пробовал поставить, но у меня сложилось почему то впечатление, что он не делает ваще ничего.

именно получить доступ к диску
Угу, так можно бутовый руткит заполучить, а это уже не есть хорошо.
Присутствие их (систем виртуализации) в системе - лишний повод привести систему к BSOD
Пользую Virtual Box, ниразу не словил БСоД, Акронисом не пользуюсь, после того как стал пользовать виртуалками(ну и набрался опыта), система стоит с год, для меня этого достаточно, наверно мы с BitDefender сдружились)) уже давно не подводит меня)

Кстати, а любимая всеми Авира не делает комбайнов? И ктонить может сказать про Malware.Defender, что енто ваще такое. Я его пробовал поставить, но у меня сложилось почему то впечатление, что он не делает ваще ничего.

Malware Defender - мощнейший хипс, с контролем сетевой активности. Превосходит встроенные хипсы файрволов многих брендов. При установленном MD можно не устанавливать другой фаер. Достаточно виндосовского фаера, остальное возьмет на себя MD.

Avira Premium Security Suite - комбайн от Авиры. Имеет на борту отличный антивирус плюс фаер, который получше виндосовского. Комбайн очень легок, не требователен к системным ресурсам. Благодаря сильному и быстрому антивирусу обеспечивает отличную защиту.

У меня стоит Авира комбайн + Malware Defender. К этой паре больше ничего не надо - защита на высоте.

Пользую Virtual Box, ниразу не словил БСоДЯ имел в виду не виртуальную машину, а системы виртуализации типа Shadows Defender / Deep Freeze, работающих по принципу: создание виртуальной области -- откат всех изменений после перезагрузки ПК

Я бы их к HIPS вообще не относил.

Авира комбайн + Malware Defender
Советуешь?
Я себе тока что поставил MD крайней версии (2.2.1) на рабочий КИС 2009...
Avira Premium Security Suite - комбайн от Авиры
Шаровары? Скока стоит, есть ли русский интерфейс и насколько он понятен?
Кстати, если мне не изменяет память, раньше я слышал тока про антивирь от Авиры. Похоже, что комбайн они недавно родили... Не окажется ли он тоже недо...

Восстановление Акронисом из бэкапа, как правило, не отнимает больше 3-4-х минут (на моем ПК), поэтому все, что кроме классического HIPS (антивируса, файерволла, разумеется) - мне не интересно.

Любопытно, что независимо от Георгия пришел к практически идентичной схеме. Правда, параллельно создателю образов, еще гоняю MozBackup, чтобы не терять закладки.
А каково ваше мнение о Comodo BackUp..?

системы виртуализации типа Shadows Defender / Deep Freeze
А понял, в BIS и BTS есть такая фича, но не разу не пользовал, хотя в первом просто создаётся защищённая область, а во втором с возможность отката.

Похоже, что комбайн они недавно родили... Не окажется ли он тоже недо...


Такой связкой, Авира комбайн + хипса, пользуюсь больше года. Нареканий нет. (Раньше другая хипса стояла. Сейчас MD лучшая в своем классе).

Продукты тоже предпочитаю на русском языке.

Сколько стоит? На этом форуме все есть в соответствующих разделах.

На этом форуме все есть в соответствующих разделах
Я знаю. Просто у меня канал занят - качается винда и поэтому связь не очень, чтоб весь форум облазить...

Ответ Авировского вирлаба на keygenerator из 112 поста:


regorg33_keygenerator.exe........DAMAGED FILE (UNKNOWN)

The file 'regorg33_keygenerator.exe' has been determined to be 'DAMAGED FILE (UNKNOWN)'. In particular this means that this file is damaged and not working properly. We could not find any malicious c ontent. However the heuristic detection module may still detect this particular file even though it is damaged. In that case we will not adjust and remove detection for this damaged file.

Удивительно. Бесполезные кряки вносят в базы. А кейген, который реально пытается получить доступ к физическому диску (не логическому, а физическому диску) оказывается по понятиям вирлаба поврежденный файл. Отправить им этот файл еще раз мне лениво...

Razboynik, почему в базы? В ответе Авиры сказано, что "эвристик может детектить файл, даже если он поврежден. В этом случае мы не будем настраивать и удалять детект". Т.е. это просто фолс эвристика, базы здесь ни при чем.

Ivaemon, я им отправлял этот кейген как раз для внесения в базы, а они не захотели. Этот кейген Авира не детектит ни сигнатурно, ни эвристикой. Спасибо Malware Defender его вовремя остановил.
Вот и получается - бесполезные кряки Авировцы в базы вносят, а этот (который реально пытался нашкодить) не захотели...

Razboynik, пардон, не на то подумал. Интересно, что он упорно пытается получить доступ к физическому диску. При создании правила запрета запускается как кейген, и тут же MD докладывает о попытке низкоуровневого доступа к клавиатуре. Согласен - обычные кейгены себя не ведут. И непонятно, что в нем такого поврежденного - функционирует, еще даже с избытком...

У меня есть подобный кейген, ничего подобного за ним не замеченно или пропущено мимо ушей) Вот ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) говорят рассадник вирусни.

Этот регорг кейгенератор, оказывается, еще в 2006 году проверялся на вирустотале. 5 антивирей тогда что-то заподозрили. Проверил сейчас - тоже 5!
Authentium5.1.2.4 2009.06.05 - W32/Heuristic-210!Eldorado
CAT-QuickHeal10.00 2009.06.05 - (Suspicious) - DNAScan
F-Prot4.4.4.56 2009.06.05 - W32/Heuristic-210!Eldorado
McAfee-GW-Edition6.7.6 2009.06.05 - Win32.Malware.gen!92 (suspicious)
Sunbelt3.2.1858.2 2009.06.05 - VIPRE.Suspicious
Вот ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) говорят рассадник вирусни.
Посмотрим...

Сергей, тогда сначало здесь ([Ссылки могут видеть только зарегистрированные и активированные пользователи])прочти, что бы знать что к чему.

Интересно, что он упорно пытается получить доступ к физическому диску. При создании правила запрета запускается как кейген, и тут же MD докладывает о попытке низкоуровневого доступа к клавиатуре. Согласен - обычные кейгены себя не ведут. И непонятно, что в нем такого поврежденного - функционирует, еще даже с избытком...

Как сказал Георгий, этот кейген упакован "хитрым" пакером. Может дело в этом? Предполагаю, что файлы которые мы отправляем в Авировский вирлаб обрабатываются автоматикой, а не в ручную. И если автоматика не может его распаковать, пишут что файл поврежден.

Сейчас отправил им этот кейген еще раз, уже не в архиве, а экзешник. Если и в этот раз придет сообщение, что файл поврежден, отправлю им кейген по почте. Ну, а если по почте не сработает (когда отправляешь им на почту, они ответ не присылают нужно будет антивирус на кейген травить, проверять), тогда не знаю...
------
Знаю. Если и после отправки по почте не почешутся, тогда выложу этот файл на Авировском русскоязычном и англоязычном форумах. Пускай тестят на здоровье, кому не лень :)

вот ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) сайтик веселый. Давно эту дрянь распространяет и вроде как дела нет никому ;-)

Да этих сайтов - море.
Вот же, в 107-м посте был ответ Авиры по поводу этих так называемых "кряков" и "русификаторов".

От нечего делать, отправил я этот кейген Авире по почте. Также отправил этот файл в лабораторию Касперского, лабораторию Доктора Вэба и лабораторию Агнитум. Посмотрим, что скажут.

Ответ вирлаба Касперского:
Здравствуйте,


regorg33_keygenerator.exe

Вредоносный код в файле не обнаружен.
-----------------
С уважением, ************
Вирусный аналитик, Лаборатория Касперского
Быстро сработано! Однако...

вот ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) сайтик веселый. Давно эту дрянь распространяет и вроде как дела нет никому ;-)
Интересный расклад ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) это те антивири, к которым у меня положительное отношение, за исключением VBA32, и то только по тому, что я его не знаю пока, а где можно скачать McAfee-GW-Edition, хотелось бы потестить.

Ответ вирлаба Касперского:
Хотел было вебовцам отправить еще, но после вердикта вирустотала, где в основном эвристики-параноики определили suspicious, решил, что смысла нет. Похоже, кейген просто неумело сделан и выполняет ненужные действия.

---------- Добавлено в 10:25 ---------- Предыдущее сообщение было написано в 10:18 ----------

а где можно скачать McAfee-GW-Edition, хотелось бы потестить.
Rampant, его нельзя скачать, это "железный" антивирус: [Ссылки могут видеть только зарегистрированные и активированные пользователи]

Блин точно.
Что за хрень, я немогу вставить в ответ ни цитату, ни ник?

Что за хрень, я немогу вставить в ответ ни цитату, ни ник?
И еще разные мелкие несуразности с обновлением движка возникли, отладят.

От тоски попробовал McAfee Avert Stinger ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) на архиве из этого ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) поста.
Результат рекордный:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Предлагаю несколько ссылок на скачивание архивов со "зловредами" взятыми на [Ссылки могут видеть только зарегистрированные и активированные пользователи] за 2007г [Ссылки могут видеть только зарегистрированные и активированные пользователи]][Ссылки могут видеть только зарегистрированные и активированные пользователи] ;
[Ссылки могут видеть только зарегистрированные и активированные пользователи]][Ссылки могут видеть только зарегистрированные и активированные пользователи]
[Ссылки могут видеть только зарегистрированные и активированные пользователи]][Ссылки могут видеть только зарегистрированные и активированные пользователи]
[Ссылки могут видеть только зарегистрированные и активированные пользователи]][Ссылки могут видеть только зарегистрированные и активированные пользователи]
Пароль: virus. Вирусы не "первой свежести" тем не менее Avira Professional 9 с максимальными настройками сканирования из 100 вирусов , находящихся в каждом из архивов смогла задетектить на первом архиве лишь 75 файлов,
25 файлов остались.

Предлагаю несколько ссылок на скачивание архивов со "зловредами"зеркала для удобства со всеми 4-мя архивами (внешний архив без пароля):

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

yabadaba.ru ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

rapidshare.de ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Dr.Web по папкам оставил следующее:

1 - 28
2 - 2
3 - 10
4 - 52

______________
Итого: 92

Результат Авиры:
1 - 26
2 - 2
3 - 8
4 - 50
В сумме - 86

А я Trial-Reset сегдня качал. Авира с ума чуть не сошла.
Вирустотал показывает 28 из 39:
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Ну, ЛК сказали - чисто...

Я экспериментировал с версией 3.8.
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
Послал Авировцам. Вот что получил:
body, td, p, div, span { font-size: 12px; font-family: Arial; } Dear Sir or Madam,

Thank you for your email to Avira's virus lab.
Tracking number: INC00318788.


A listing of files alongside their results can be found below:
File ID Filename Size (Byte) Result 25202128 Trial-Reset.exe 172.04 KB FALSE POSITIVE
Please find a detailed report concerning each individual sample below:
Filename Result Trial-Reset.exe FALSE POSITIVE
The file 'Trial-Reset.exe' has been determined to be 'FALSE POSITIVE'. In particular this means that this file is not malicious but a false alarm. Detection will be removed from our virus definition file (VDF) with one of the next updates.
Обратите внимание на последнюю фразу. Это прецедент: авировцы признали фолс и убирают из баз сигнатуру патча! И, кажись, уже убрали:
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Ну теперь экспериментировать с триал-резет`ом просто сам ВирЛаб велел :)

2 Razboynik

Реакция защиты HIPS Online Armor'а
20448
Тоже детект на доступ к физ диску. Предлагаемое действие - Заблокировать. Странный кейген, однако

Очевидно, все же в вирлабах смотрели не просто действие, а что конкретно он потом делает. За этим обращением к диску, а потом и к клавиатуре не нашли ничего вредоносного. Придется поверить им на слово.

Результаты NOD32 4-я версия

1-31
2 - 8
3 - 15
4 - 59 ( 55 архивов из них 46 Архив повреждён или имеет неизвестный формат)

в сумме 113

Результат BitDefender:


1 - 26

2 - 4

3 - 9

4 - 50 (один - password-protected)


______________________
Итого: 89

Результат DriveSentry Free ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) писать не буду.
Скажу лишь, что в четырех архивах он посчитал вредоносными только 14 файлов... :ban:

Norton :kurim:

1 - 71
2 - 92
3 - 82
4 - 49

Итог - 294

NortonМы указываем кол-во оставленных файлов в папках. Сдается мне, что у Вас - наоборот :crazy:

Norton

1 - 29
2 - 8
3 - 18
4 - 51

Осталось 106!

Результат G DATA IS 2010 (оба движка, recomennded):
1-26
2-2
3-8
4-50
ИТОГО не обнаружил 86 зловредов

Заметили тенденцию сканов 4-го архива: половина не детектится, т.к. вири запакованы в архивы zip, которые почти все битые

Мдя... что ни тест - Авира с ГДАТой впереди...

Результат BitDefender:
2010 такой же результат, только (один - password-protected) на 3 архиве. Кто на Касперском, хотелось бы посмотреть.

Вот еще архивчик на 736 вирей конца 2008 г: [Ссылки могут видеть только зарегистрированные и активированные пользователи]
Пароль : virus

Цитата:



Сообщение от georgy_n


Результат BitDefender:


2010 такой же результат, только (один - password-protected) на 3 архиве.
Я не ошибаюсь, в G DATA 2010 второй движок от BitDefender?

И действительно, хотелось бы на Каспера и Аваст посмотреть.

Я не ошибаюсь, в G DATA 2010 второй движок от BitDefender?
Да, первый от Алвил.

kaspersky :kurim:

1 - 26
2 - 3
3 - 8
4 - 51

Всего осталось 88! :nunu:

Архив с 736 вирусами:
Проверено 733
Обнаружено 719 :crazy:

За этим обращением к диску, а потом и к клавиатуре не нашли ничего вредоносногоЕсть предположение, что это все же из-за пакеров. Файл упакован ASPROTECT и BINARYRES. Отличительной особенностью пакеров, если не изменяет память, является распаковка в порядке: память -- диск (архиваторы вроде сразу на диск распаковывают). Сдается, что на этапе передачи извлеченного содержимого из памяти диску и сработали HIPS-ы.

kaspersky :kurim:

1 - 26
2 - 3
3 - 8
4 - 51

Всего осталось 88! :nunu:

У меня на среднем уровне эвристики другие результаты:
1 - 26
2 - 4
3 - 12
4 - 68
Итого 110

---------- Добавлено в 17:24 ---------- Предыдущее сообщение было написано в 17:21 ----------

georgy_n, он при запрете допуска к диску все равно запускается. И тут же идет низкоуровневое обращение к клавиатуре. И при этом запрете все равно фурычит и генерирует ключи.

Последний архив NOD32 4-й версии.

Просканировано 736 файлов. Обнаружено 730

avirarus, curier, а сколько из этого нового архива после скана файлов осталось?

Авира ПСС 9 эвристика - средняя
Архив из 736 вирей:
Просканировано 740
Найдено 733 !:kurim:
Осталось 3

Проверено 733
Обнаружено 719

Интересно, ведь в архиве ровно 736 файлов. Только НОД силен в арифметике:crazy:
Последний архив NOD32 4-й версии.

Просканировано 736 файлов. Обнаружено 730

Только НОД силен в арифметике силен то может быть и силён, но с арифметикой, всё равно не всё в порядке. Вот результаты сканирования
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Исходя из математических подсчетов, в папке должно остаться 6 файлов. И вот здесь как всегда засада :nunu: в количестве 10 файлов
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Брал сканер Каспера со средним уровнем эвристики потому, что до этого Авиру тестировал тоже на среднем эвристике. посчитал, что это логично. считаю что именно так и должно быть. Условия для проверки должны быть примерно одинаковыми.
avirarus, обрати внимание на эту фразу
avirarus, мы же здесь просто тестим антивири

И действительно, хотелось бы на Каспера и Аваст посмотреть.
KAV 6 WS:
1 - 26
2 - 4
3 - 9
4 - 50
Итого: 89

---------- Добавлено в 17:54 ---------- Предыдущее сообщение было написано в 17:46 ----------

У меня на среднем уровне эвристики другие результаты:
1 - 26
2 - 4
3 - 12
4 - 68
Итого 110
Загляните в папки 3,4 и оттуда можно, уже ручками, удалить .zip-ы размером по 22 байта - это пустышки из которых были удалены внутренности.

Загляните в папки 3,4 и оттуда можно, уже ручками, удалить .zip-ы размером по 22 байта - это пустышки из которых были удалены внутренности.
Вы имеете в виду, что это - следы лечения?

Прошу прощения за оффтоп, но..
Уважаемые Модераторы! Помогите с таким приколом
20451
Вкладка Оперы вверху слева : Website blocked!
G-DATA заблокировал эту страницу форума :obm:

Пришлось [Ссылки могут видеть только зарегистрированные и активированные пользователи] добавить в исключения Web protection.

Вы имеете в виду, что это - следы лечения? я говорю, что это то, что остаётся от .zip-файлов, из которых удалили всё, что в них содежалось, т.е. это zip-архивы, в которых нет ни одного файла внутри. Кстати, может и у других антивирей будут другие (получше) результаты, если не подсчитывать такие пустые ракушки.

wasup, если эти файлы там были изначально (а я заглянул в папки после того, как Каспер там пошуровал), то они остаются там после каждого антивиря и не влияют на получающуюся разницу. Поскольку мы не высчитываем процент детекта, нам, собственно, они и не мешают. Наоборот, раз мы начали проводить тест с ними, и результаты до конца должны быть с ними, база должна оставаться постоянной. Хотя для мало-мальски солидного теста подобный балласт должен быть из базы удален, согласен с вами.

Вот еще архивчик на 736 вирей конца 2008 г:
KAV6 WS, как и в предыдущем случае настройки - дефолтные
Результат: 6

nomad32, это авастовский движок балует. Кажется, больше ни один антивирь не дает такой реакции.

Ivaemon, по пунктам:

1. изначально эти архивы были с "начинкой" и их размер, ессно, был другой
2. во время проверки каспер задал вопрос "зловредов удалять"? На что ему было сказано "канешна".
3. каспер удалил зловредов, в том числе и из архивов-контейнеров, а сами архивы-шкурки он удалять не стал.

Так неясности разрешились?

Пункт 0 - вначале каждый из четырёх rar-архивов был распакован в отдельную папку, и уже на эти папки был натравлен каспер.

Ну, так я это и имел в виду, когда спрашивал вас, не являются ли эти файлы результатом лечения. Но здесь другой вопрос. По-умолчанию в Каспере стоит: лечить, если нельзя - удалять. Я установил - сразу удалять. Другие антивирусы, с которыми имел дело, при такой настройке удаляют весь файл или архив, в котором обнаружил зловреда. Значит, вы хотите сказать, что Каспер ведет себя по-другому? Если это так, то прежние результаты наших тестов не корректны.

так... я выставил следующее:
"Спросить по окончании проверки" поэтому у меня вначале он проверил, а потом сросил, чо делать по каждому файлу, я для проверки не ставил галку "делать для всех". В итоге тыкал мышой "удалить" на каждый вопрос "что делать" :-)

А вот то, что антивири удаляют остак от архива, либо сам архив, когда заражен файл у него внутри... имхо это не правильно.
Хотя при этом (если не убивать сами архивы) и остаются "обрезки". Т.о. каспер удаляет зараженные файлы, а архивы не удаляет.

Момент с архивными файлами интересен, и вот почему. К примеру, NOD удалил все файлы из 1,2,3 папки, кроме оставшихся, предполагаю, что и архивные то же там были. А вот в 4-й папке, как я уже написал из 55 оставшихся архивных файлов - 46 оказались битыми, или как пишет wasup, очищенными. Вопрос. Почему в первых трех папках архивные файлы удалены, а в 4-й нет? Как я полагаю - это касается не только Касперского, но и других антивирусов.

Т.о. каспер удаляет зараженные файлы, а архивы не удаляет. вопрос, зачем оставлять не рабочий файл/архив, если воспользоваться им уже не возможно

Мои настройки:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

По идее, файл должен удаляться полностью.

wasup, Ivaemon, в Каспере можно только отчет в настройках оставить, безо всяких лечения и удаления? Касперским не пользуюсь.
Если да, тогда подсчет результатов нужно проводить по отчету : столько-то проверено, столько-то обнаружено. Тогда для всех продуктов тесты будут более корректными.
А вот в 4-й папке, как я уже написал из 55 оставшихся архивных файлов - 46 оказались битыми, или как пишет wasup, очищенными. Вопрос. Почему в первых трех папках архивные файлы удалены, а в 4-й нет? Как я полагаю - это касается не только Касперского, но и других антивирусов.
Тут еще заметил такую деталь: в 4-ом архиве 46 zip файлов "Неизвестный формат или ошибка в архиве" и 4 с расширениями .a,.c,.e,.f Авирой не детектятся, не лечатся и , соответственно, антивирусом не удаляются.

вопрос, зачем оставлять не рабочий файл/архив, если воспользоваться им уже не возможно
Вылеченный файл (из которого удалён код виря) зачем удалять, если он пролечен и жив? Аналогично и с архивом - если из него удалили плохие файлы, а оставили нормальные зачем же его удалять целиком-то? Такое ведь возможно, что в архиве есть и здоровые файлы? ;-)
Еще момет, из постов avirarus следует, что у него касперыч таки подчистил выпотрошеные пустые ахивы. У меня, еще раз обращаю внимание, приведены данные по касперу для рабочих станций / серверов. У них алгоритмы по удаленияю "не нужных но уже чистых" файлов, возможно, могут отличаться от версии для домашних пользователей.

---------- Добавлено в 18:57 ---------- Предыдущее сообщение было написано в 18:53 ----------

nomad32, разные антивири по разному отчитываются о колличестве найденных/проверенных файлов. Например, если это исполняемый файл-контейнер, внутри которого есть еще несколько зловредов, то.... некотрые антивири прибивают именно этот файл и считают его как "адын" а некоторые подсчитывают и его внутренности и добавляют его в результатах не как "адын" а как "адын+много"

Еще момет, из постов avirarus следует, что у него касперыч таки подчистил выпотрошеные пустые ахивы. У меня, еще раз обращаю внимание, приведены данные по касперу для рабочих станций / серверов. У них алгоритмы по удаленияю "не нужных" файлов, возможно, могут отличаться от версии для домашних пользователей.
У меня версия как раз для домашних пользователей (сканер).
Все это имеет смысл обсуждать именно с точки зрения корректности нашей методики. Ибо, если одни удаляют файл полностью, а другие оставляют часть, а потом мы подсчитываем количество, не анализируя (да и кто будет анализировать сотни файлов с лупой), то методика под большим вопросом.

Все это имеет смысл обсуждать именно с точки зрения корректности нашей методики. +1
Также имеет значение то, насколько все тестировщики одинаково понимают и, в итоге, осуществляют эту самую методику ;-)

Оффтоп: а в новом двиге форума, оказывается, появилась очень полезная кнопичка в окошке редактирования (в "быстром ответе" она тоже есть) - это кнопка перевода из транслита в кириллицу. Кнопа крайняя правая в нижнем ряду, после кнопки "вставить цитату".

Кстати, изначально чать зип-файлов не воспринималась архиваторами как зип-архивы.

Ну, что же, если нельзя настроить того же Каспера на полное удаление... тогда предлагаю такой вариант:
1. тестируемую папку переводить в табличный вариант
2. сортировать файлы по размеру, замечать наименьший размер.
3. после скана проделывать то же самое, если находятся файлы, размером меньше замеченного в пункте 2, - это битые в результате скана, их удаляем.
4. После этого подсчитывать количество файлов.

Так неясности разрешились?А вот то, что антивири удаляют остак от архива, либо сам архив, когда заражен файл у него внутри... имхо это не правильно. Угу, ни один антивирус на сег. день не в состоянии что-либо делать с заразой внутри архивов.

С опозданием протестил, но все же...
Итак результат ClamWin Free Antivirus engine version: 0.95.1:

1 каталог осталось - 30
2 каталог осталось - 7
3 каталог осталось - 19
4 каталог осталось - 56
Итого осталось - 112

---------- Добавлено в 19:14 ---------- Предыдущее сообщение было написано в 19:09 ----------

И результат ClamWin Free Antivirus по тесту VIRTEST_736
остались в каталоге 4-ре файла:
VACINE.EXE
VIENNAX.COM
VIVALID.EXE
VSLAY.COM

SCAN SUMMARY -----------
Known viruses: 571961
Engine version: 0.95.1
Scanned directories: 1
Scanned files: 725
Infected files: 721

Результат Symantec Endpoint Protection 11.0.4014.26:

1 каталог осталось - 26
2 каталог осталось - 8
3 каталог осталось - 12
4 каталог осталось - 68
Итого осталось - 114

P.S. После перегрузки положение несколько изменилось во втором каталоге осталось 6 файлов, сообственно итог стал 112
А учитывая количество измененных архивов (4-ом каталоге 17 из 68, 3-ем - 3 из 12 файлов) итог становится - 92

Black_N, вдруг Симантек так же, как Каспер, оставляет после себя битые файлы?

Black_N, вдруг Симантек так же, как Каспер, оставляет после себя битые файлы?
*Точно, измененных архивов в 4-ом каталоге 17 из 68, 3-ем - 3 из 12 файлов... Сразу не обратил внимания, спасибо...
В таком случае итог будет немного другим...:-)

1. тестируемую папку переводить в табличный вариант
2. сортировать файлы по размеру, замечать наименьший размер.
3. после скана проделывать то же самое, если находятся файлы, размером меньше замеченного в пункте 2, - это битые в результате скана, их удаляем.
4. После этого подсчитывать количество файлов.
Я теперь всегда буду делать так, с любым антивирем, совершенно нельзя быть уверенным в каждом конкретном случае...

Результат Symantec Endpoint Protection 11.0.4014.26 по VIRTEST_736:
остались в каталоге 6-сть файлов:
VACCINE.COM
VIVALID.EXE
VME1.OBJ
VME0.OBJ
VIENNAX.COM
VSLAY.COM

Я теперь всегда буду делать так, с любым антивирем, совершенно нельзя быть уверенным в каждом конкретном случае...
Главное, что Symantec один из первых кто начал чистить архивы таким вот бразом - оставляя пустышки архивы. И как я мог запамятовать, вот уж и правда: повторение - мать учения!*
*

Black_N, ага, а мы просто смотрели "свойство папки, кол-во файлов" и думали: вот тебе и хваленый Нортон, сколько файлов, змей, не отдетектил...":die2:
Респект wasup, навел на мысль...

nomad32, это авастовский движок балует. Кажется, больше ни один антивирь не дает такой реакции.

Это может быть и не фолс. У меня такая же ерунда выскакивала, пока я сегодня тоже не зннёс сайт в список исключений. Потом веб-страницы стали отображаться некорректно. Цвета исчезли куда-то. Сначала решил, что у меня носкрипт глючит. Короче после попыток исправить ситуацию я потом взял очистил папку кеша мозилы. Перезапустил лиса и всё стало на свои места. З.Ы. Эта дрянь была как раз в паке кеша мозилы Вот статистика Eingehende Mails (POP3, IMAP) Geprüft: 0 (0 infiziert) Ausgehende Mails (SMTP) Geprüft: 0 (0 infiziert) Web-Inhalte Geprüft: 385 (0 infiziert) Zuletzt geprüft: export.yandex.ru Wächter Geprüft: 1696 (12 infiziert) Letzte Infektion: C:\Documents and Settings\NIKITA\Local Settings\Application Data\Mozilla\Firefox\Profiles\xgb1t2bz.default\Cache\D522B2C3d01 Infiziert mit: HTML:IFrame-FT [Trj] (Engine B)

То, что я написал выше, в посте 193, тоже не панацея. Битые файлы вполне могут оказаться размером больше, чем самый маленький файл в папке - останутся от сравнительно больших файлов.
Это тогда надо сравнивать таблицу с таблицей, строчка за строчкой - какой изменился, какой нет...
Мдя... уж и не знаешь, как объективнее...

Ivaemon
Это тогда надо сравнивать таблицу с таблицей, строчка за строчкой - какой изменился, какой нет...
Можно проще, я например, настроит Total Commander на подсвечивание "свежих" или измененных файлов (не старше 2 дней) зеленым цветом, открыв каталог их сразу видно, да и маленький размерчик тоже тому подтверждение, в остальных файлах дата то не изменилась в отличие откорректированных.

Хорошая мысль, попробуем... что-то же должны придумать.

Мдя... уж и не знаешь, как объективнее...
Может вообще исключать архивы из проверки, я у себя эту опцию вообще отключил, если скачал заражённый архив, сработает монитор, при распаковке, в архивах держу патчи, кейгены и пр. поэтому мне эта опция сканеров, только напрягает. imho.

Так в тестовых наборах бывает большинство архивов обычно, вот где собака... к тому же такая же хрень и с обычными упаковщиками.

Ну архивов как правило не много, они нужны для проверки работы сканеров с архивами, их можно просто удалять, а вот с упаковщиками незнаю.

Валер, много... обычно куча самых разных форматов... у нас были наборы, где чуть ли не половина, скажем, *.cab-ов была. Всех их выбирать по расширению из папок с сотнями сэмплов... уж лучше доработать существующую методику, имхо.

Угу, ясно, надо думать значит)

Это может быть и не фолсОтправь им из карантина файлик; там несколько опций должно быть: подозрение на вирус, ложное срабатывание и что-то еще, кажется.

На сайте Аваста просто не нашел даже формы для отправки в вирлаб, вот же ж.. Как они работают вообще с таким сервисом? :die2:

На сайте Аваста просто не нашел даже формы для отправки в вирлаб, вот же ж.. Как они работают вообще с таким сервисом? :die2:
Ну, на крайний можно на почту кинуть, если подозрение на вирус, в zip-архиве, пароль infected на адресок:
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
Может конечно не так быстро, но должны отреагировать..*

А форма-то у них есть, или решили не заморачиваться?

решили не заморачиватьсяугу, How can I submit a new virus to avast ? ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Вот пусть они по почте сами рассылают. Идиотская практика многих забугорных вирлабов :guns:

Гуглил музыку, по одной из ссылок перешел на портал русского шансона, вот на эту ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) страницу.
Сработал хипс MD выдав сообщение, что приложение Opera.exe пытается изменить значение в ветке реестра браузера IE. После запрета выскочил еще один алерт MD о том, что приложение Opera.exe пытается установить какой-то перехватчик. Я снова заблокировал, и дальше как ни в чем небывало продолжил гулять по интернет. Авира при этом никак не реагировала.

Раньше хипс MD иногда тоже выдавал сообщения о подозрительных действиях Opera при посещении случайных сайтов (я всегда блокировал, это никак не сказывалось на дальнейшем просмотре интернета). Особо на это никак не обращал внимание, полагал что просто в настройках правил не прописал все разрешения для Оперы. А если после блокировки браузер работает, не вырубается, значит и дальше буду блокировать все что появится. Но в этот раз, когда Опера полезла в реестр, а после пыталась установить хук понял, что это скорее не я забыл в правилах прописать, а скорее эксплоиты, использующие уязвимость Оперы пытаются шутить.

Вот такие сюрпризы могут быть при просмотре веб-страниц в более безопасном браузере (в сравнении с IE) и при включенном антивирусе.

Да уж... По почте очень неудобно это всё делать. У всех есть формы отправки.
Ну у оперы свои средства есть, хотя и не достаточные для адекватной защиты.

Razboynik, это всего навсего заускается на странице Виндовый плеер для воспроизведения онлайн-радио Шансон:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) [Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Ничего постороннего не внедряется, просто активируются штатные средства систему для работы со звуком:
[Ссылки могут видеть только зарегистрированные и активированные пользователи] [Ссылки могут видеть только зарегистрированные и активированные пользователи]
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

ak_, вот прямо сейчас пошел по той ссылке на шансон.

Вот что у меня выдает:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) [Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) [Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

После обеих блокировки, как и должно быть, в динамиках звучала мелодия. Т.е. заблокировал, и после этого можно гулять и слушать музыку как ни в чем небывало.


Непонятно другое:
Почему Опера захотела изменить параметр реестра другого браузера - IE?

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])



А после этого:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Да сидит что-то на сайте. Каспер тоже заблокировал.

Ничего постороннего не внедряется, просто активируются штатные средства систему для работы со звуком:

Похоже, именно так. На данной странице по адресу вот этого скрипта (у меня NoScript по умолчанию установлен на блокирование) - [Ссылки могут видеть только зарегистрированные и активированные пользователи] - открывается файл m3u, и просто идет воспроизведение радио-шансон. Авира и MD молчат.

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) [Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) [Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

открывается файл m3u, и просто идет воспроизведение радио-шансон. Авира и MD молчат.

Когда ak_ сходил по ссылке у меня появилось предположение, что у него Виста и все дело в операционной системе (и ее настройках). Виста система менее уязвимая.

Но у Ivaemon тоже Винда ХР SP3 как и у меня...
-------
Ща посмотрел скрин поста Ivaemon, возможно FireFox на это не покупается. Если MD молчала, значит FireFox никуда не пытался лезть.

Я когда заблокировал две попытки Оперы, потом нормально работало радио-шансон.

Ничего не пойму. Может действительно правила для Оперы в MD не прописал и тревогу забил? Но другие сайты пока не встречал, которые через Оперу пытаются изменить реестр...

возможно FireFox на это не покупается. Если MD молчала, значит FireFox никуда не пытался лезть.

Razboynik, все-таки думаю, что браузер ни при чем. То, что я сделал вручную, чтобы было наглядно видно, что происходит (открыл адрес, на который переправлял скрипт, в новой вкладке), файрфокс бы сделал автоматически при разрешении NoScript. Один в один.

Понятно. Значит была ложная тревога. Теперь буду знать, спасибо.

У меня XP SP3.
Возможно, дело ещё и в Java. У меня не установлена.
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

У меня Vista & Firefox, MD молчит, но у меня плагин не установлен для воспроизведения мультимедия, о чем сообщается и предлагается перейти на сайт MS (??) для его скачивания; нужного плагина на MS я не нашел, естественно :crzswans:

У меня Java также не установлена. И я тоже такие картинки рисовать умею :popcorn:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

---------- Добавлено в 20:24 ---------- Предыдущее сообщение было написано в 20:14 ----------

У меня Vista & Firefox, MD молчит, но у меня плагин не установлен для воспроизведения мультимедия, о чем сообщается и предлагается перейти на сайт MS (??) для его скачивания; нужного плагина на MS я не нашел, естественно :crzswans:

А может это в Adobe Flash Player дело? Фиг его знает. У меня он последней версии. Есть еще набор K-Lite Codec, тоже недавно обновлял, но он обычно при просмотре страниц не задействован.

Но радио-шансон после блокировки подозрительных процессов, о котором сообщил MD, работало :confused:

вопрос такой - что это ?
дал ссылку на форуме нашей сети на вот эту тему [Ссылки могут видеть только зарегистрированные и активированные пользователи]

человек говорит что аваст обнаружил там зло :crzswans:

У меня ссылка открылась без проблем. Avira + Malware Defender никак не среагировали. Браузер Опера.

---------- Добавлено в 21:09 ---------- Предыдущее сообщение было написано в 21:05 ----------

Мне вот больше всего понравилось окно предупреждений Аваста:

Уррааа!!! Мы нашли какую-то фигню!!!
Не волнуйтесь, дышите глубже. Аваст остановил фигню, прежде чем она проникла в компьютер. Если нажмете кнопку "Прервать соединение" загрузка фигни будет прекращена.

А если не нажать кнопку "Прервать соединение", что тогда? Аваст ведь остановил. Или фигня загружается?

gg88, это уже несколько раз обсуждалось в разных темах. Явно фолс движка Аваста. Другие антивири не реагируют. Трояна там нет.

вопрос такой - что это ? было бы желательно, чтобы кто-нибудь отправил это из карантина :kurim: Детект есть у Аваста и G Data с движком Аваста.

Попроси друга сделать это, я этот файл даже поймать не могу, чтобы отправить, да еще и по почте :-)

Аваст - не смотря, на его явный прогресс, в реалиях, кстати, мало чего может; пытались им на днях систему пролечить - пролечили до неспособности ОСи загружаться :guns:

---------- Добавлено в 22:38 ---------- Предыдущее сообщение было написано в 22:35 ----------

больше всего понравилось окно предупреждений Авастаа по-ходу он gzip, кстати, криво обрабатывает, он же его не знает, но на всякий случай лучше...

Извиняюсь, что не в тему. Есть несколько файлов инфицированных W32Sality.Y взятых из реальной очистки компьютера , инфицированного данным зловредом. Файлы восстановлены из карантина авиры . Название архива infected пароль virus. В архиве папка с файлами. Возможно среди них есть и семпл Sality , так что будьте осторожны [Ссылки могут видеть только зарегистрированные и активированные пользователи]

Ребят, при попытке зайти к себе на форум ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) BitDefender выдал такое сообщение, короче заразили мой форум((

И Авира выдала:
When accessing data from the URL, "[Ссылки могут видеть только зарегистрированные и активированные пользователи]"
a virus or unwanted program 'HEUR/HTML.Malware' [heuristic] was found.
Action taken: Move file to quarantine

Ребят, при попытке зайти к себе на форум ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) BitDefender выдал такое сообщение, короче заразили мой форум((

А вот на русском языке, что Авира выдает. Сработал эвристик.

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

По VT ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
От сюда видно, что BitDefender ловит какой-то вирус на компе, а не то, что Авира. Смотрим исходный код страницы:
<iframe src="[Ссылки могут видеть только зарегистрированные и активированные пользователи]" width=125 height=125 style="visibility: hidden"></iframe>
При заходе на этот сайт мне выдает:
Blocked by WebGuard

senyak, я так понял у тебя он уже в карантине. Отправь им в лабораторию.

Усе сделано :kurim:

Alexander196431, из 8-ми файлов в архиве, после распаковки NOD32 4-й версии оставил только 4 файла

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Похоже, это еще один вымогатель - ссылка ([Ссылки могут видеть только зарегистрированные и активированные пользователи])
Пароль: virus

Ссылка на virustotal ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

что BitDefender ловит какой-то вирус на компе
Да нет, вполне конкретный.

Rampant, выкладывай. Не жадничай :serenade:

NoScript не дал IFRAME сработать и форума было не видать вообще,а сейчас он есть,но отображается не так как форум.Похоже что-то там ещё сидит,а вообще-то не помешало бы комп проверить,т.к. возможно с него вирус прописался там.

Да, почему-то не отображается полная версия сайта.

Ответ Dr.Web:
Уважаемый Тайлер,

Ваш запрос был проанализирован Автоматической Системой. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.

<...>
Угроза: Trojan.MulDrop.30762

Себе что-ли взять ключик на Нортон, поставить на месяцок-другой, вспомнить молодость?
Но, ща посмотрел тесты и ... [Ссылки могут видеть только зарегистрированные и активированные пользователи] :crazy:

---------- Добавлено в 02:24 ---------- Предыдущее сообщение было написано в 02:21 ----------

Кстати, в этой ветке его форумчане тоже тестили. И результаты его здесь тоже ...

К посту 233 Curier. Все оставленные NOD32 4 версии файла инфицированы W32Sality a.a по абревиатуре ЛК , или W32Sality.Y. по классификации авиры. При заходах на форум KIS2009 предупреждал о атаке експлойта, но я особого внимания не обращал т.к использую портабельную Opera9.62.

Alexander196431, хорошо, сегодня вечером проверю оставленные файлы на VT , в настройках NOD установлено лечить, и если не возможно то удалять. Возможно данные файлы уже безвредны

лечить, и если не возможно то удалять
Dr.Web 3 exe-шника пролечил, но, совершеннто точно, что все файлы в архиве, - вредные

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Alexander196431, из 8-ми файлов в архиве, после распаковки NOD32 4-й версии оставил только 4 файла
G DATA IS 2010 ничего, к сожалению, не вылечил, но удалил все 8 штук:good1:
SEP_Client_Version_11.0.4202.75_32-bit_RUS удалил только 3 зловреда:sdaus:

Натройки для обоих - лечить, если нереально - удалить

G DATA IS 2010 ничего, к сожалению, не вылечил, но удалил все 8 штук:good1:
SEP_Client_Version_11.0.4202.75_32-bit_RUS удалил только 3 зловреда:sdaus:
Натройки для обоих - лечить, если нереально - удалить

Странно, у меня после проверки тем же SEP осталось только четыре файла из восьми:
avupgsvc.exe
dwengine.exe
jufjmi.pif
sched.exe

Скрин:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

P.S. Хотя на скрине видно найдено восемь угроз из восьми просканированных файлов...:kurim:




---------- Добавлено в 14:24 ---------- Предыдущее сообщение было написано в 14:20 ----------

ClamWin 0.95.1
----------- SCAN SUMMARY -----------
Known viruses: 572425
Engine version: 0.95.1
Scanned directories: 1
Scanned files: 8
Infected files: 2


Осталось соответственно 6 файлов:
avupgsvc.exe
dwengine.exe
jufjmi.pif
Recycled.exe
sched.exe
XP-E94E6E39.EXE
.. вот так вот.. :sdaus:

Странно, у меня после проверки тем же SEP осталось только четыре файла из восьми:
.....
P.S. Хотя на скрине видно найдено восемь угроз из восьми просканированных файлов...:kurim:

Вот это как раз то, о чем мы говорили: нельзя оценивать работу антивиря по количеству оставленных файлов. Оставленный - не значит пропущенный.

нельзя оценивать работу антивиря по количеству оставленных файлов. Оставленный - не значит пропущенный.Сергей, так ведь еще и настройки должны быть соответствующие. А настройки должны зависеть от цели получения результата.

Оставленные в данном случае - вылеченные, как у меня, так и у Black_N.

Если я выставил настройки "удалить" - папка остается девственно чистой:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Вот это как раз то, о чем мы говорили: нельзя оценивать работу антивиря по количеству оставленных файлов. Оставленный - не значит пропущенный.

да, выходит, что так...*

Жора, так вроде не у всех это получается, вот речь-то о чем. С Касперским сам это понял, не удаляет он просто так. У Нортона - не знаю.
Вообще, прежде чем тестировать, надо точно знать, какая настройка какого антивиря к чему приводит. Поэтому и возникает путаница.

Парни, тема про удаление или нет файлов интересна. Вопрос в другом. Вот NOD оставил в папке после проверки 4 файла, из проверенных только один оказался действительно опасным, а вот 3 файла оказались чистыми, или вылеченными, или просто обезвреженными, но почему-то не удалёнными. Вот результаты проверки на Jotti
1 [Ссылки могут видеть только зарегистрированные и активированные пользователи]
2 [Ссылки могут видеть только зарегистрированные и активированные пользователи]
3 [Ссылки могут видеть только зарегистрированные и активированные пользователи]
4 [Ссылки могут видеть только зарегистрированные и активированные пользователи]

Авира, естественно, задетектировала все 8 файлов, и при настройке "удалять" очистила папку. При настройке сканера "лечить", затем "удалять" она вылечила 3 файла. См. папку и лог:

Цитата:



Сообщение от curier


Alexander196431, из 8-ми файлов в архиве, после распаковки NOD32 4-й версии оставил только 4 файла


G DATA IS 2010 ничего, к сожалению, не вылечил, но удалил все 8 штук
SEP_Client_Version_11.0.4202.75_32-bit_RUS удалил только 3 зловреда

Натройки для обоих - лечить, если нереально - удалить

AVAST! 4.8 Professional:
ничего, опять же, не вылечил, но удалил все 8 штук
20560
Настройки: лечить, невозможно - удалить (вручную каждый файл):kurim:

PS
было бы желательно, чтобы кто-нибудь отправил это из карантина Детект есть у Аваста и G Data с движком Аваста.
Отправил фолс сработки движка Аваста на наш форум разрабам. А то надоело:die2:

Alexander196431, а можно зеркало на какое-нибудь вменяемое хранилище, после пяти безуспешных попыток, скачать архив, чуть не закипел. И надо бы договориться по поводу файлообменника, что бы скачивалось без проблем, ожидания и пр.

AVAST! 4.8 Professional:
ничего, опять же, не вылечил, но удалил все 8 штук

nomad32, это ОЧЕНЬ странно... Аваст же вроде неплохой лекарь, а тут деже Авира и та себя показала, и НОД...
(вручную каждый файл):kurim:
А если попробовать не каждый файл, а просто на папку его натравить?

Ivaemon, Серёг, залей на [Ссылки могут видеть только зарегистрированные и активированные пользователи] там и на девчонок красивых можно посмотреть)) а я выложу тест Бита) посмотрим почему так G Data сработал.

А если попробовать не каждый файл, а просто на папку его натравить?

Ув. Ivaemon, я в смысле так и сделал: натравил на папку infected. Просто на каждый детект Аваста отвечал: ЛЕЧИТЬ, Аваст - НЕ МОГУ, я - УДАЛИТЬ:Laie_99:
20562

Офф: "Вы загрузили максимальное количество файлов (1)"
А почему можно только один?

Валер, вот здесь, пароль virus: [Ссылки могут видеть только зарегистрированные и активированные пользователи]
;))))

Офф: "Вы загрузили максимальное количество файлов (1)"
А почему можно только один?
Ну, вот так настроен движок форума, не принимает больше:(

Ivaemon, Спасиб Серёга, девчонки были изумительны)) Короче Бит 2010, 6 - вылеченных, 4 - удаленно, и всётаки в G Data первым движком по моему Аваст. О забыл ложку дёгтя, в настройках сканирования было первым действием - лечить, вторым - переместить в карантин, но он опять удаляет вирей, непонятно.
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Интересно, что он показывает 10 штук, а файлов - 8. Авира тоже показала детект 10 зловредов. Валер, а в папке-то сколько осталось файлов? 5?

Хм..., 4 осталось, в чём прикол?

Авира тоже по некоторым писала - repared, а потом удаляла. Ошибка лечения?

Может, в логе будут подробности?

и всётаки в G Data первым движком по моему Аваст.
В соседней теме, однако
Чего гадать? Есть руководство, в котором все указано:
Цитата:
Engine A: The Virus Scan Engine and the Spyware Scan Engines are based on
BitDefender technologies © 1997-2009 BitDefender SRL.

Engine B: © 2009 Alwil Software
OutbreakShield: © 2009 Commtouch Software Ltd.

Авира тоже по некоторым писала - repared, а потом удаляла. Ошибка лечения?
Тут мысль такая. Антивирь лечит Зараженный файл (.doc, .xls и т.п.). Но если сам файлик вирус, то как ж его вылечить? Удалением вредоносного кода из него? Тогда и вируса не останется по определению. Поэтому об "ошибке лечения" в данном случае говорить не приходится: только удалить.

Ivaemon, Всё верно, посмотри на лог что я выложил, удаляется код салити, а удаляется тот же файл, по другой сигнатуре, получается заражённый троян))