Любое обсуждение (даже без ссылок) нелегального использования запрещено!

Прежде чем задавать свой вопрос воспользуйтесь поиском!

Часто задаваемые вопросы и ответы.

Вопрос: Сколько посещаю "плохие" сайты мой антивирус нечего не запретил. Он такой плохой?
Ответ: Нет, просто бывают антивирусы без файрволла и прочих "полезностей", но при этом это не значит что он плохой.

Вопрос: Какой антивирус самый лучший?
Ответ: Лучшего антивируса наверное не существует, просто каждому удобен тот или иной антивирус, хотя стоит всё таки признать что одни антивирусы защищают лучше других и не все антивирусы одинаковые и отличаются только интерфейсом.

Вопрос: В том антивирусе что хочу установить больше всего база файлов. Он надёжнее других?
Ответ: Нет просто некоторые компании объединяют несколько "угроз" в одну.

Бесплатные утилиты для сканирования компьютера. Основаны на антивирусных базах одноименных продуктов. Полезны при подозрении на заражение или для периодической проверки в качестве второго антивируса.

Оффлайн-обновления. Предназначены в первую очередь для обновления компьютеров, не имеющих доступа в Интернет.

Зеро
Уважаемый, я тут недавно расписывал
как раз подобные случаи.
Учетка ГОСТЬ в Win7-x64/prof + куча самых новейших антивирусов не спасают от смс-блокера.

kstovo
У тебя была не защищена ветка реестра HKCU, куда и прописался блокер для твоего пользователя. Скорее всего, сюда: [HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] параметр Shell (если тупо баннер на черном фоне) или Userinit (если меню "Пуск" видно было).
Ты же сейчас говоришь, что прога как-то сумеет забраться, куда ей нельзя.

можно и так сказать, но запуск только эммулируется, и анализ происходит по заданным шаблонам, я про то, что эта технология будет не лишней на борту антивируса, хотя зачастую грешит ложняками, но если технология отработана, то даёт ощутимую прибавку к защите.

а как её защитить?

BaCeK
Ну для всей ветки не надо запрещать Имелось в виду что это ветка собственно пользователя и естественно пользователь имеет к ней доступ. Нужно только некоторые ветки/ключи запретить изменять.
1) Запускаем редактор реестра (Win+R -- regedit)
2) Открываем подраздел [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
3) Тыкаем правой кнопкой на Winlogon, выбираем "Разрешения" -- Добавить -- Все -- Проверить имена -- ОК -- Дополнительно -- Все -- Изменить -- ставим галочку "Задание значения" в столбце "запретить" -- ОК -- ОК -- ДА -- ОК.
4) Если сидим под админом, тоже самое проделываем с веткой [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon].
#77

запустил прогу, причем не вирус, а просто крякнутую, нортон 360 не спрашиваю сходу ее удалил, офигенный антивирус, возвращаюсь на параноидальный авиру))

если без спросу-то это в любом случае плохой антивирус или не настроен правильно

voven
Нортон по умолчанию так настроен. По крайней мере NIS 2011.

schg Спасибо!
путь в риестре в пункте 2 и 4 совпадает...
Может еще нужно какиенить ветки защитить?
Сижу под админом. Попробовал после установки прав изменить параметр не дало #77 , т.е. видимо потому что узер не только в админах но и в группе "все".
У меня параметра shell внутри ветки winlogon нет... так и должно быть?
создать оно теперь не дает.

Наверно имеет смысл запретить изменять и сам файл Userinit?

BaCeK
Упс, забыл исправить. В четвертом пункте должно быть [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
У тебя в HKEY_CURRENT_USER нет этих параметров потому что они как правило едины для всех пользователей и берутся и HKEY_LOCAL_MACHINE. А вот если их прописать в HKEY_CURRENT_USER, то браться будут оттуда. Можно и сам файл запретить менять.

schg угу. сенкс.. стал менять разрешиния на файл но обломался... значит уже раньше запретил его менять

а какие файлы еще следует защить? наверно Explorer, нэ?

Explorer.exe Userinit.exe Winlogon.exe Logonui.exe Taskmgr.exe Ctfmon.exe

BaCeK
Может напишете свой мини-антивирь с названием banner-scanner
Защита это круто конечно, но вы для развития почитайте, что такое руткит. А прописать он себя может куда захочет, хоть вместо/внутрь opera.exe или там 1.scr какого-нить. Запустится у вас "скринсейвер" и привет. Технологий и способов масса.
Если у вас ПК используется только для доступа в инет (т.е. нет нужды работать и сохранять какие-то данные, во всяком случае на системном диске), то вам нужно поискать программы, которые после перезагрузки восстанавливают систему из некоего эталона автоматически, после каждой (пере)загрузки. И речь не про всемилюбимый акронис Там все проще, вроде бы

acm_fan да я все понимаю... Наверняка какойнить хитрый зловред сможет сделать что ему надо и права добудет:)
но большинство смс-блокеров и етс довольно ограничены в своих действиях... если я даже имея админские права не могу ничего сделать с файлом кроме как проитать его, то и зловреду придется сначала пермишины менять...
В том что большинство вирусов довольно примитивны или вернее действуют по своим довольно узким "рельсам" я както не сомневаюсь... в свое время, подхватил какуюто заразу, видимо ваш любимый руткит и ни как не мог понять где он сидит... при том что постоянно создавал экзешник в одной из системных папок... Чото я с ним заморочился тогда, а потом помница взял копию файла блокнота (notepad.exe), переименовал его в имя файла который вирус создавал... и усё прекратилось, после этого спокойно вычистил систему...
Насчот востановления - у меня всегда есть месяный образ системного раздела... Не акрониксный а старого доброго досовского ghost-a, он меня еще ни разу не подвел ни при востановлении ни при клонировании...

Зеро
Не понял этого заявления.
Я многократно проверял - запускал смс-блокер из учетки ГОСТЬ в Win7-x64/prof + куча новейших антивирусов-2012 ..
симпатичные девушки стабильно появлялись после внезапной перезагрузки системы.
Проделывал на реальной машине.
Могу ещё проделать на виртуалке.
Хочу учесть ваши, уважаемый Зеро рекомендации, мысли, пожелания - как усилить надежность системы Win7-x64/prof.
Обязуюсь - старательно выполню все и запущу маленького серенького смс-блокера.
Отпишусь конечно о, надеюсь успешных, результатах выполнения ваших рекомендаций.
Мне самому интересно.

Жду подробных рекомендаций уважаемого Зеро.

BaCeK
Вы не поняли, я как раз не про образ
Wndows XP. Полное восстановление исходного состояния после перезагрузки.

acm_fan да понял я все. зачем мне этот геморой с постояным востановлением одного и тогоже состояния...
К томуже комп не только в инет лазиет, а выполняет еще кучу задач в том числе и по зарабатыванию денег и инфа постоянно меняется и обновляется...

Всё, снес я Comodo Internet Security. Достал он меня своей паранойей (хоть я и поотключал половину), а тут еще и выяснилось, что он алкоголю бесплатному не дает работать. Причем не понятно почему - CIS даже ничего не пишет, просто уже установленный алкоголь пишет ошибку приводов, а заново если устанавливать, то "внутренняя ошибка установки". Отключал CIS - без толку (значит, все-таки не полностью отключается). После экспериментов с Avast и CIS возвращаюсь к бесплатной авире.

#77

а у комодо нет ли решения только для диска без наблюдения за интернетом?

честно говоря не очень понимаю зачем трафик фильтровать, если можно проверять каждый новый файл появившийся в системе?
т.е. если зловред пролез то он пишет файло а оно тутже проверяется и опаньки...