Версия для печати темы

Автор: -=CHE@TER=- Aug 20 2007, 18:37

Блин!!!
Поймал ещё один вирус. Прямо хрень какая-то в последнее время с этими вирусами!

Всем в срочном порядке сохранить к себе на комп и запустить такой вот NoAutoRun.reg файл, после чего обязательно перезагрузить компьютер:

Автор: nickolayer Aug 21 2007, 11:50

Avira AntiVir - интересный антивирус. Недавно еще стоял у меня. Может быть, он поможет - немногим уступает NOD32. И спасибо за предупреждение!

Автор: -=CHE@TER=- Aug 24 2007, 03:31

Подтверждено, что NOD32 может удалить этот вирус, но не каталог "autorun..".
Вирус, называется (по NOD32): Win32/Delf.NFP
Вот ещё ссылка http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?vname=BKDR_DELF.GAX с кратким описанием (похоже это тотже вирус).

Чтобы удалить каталог "autorun.." надо либо воспользоваться приведённым выше скриптом, либо программой http://ccollomb.free.fr/unlocker/ (у меня она постоянно стоит). ВАЖНО: внутри каталога НИЧЕГО не должно быть - т.е. файл autorun.pif должен быть УЖЕ удалён антивирусом, иначе Unlocker не сможет удалить каталог.

Добавлено:
Оказывается ключ HKEY_LOCAL_MACHINE, почему-то напрочь игнорируется. Приходится также писать ещё в HKEY_CURRENT_USER у каждого пользователя - тогда работает. Хотя, судя по msdn, HKEY_LOCAL_MACHINE должен был перекрывать значения из HKEY_CURRENT_USER. В общем, обновил .REG-файл в первом посте - снова качаем и запускаем.

Автор: jTommy Aug 24 2007, 09:04

Вообще, спасибо за информацию. У себя такого зверя не обнаружил. Но из всего этого вывод напрашивается такой: NOD32 лучший антивирус? Потому что, тот же Касперский до сих пор его не то что не лечит, но даже не видит. И к тому же он слишком тяжелый, даже для современных компьютеров.

Автор: nickolayer Aug 24 2007, 14:19

Не совсем лучший... говорю же (выше), что есть еще один примерно такого же уровня. Но лучше Касперского, безусловно. Его лечилка выглядит несколько комично, учитывая то, что удалять у него получается немного лучше.

Автор: -=CHE@TER=- Aug 24 2007, 19:56

Ну, может быть, NOD32 и лучший.
Мне как-то narmo показывал .PDF файл с его наградами - их там охренеть сколько. (*улыбается*)
Сам я юзаю Symantec, но он только файлы проверяет/лечит (при запуске/открытии/создании), т.е. процессы не блокирует когда они что-то "не то" делают. Таким образом, если что-то неизвестное случайно запустить - можно горько пожалеть. (*улыбается*)

Кашпировский - это ваще жесть. Мне его дали в качестве бесплатного приложения к компу лет 5 назад. Поюзал полгода и плюнул - даже с последними базами все вирусы подряд пропускает, который другие антивирусы уже 100 лет как знают к тому же ужас какой тормозной и глючный - лечил машину как-то так он апосля тысячи с чем-то вылеченных файлов намертво завис. (*улыбается*)

Ещё есть опыт юзания McAffee - у знакомых через почту был получен крутой червь, который себя в системных драйверах прописал. Уже не помню названия, но весь прикол был, что его даже в Safe Mode вытащить нельзя было, а его отличительной особенностью было то, что если попытаться создать файл с именем как у вируса (чего-то-там.sys) то компьютер сразу шёл в ребут, как будто RESET нажали.
Там стоял McAffee - я обновил к нему базы через Интернет, проверил весь жёсткий диск - ничего подозрительного не нашёл. Снёс к чёрту, поставил Symantec, обновил базы и снова сделал полную проверку бердана - хрясь и захерил этого червя. Более того он ещё 4 троянца нашёл, которые McAffee тоже прохлопал.

Вообще, всё, конечно, сильно зависит от того, насколько оперативно вирусы появляются в БД антивирусов - т.е. насколько часто пользователи туда эти самые вирусы шлют, чтобы их в БД добавили.
На моей памяти есть такой случий: как раз до того, как я купил комп (5 лет назад) стоял у меня дома старенький 286. И надо же было такому случиться - поймал я новый вирус, под DOS, который Dr.Web (он у меня стоял) не видел. К слову, кашпер и AidsTest (если, конечно, кто-то помнит эту древнюю утилиту) его тоже не видели. Попросил знакомых, у которых каспер был - те, сказали - ноу проблем. Дал им какой-то заражённый системный файл, они его залили куда-то кашперу и, через неделю, вышла БД кашпировского, которая уже лечила этот вирус. Далее было дело техники - взял эту БД-обновление к себе на комп и всё вылечил.

Так что, видимо, NOD32 просто пользователи больше любят. (*улыбается*)

Автор: xkL0#J Aug 25 2007, 17:15

Есть ещё http://www.drweb.com/, который имхо, ни в чём не уступает вышеизложенным конкурентам. Мало жрёт систему, сканит когда надо и прост в эксплуатации.

Когда-то поставил антивирус от тов. Касперского. После установки, шарясь по своему винту, зашел в папку где был дистр. Nero 7-го, комп завис ("наверно проверяет дистрибутив" - подумал я) через 40! мин. комп завис полностью, мишь и клава перестали работать. Решение проблемы: reset и uninstall. После этого случая, ПО данной компании, меня больше не интересует. (Пусть лучше лепят хранители экрана, раз за столько лет так и не смогли сделать нормальный антивирус).

Вот моя история.
Недавно подхватил червя, сущее проклятье. В инет выхожу с помощью мобилы (это меня и спасло). Вечером решил проверить почту, подключился но через 2 сек. меня выбросило, а телефон по прежнему оставался в режиме пакетной передачи данных, Outpost молчит (какие-либо соединения отсутствуют) и Dr.Web тоже. А тем временем комп, через мобилу, используя GPRS соединение, начинал звонить на непонятный номер. На следующий день, на работе, обновил все базы на все имеющиеся антивири (Symantec, NOD32 и Dr.Web) и с этим боекомплектом пришел домой...
День 1:
Symantec - нашёл... впрочем он и сам не понял что он нашёл, короче какая-то херь с шести-буквенным, хаотично расположенным, названием. Хаотично расположенным потому что сначала нашёл - "njdfhl", а при повторном сканировании - "fhnldj". Потом он обнаружил в себе баг и решил рапортонуть своему создателю (ага, мне осталось только в инет выйти )
NOD32 - ничего не нашёл.
Dr.Web - ничего не нашёл.
День 2: (обновил базы)
Symantec - !!!ничего не нашёл!!! Походу точно какой-то баг.
NOD32 - ничего не нашёл
Dr.Web - ничего не нашёл
День 3 - 6: тоже самое .
За это время я обнаружил такое: в ветке C:\Documents and Settings\xkL0#J\Application Data появилась папка iamgreyuser в ней оказались 2 файла, названий не помню, но точно помню что exe-шник занимал 12kb, а другой без расширения - 128kb.
День 7:
Symantec - ничего не нашёл.
NOD32 - ничего не нашёл.
Dr.Web - находит две каких-то dll-ки, удалил. После перезагрузки они опять появились, в паке iamgreyuser ничего не нашёл! Загрузка в safe mode - результат тот же. Но на этот случай у меня есть XP которая грузится с болванки, ей не нужен винт грузится в оперативку. Там из cmd запускаю Dr.Web - находит 2 клятых dll-ки и !!!exe-шник в папке iamgreyuser!!!, как это понять я не знаю, получается червь блокировал действия антивируса. Но заразу всё-таки убил.

P.S. Кто лучше я не знаю, но с Dr.Web мне спокойней чем с монструозно-неудобным NOD32, а за Symantec-овский я вобще молчу.

Автор: -=CHE@TER=- Aug 27 2007, 05:11

QUOTE(xkL0#J @ Aug 25 2007, 05:15 PM)

Автор: Axsis Aug 27 2007, 13:53

Выскажу и я своё мнение
Дома юзаю ДрВеб, с того самого момента как я осознал что совсем без антивиря дальше жить нельзя (года 3-4 назад ) Ложных срабатываний минимум - за всё время раза 2-3 было, несрабатывания на явных угрозах бывают, в основном на свежих модификациях вирусов/троянов (я базы обновляю 1 раз в неделю, как правило в обновлении баз добавлялось и детектирование "свежачка"), но это бывает со всеми антивирями. Для дома Веб - самое то: быстр, неглючен, прост.
На работе стоит НОД32 - инструмент посерьёзнее Тут >25 компов, поэтому поднят нодовский сервак с зеркалом обновлений, установка на компы юзеров и сбор статистики с них ведётся с сервера. Ложных срабатываний почти за год работы не было, палит практически всё что можно, может это потому что автообновление каждый час. Пару раз пропускал троянцев, приходилось вручную чистить, но учитывая что 25 машин - простительно В настройке посложнее (хотя можно сказать более гибкий) чем Веб, подходит когда много компов с одинаковыми настройками - один раз создал конфиг и ставишь на клиентские тачки уже настроенный антивирь.
Также есть небольшой опыт общения с кашперовским - гадость ужасно тормозная, и, вопреки всем отзывам о его превосходной защите (типа "он тормозный, но ловит всё"), у меня были случаи когда он не ловил очень опасные вещи (из разряда руткитов, но ещё на стадии установки, то есть когда руткит ещё не борется с антивирем).
Симантек. Стоял на работе до нода, ничего сказать про него не могу, т.к почти сразу с моим приходом заменили на нод. Сразу после установки нод на нескольких компах нашел парочку червей, но это можно списать на старые базы симантека (там непонятно обновлялись ли они вообще).
Вот так вот

Автор: -=CHE@TER=- Aug 27 2007, 20:43

Насчёт "ложных срабатываний" - Symantec рубит все кейгены и кряки на корню - "HackTool" и всё. Моя твоя не понимай. Причём у меня какой-то кряк валялся чуть ли не два года. Недавно обновил базы - бац! и Symantec его схерил. (*улыбается*)

Кстати, насчёт кашпировского - почитайте, мне тут недавно товарищи статейку подкинули: http://pcnews2.ru/text/333

Автор: xkL0#J Aug 28 2007, 17:50

QUOTE(-=CHE@TER=- @ Aug 27 2007, 08:43 PM)

Автор: jTommy Aug 28 2007, 18:03

QUOTE(-=CHE@TER=- @ Aug 28 2007, 12:43 AM)

Автор: nickolayer Aug 29 2007, 15:01

Я бы отнесся к этой статье как к факту для справки. Материал приняли к сведению - и действуем по своему выбору. Можем пользоваться, можем не пользоваться. Но я считаю, что данная статья на решение влиять не должна.
Бороться с создателями вирусов всеми средствами? Нельзя ли подробнее? Бороться до конца сопротивления или до перевоспитания?

Автор: -=CHE@TER=- Aug 30 2007, 08:49

QUOTE(jTommy @ Aug 28 2007, 06:03 PM)

Автор: jTommy Aug 30 2007, 17:28

QUOTE(nickolayer @ Aug 29 2007, 07:01 PM)

Автор: nickolayer Aug 31 2007, 10:14

Террористами - сильновато сказано. Я готов допустить, что 70% вирусов написаны с совершенно вредительскими целями. Пусть даже 90%. Но кадры, занимающиеся постановкой экспериментов типа "а если я вот так сделаю, что получится?" или "а если так закончить, что эта программка сумеет сделать?", еще не перевелись. И вряд ли когда-нибудь переведутся.

Автор: xkL0#J Aug 31 2007, 16:50

to nickolayer
Это защита, оправдание или просто логическое мышление. Спору нет, есть экспериментаторы, и весьма серьёзные, у них цель одна - победить систему или попытаться её обойти. Я не согласен с твоим процентным соотношением, думаю 99,9% именно (очень хорошо замечено) террористы, 0,01 - экспериментаторы.
А что касается борьбы... в первую очередь нужно за самим собой следить. Если перестать вестись на ихние уловки, то имхо, в конечном итоги они пожрут друг друга (хоть и появятся новые), другого пути нет наверно.

Автор: -=CHE@TER=- Aug 31 2007, 19:21

QUOTE(jTommy @ Aug 30 2007, 05:28 PM)

Кстати, -=CHE@TER=-, NOD32 утверждает, что в ToolD2.dat из твоего MW конвертора это Win32.Spy.Agent. Файл находится в оригинальном архиве. В шпионы играете, уважаемый? Что можете сказать в свое оправдание?
Шучу конечно, я понимаю, что это ложное срабатывание. Dr.Web на этом файле ничего не сказал.

Автор: Axsis Aug 31 2007, 22:15

QUOTE(-=CHE@TER=- @ Aug 30 2007, 12:49 PM)

Автор: jTommy Sep 1 2007, 09:35

QUOTE(nickolayer @ Aug 31 2007, 02:14 PM)

QUOTE(-=CHE@TER=- @ Aug 31 2007, 11:21 PM)

Автор: -=CHE@TER=- Sep 1 2007, 18:02

QUOTE(Axsis @ Aug 31 2007, 10:15 PM)

QUOTE(Axsis @ Aug 31 2007, 10:15 PM)

зы: а, это тот которого ты Симантеком убил после "МакКофе"?

QUOTE(Axsis @ Aug 31 2007, 10:15 PM)

Автор: Дмитрий-Нск Sep 2 2007, 04:05

здравствуйте

у меня побывал Delf - поленился я месяц обновлять базы Nod'a
базы обновил - вирь везде, где можно было был удалён антивирусом, но! комп не исзелчён. был не излечён - я форматнул диск С (10 гигов) и восстановил образ.

почему не удалён? потому что от него остались следы в директории Windows
файлы regedit.exe, msconfig.exe, cmd.exe были ущемлены - до них был закрыт доступ - файлы есть, а доступа нет. взамен им система или антивир создали их дубли с именами regedit.exe.exe и в т.д...
в общем формат.

теперь вопрос:
на локальном диске D (он у меня 290 гигов) у меня склад информации - я сисадмин и дизайнер. форматнуть диск D у меня рука не подыметься. на этом диске осталась папка "runauto..".
самая соль в том, что антивирус периодически удаляет из неё один и тот же файл (следовательно он не может его удалить, а пытается это сделать, как только файл с вирусом пытается активироваться. меня, разумеется, смущает эта папка. Unlocker'ом, как выше было сказано, удалить нет возможности - пробовал 2 версии (1.7.1 и 1.8.5) - даже не появляется вариант удалить эту папку с помощью unlocker'a - на всех других такой вариант есть...
что думаете, господа?

P.S.: ваш reg файл я внёс в реестр, спасибо

Автор: nickolayer Sep 2 2007, 08:46

to xkLO#J:
Возможно, экспериментаторов немного. Но я согласен насчет борьбы. Люди занимаются вредительством в том числе и для того, чтобы нам было хуже. Не поддаваясь на их трюки, мы делаем их труд бессмысленным... хотя если они и пожрут друг друга, то очень нескоро.
to jTommy:
В роли подопытных кроликов мы, пототму что больше некому... где же они узнают об исходе эксперимента, как не от растерянных пользователей?
to -=CHE@TER=-::
Opera, конечно, малость сложнее в обращении, чем IE, но рекламу в этом обозревателе в виде всплывающих окон почти и не увидишь. Когда NOD32 находит вирус где-то на той страничке, куда я захожу, это происходит в IE, но никогда в Opera. Поэтому я принял тот же выбор.

Автор: -=CHE@TER=- Sep 2 2007, 13:27

Дмитрий-Нск!
Тут есть одна хитрость. Если внимательно присмотреться к содержанию файла autorun.inf, который создаёт вирус, то там можно заметить, что вирус сам обращается к каталогу не как "autorun..", а как "RUNAUT~1". Чем мы и воспользуемся.
Делаем так:
1) Пуск -> Выполнить...
2) Набираем там: d:\runaut~1\
3) Щёлкаем по кнопке ОК - и открывается этот самый каталог.
Теперь щёлкаем на autorun.pif правой клавишей и херим его Unlocker'ом.
После этого поднимаемся в корень диска и оттуда опять-таки Unlocker'ом херим и сам каталог (пустой каталог будет хериться, а с файлом - нет).

Насчёт копий CMD.EXE, REGEDIT.EXE, MSCONFIG.EXE - ничего сказать не могу, т.е. у меня их нет - всё ок (пользовался скриптом приведённым по ссылке в первом посте). Дубли с именами *.EXE.EXE создавал вирус.

P.S. У меня Unlocker 1.8.5.

Автор: Дмитрий-Нск Sep 3 2007, 02:15

спасибо, '-=CHE@TER=-'
пиф удалил, но по-прежнему не появляется в меню Unlocker...

Автор: -=CHE@TER=- Sep 6 2007, 19:07

QUOTE(Дмитрий-Нск @ Sep 3 2007, 02:15 AM)

Автор: Siberian GRemlin Sep 8 2007, 03:29

У меня палево: вчера скидывал знакомой с флэшки на флэшку инфу, потом в силу обстоятельств - обалдуи с её группы вырезали с флэшки файлы, вставили на рабочий стол, переставили флэшку и в этот момент у компа отказал USB порт, в итоге у них началась истерика - мне пришлось их выручать, скидывая через интернет на другой комп. Вообщем, печаль не в этом, а в том, что на одной их их флэшек я заметил два файла: AUTORUN.INF и SVCHOST.EXE с розовой иконкой, для меня даже не стало удивлением, что они не знают что это и откуда. Явно, это сифон какой-то. NOD32 на том компе его не поймал. Теперь я палюсь вставлять свою флэшку в свой комп. Не, можно конечно отключить функцию автозапуска, а потом включить, но мне как-то лень... мне интересно, если зажать левый SHIFT и вставить флэшку, проигнорируется ли автозапуск, как это с оптическими дисками происходит?

Автор: -=CHE@TER=- Sep 8 2007, 11:27

Siberian GRemlin!
SHIFT должен, по идее, помочь. Плюс не забудь .REG файл из первого поста (и перезагурзись после его применения).
Если совсем сомневаешься сделай так: возьми WinXPBootableCD, отключи жёсткие диски (выдерни шлейфы), грузанись с этого CD-ROM и там втыкай флэшку - тогда точно ничего не заразится.
Кстати, если будете покупать флэшки, то лучше брать те, где есть перемычка как на дискетах - "запись запрещена". Тогда при копировании чего-либо на заражённый компьютер не заразитесь сами.

Автор: jTommy Sep 8 2007, 15:32

QUOTE(-=CHE@TER=- @ Sep 8 2007, 03:27 PM)

Автор: -=CHE@TER=- Sep 8 2007, 15:45

QUOTE(jTommy @ Sep 8 2007, 03:32 PM)

QUOTE(jTommy @ Sep 8 2007, 03:32 PM)

Автор: -=CHE@TER=- Sep 10 2007, 10:43

Оказывается, существует несколько вариаций на тему "RUNAUTO..".
Одну из них Symantec не знал. Отослал им вирус (BTW, это может сделать любой желающий https://submit.symantec.com/websubmit/retail.cgi) 07.09.2007, и вот сегодня, только они мне ответили, что базы за 09.09.2007 rev.17 его лечат. Обновился, проверил - точно лечат. Почему-то они определили его как http://www.symantec.com/avcenter/venc/data/backdoor.graybird.html, хотя по описанию нихрена не похож. Ну да ладно - главное, что он теперь лечится.

Автор: Siberian GRemlin Sep 11 2007, 15:36

QUOTE(jTommy @ Sep 8 2007, 11:32 PM)

Автор: jTommy Sep 11 2007, 16:07

QUOTE(Siberian GRemlin @ Sep 11 2007, 07:36 PM)

Автор: Siberian GRemlin Sep 13 2007, 11:03

Гляжу на Transcend... сбоку такой овальный переключатель.

Автор: Дмитрий-Нск Sep 20 2007, 16:48

у меня, как я уже говорил, разные версии unlocker. есть и последняя
встроенная в меню опция появляется на всех папках, кроме runaut..
как её грохнуть без формата?

Автор: -=CHE@TER=- Sep 20 2007, 21:20

QUOTE(Дмитрий-Нск @ Sep 20 2007, 04:48 PM)

Автор: Siberian GRemlin Oct 3 2007, 16:10

Товарищи, я уже несколько раз ловил комп за тем, что он качает что-то большое из инета. Все автообновления и отсылки докладов разработчикам отключены. За обновлениями замечен был только Flash - как ему обновление вырубить? И ещё вроде же есть программки, которые отслеживают и выдают информацию о том какое ПО откуда и сколько в данный момент качает или качало или пытается. Посоветуйте, пожалуйста, если пользуетесь... А то вдруг сифон какой-нибудь.

Автор: xkL0#J Oct 3 2007, 16:29

Outpost - при правильной настройке этому фаерволу нет цены (но полноценной защиты всеравно не существует ), при неправильной - полный кошмар... Он выдает достаточно подробную инфу на все активные подключения, какой процесс и сколько он скачал. Попробуй.

Автор: jTommy Oct 3 2007, 16:35

Siberian GRemlin, ставь файерволл обязательно. Он тебе покажет все программы, которые рвутся в инет, плюс расскажет о том, кто хочет залезть в твое личное дисковое пространство.
Я без теперь файера в открытый инет не выхожу.

Кому есть что сказать про этот класс программ - добро пожаловать в соседную ветку.

Автор: Дмитрий-Нск Oct 8 2007, 12:38

спасибо вам огромное!

Автор: OXVIL Dec 28 2007, 20:15

Я, как пользователь нисовсем лицензионных программ , юзаю NOD32, т.к. он без проблем обновляет базы. Подвёл только один раз, при присылке вируса по почте. Но тут не подвела моя голова. Я сохранил вируз в папочку и три дня подряд пытал её НОДом, параллельно с отсылкой файла на проверку. На 4-й день вирус всётаки обнаружился. Слава НОДу!!!))))))
DrWeb Юзал. До первого обновления, после чего он отказался работать, выпрашивая у меня серийный номер.
Каспер не уважаю, поэтому и не юзаю.
Панда - это ваще антивирус-самоубийца. Когда у меня он нашел вирус Win32.Jeefo, то он сам заразился, да ещё и всю систему заразил.
Остальные не юзал, и не собираюсь.....

Автор: -=CHE@TER=- May 31 2008, 13:05

Блин, Symantec с последним обновлением (за 30.05.2008) вынес TOTALCMD.EXE.
Причём с тупой причиной: http://securityresponse.symantec.com/security_response/writeup.jsp?docid=2008-052913-5809-99&tabid=3
Придётся для подсчёта/проверки md5 писать программу или, даже лучше, плагин для FAR.
А вот с прогой для разблокировки дисков на телефоне придётся попотеть - та, которая идёт как .EXE файл, сразу убивается Symantec'ом, а плагин для TC не выносило.
Впрочем, покопаемся в его потрошках - посмотрим как он это делает и напишем свой. (*улыбается*)
А то и правда держать TC только ради этих двух функций - глупо, особенно с учётом, что я FAR'ом пользуюсь.

Автор: xkL0#J Jun 6 2008, 05:16

[OffTopic]

QUOTE(-=CHE@TER=- @ May 31 2008, 04:05 PM)

...для подсчёта/проверки md5...

Доброго времени суток . Объясни незнающему, зачем нужен этот "md5", я знаю, что это вроде для проверки CRC, вроде...

Автор: -=CHE@TER=- Jun 6 2008, 11:55

[OffTopic]

QUOTE(xkL0#J @ Jun 6 2008, 05:16 AM)

Доброго времени суток . Объясни незнающему, зачем нужен этот "md5", я знаю, что это вроде для проверки CRC, вроде...

Ну, http://ru.wikipedia.org/wiki/MD5 в отличие от http://ru.wikipedia.org/wiki/%D0%A6%D0%B8%D0%BA%D0%BB%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B9_%D0%B8%D0%B7%D0%B1%D1%8B%D1%82%D0%BE%D1%87%D0%BD%D1%8B%D0%B9_%D0%BA%D0%BE%D0%B4 генерит не 4-х байтный (8*4=32 бита), а 16-ти байтный код. Я так понимаю вероятность появления ошибки сокращается.
Я сразу скажу, что слабо в этом разбираюсь (и могу сморозить какую-нибудь глупость, так что поправьте, если что), но давай представим такую ситуацию: 4 байта (8*4=32 бита) могут хранить число 2 в 32 степени (2^32) - т.е. числа от 0 до 4294967295 - итого 4.294.967.296 возможных комбинаций. Что такое по сути хэш или контрольная сумма? Это некоторое число, которое по какому-то алгоритму сопоставляется входным данным. Когда у тебя на входе данных, для примера CRC32, меньше либо равно чем 4 байта - то у тебя каждой последовательности байт можно сопоставить уникальную CRC32 контрольную сумму. Хотя бы даже по номеру - например:
0 - соответствует 0
1 - соответствует 1
...
4294967295 - соответствует 4294967295 (FF FF FF FF)
в случае с CRC32 у тебя левый столбец так и будет от 0 до 4294967295 , а правый будет раскидан по некоторому алгоритму.
Но что делать, когда у тебя не 4 байта, а 200 Мб? В такой ситуации сочиняется некоторый алгоритм, который позволяет вычислить контрольную сумму в зависимости от содержания этих 200 Мб. Скажу сразу - если размер этих данных увеличить/уменьшить - то контрольная сумма может быть легко подделана (но чтобы она получилась такая же как у оригинального файла "случайно" - это... очень маловероятно). Но, предположим, что скачиваем какой-нибудь, "Genesis - Land of Confusion [AABBCCDD].mp3", где [AABBCCDD] - это его CRC32 контрольная сумма в HEX (шестнадцатеричном представлении). Т.к. файл при скачивании (когда нет ошибок с сетевыми пакетами) всегда у всех имеет один и тот же размер, то в случае повреждения какого-либо байта или блока байт это тут же отразится на контрольной сумме. Но! Почему же MD5 лучше CRC32?.. Давайте посмотрим:
200 Мб = это 200*1024*1024 = 209.715.200 байт. А теперь делим на 4 байта (размер CRC32):
209715200/4 = 52 428 800 - т.е. CRC32 умещается целиком в таком файле 52 миллиона раз! Т.е. существует 52 миллиона варинатов файла размером 200 Мб, у которых CRC32 будет одинаковый, а содержимое - разным! Конечно, случайное (именно случайное!) изменение байт таким образом, чтобы CRC32 совпало, довольно маловероятно (где-то даже вероятность читал, кажется в той же Wiki), но тем не менее, в случае MD5 (16 байт!) - эта вероятность в 4 раза меньше.
Надеюсь, что понятно объяснил. (*улыбается*)

Сразу предупреждаю, что глубоко в MD5/CRC32 не копал - возможно у них могут повторяться контрольные суммы чаще, чем их длинна - например, могут быть совпадающие CRC32 у файла размером в 4 байта. Ещё раз говорю - это только предположение! - честно говоря лень читать все мат.выкладки этих алгоритмов.

Автор: Grom PE Jun 7 2008, 12:06

[OffTopic]

Автор: -=CHE@TER=- May 22 2009, 13:31

Очередную хрень на тачке знакомого лечил.

Симптомы: неизвестная служба WMISyncDB (её невозможно остановить обычными средствами).
Есть скрытый файл: C:\WINDOWS\System\wmisym.exe
Есть драйвер: C:\WINDOWS\system32\drivers\sysdrv32.sys

Драйвер Symantec грохает как Bot-что-то там, а вот wmisym.exe каждый раз генерится заново - я отослал один такой файл в БД Symantec, его добавили, а не другой машине этот файл (со свежими антивирусными базами) спокойно проходил проверку. Собственно, можно завершить его процесс через Диспетчер задач, а потом БЫСТРО удалить с диска, пока он заново не запустился.
Ещё эта хрень где-то в реестре прописывается, но я точно не помню где - в принципе по имени можно поискать.

Автор: Axsis Aug 17 2009, 17:26

чтоб не создавать новую тему напишу сюда

Автор: -=CHE@TER=- Nov 18 2009, 05:27

Что-то Symantec совсем стал загибаться под тяжестью своих баз - комп уже еле ворочается от процесса Rtvscan.exe, который, к тому же, и памяти нехило так откусывает. В связи с чем крепо задумался о смене антивируса.

Товарищ Axsis, у меня к тебе вопрос, как к пользователю Dr.Web - он всякие кряки и кейгены не трогает или тоже удаляет? Потому что меня в Symantec помимо его прожорливости ещё выбесило что он удаляет все кейгены, кряки и даже файлы от demoscene (эта сволочь удалил мою любимую http://conspiracy.hu/release/64k/prophecy/ от Conspiracy).

Автор: Axsis Nov 23 2009, 23:53

Dr.WEB практически не трогает кейгены и 64к интро, хотя бывают и у него ложные срабатывания.
я в связи с переходом на Win7 x64 был вынужден дома перейти на ESET Smart Security (ESET AntiVirus + firewall), так как поддержка x64 в drweb'е только начала проходить бета тестирование, а ставить себе "сырой" антивирь как-то не хочется - это всё-таки не муз. проигрыватель, садится в систему глубоко, и его баги могут выливаться в BSOD'ы.
так вот ESS (а следовательно и EAV) довольно часто реагирует на пакеры, которыми накрывают кейгены/демки. на распакованные версии молчит как партизан.

Автор: -=CHE@TER=- Jan 16 2010, 09:46

И ещё раз об антивирусах...

Блин, не смог поставить Dr.Web, потому что во-первых, этож надо было додуматься антивирус в инсталлятор .MSI засунуть (распаковал и даже посмотрел куда и чего в реестр пишет, но там некоторые значения ключей только во время выполнения записываются, так что облом вручную поставить), а во-вторых, он, гад, при установке требует планировщик (причём он нужен только для автоматического обновления баз данных - на их форуме прочитал, а я базы всегда сам обновляю когда мне надо) и без него не хочет ставиться. Я у себя планировщик и некоторые другие службы просто уничтожил на корню - даже файлов не осталось. Ставить его ради Dr.Web - да не пошли бы эти криворукие программисты куда-нибудь подальше лесом.

Зато покопавшись в настройках Symantec отключил кэш обновлений - аж 1,5 Гб освободилось!..

Вот ещё недавно у знакомого ставил klcodecpack. У него в системе уже стоял DivX Bundle и последняя лицензионная версия кашпировского. Так вот - это как же надо было сделать этот адский антивирус, чтобы при удалении программы из "Панели управления" с момента нажатия на "Удалить" и до появления окна программы удаления проходило аж 2 минуты?! Эта скотина кашпировский через 2 минуты показывал окно, разрешить ли выполнение этой программы бла-бла-бла. Что он так долго делал - мне совсем непонятно, особенно, если учесть, что он работал на 4-х ядерном процессоре. И самая задница была в том, что этот DivX bundle был отдельными программами: DivX Codec, DivX Converter и там ещё штук 5 всяких DivX... Короче, столько времени на удаление программ я ещё никогда не тратил. Потом уже сообразил, что надо было перед удалением просто вырубить нахрен кашпера... Как этот антивирус работал через одно место - так и продолжает.

Автор: -=CHE@TER=- Mar 30 2010, 13:12

Таки решил поставить Dr.Web. Забегая вперёд скажу, что после установки ещё полдня промучался пытаясь выковырять из системы планировщик - пришлось XPLite ставить (о, до меня сейчас дошло, что для удаления, наверное, придётся планировщик опять ставить... абзац).

Плюсы:
+ Система грузится и работает немного быстрее, по сравнению с Symantec.

Нейтральное:
? Кто-то, не помню, говорил, что у Symantec много процессов в памяти висит, у Dr.Web, кстати, не меньше: spidernt.exe, dwengine.exe, spiderui.exe, SpIDerMl.exe, spideragent.exe - а может, даже, и больше.

Минусы:
- Ублюдский установщик, который делали олигофрены:
а) Он в .MSI - тут вообще без комментариев.
б) Он не ставится без планировщика и это при том, что для нормальной работы программы планировщик нахрен не нужен!
- Замечательная служба поддержки, которая мрачно и тупо игнорирует письма от пользователей и вообще ложит на всё болт.
- Процесс SpIDerMl.exe занимает в памяти около 60 Мб, при этом у Symantec тоже был один жирный процесс, но занимал всего около 50 Мб (Rtvscan.exe, кажется).
- Вырвиглазная работа с проверкой "на лету" - если у Symantec от силы уходило 1-2 секунды на проверку подозрительного файла (с .EXE упаковщиком или другой защитой), чтобы решить вирус это или нет (при этом система работает нормально, только замедляется работа с этим файлом - например просмотр в FAR по F3), то Dr.Web, порой, тупо ставит систему секунд на 15 колом - ничего, кроме движения курсора мышки, не работает! Особенно меня вышибло, когда я рылся в .INF файлах, пытаясь найти лёгкий способ вынести планировщик и тут на текстовом (!) файле C:\WINDOWS\inf\layout.inf Dr.Web вводит систему в кому!

Автор: Axsis Mar 30 2010, 19:09

у веба, начиная с пятой версии, тоже много процессов, это и меня напрягало
ща сижу на ESET'е - там как полагается 2 процесса - ядро и gui.
если я не ошибаюсь, SpIDerMl.exe у веба это Spider Mail - модуль антиспама и защиты почтового трафика (25 и 110 порты), я его отключал, так как вложения из писем всегда сохраняю перед открытием, а подозрительные проверяю на ВирусТотале, а антиспам у меня отдельный стоял.
а чем тебе так ненавистен виндовый планировщик? я его всегда на ХР отключаю, но ни разу не удалял
что касается MSI инсталлера - так сейчас любой продукт, подразумевающий административную установку на множество компов по сети, с преднастройкой установки, распространяется именно так. и, по-моему, дураки как раз те разработчики, кто делает иначе

Автор: -=CHE@TER=- Mar 31 2010, 12:34

QUOTE(Axsis @ Mar 30 2010, 19:09)

QUOTE(Axsis @ Mar 30 2010, 19:09)

QUOTE(Axsis @ Mar 30 2010, 19:09)

а чем тебе так ненавистен виндовый планировщик? я его всегда на ХР отключаю, но ни разу не удалял

QUOTE(Axsis @ Mar 30 2010, 19:09)

что касается MSI инсталлера - так сейчас любой продукт, подразумевающий административную установку на множество компов по сети, с преднастройкой установки, распространяется именно так. и, по-моему, дураки как раз те разработчики, кто делает иначе

QUOTE(Axsis @ Mar 30 2010, 19:09)

короче, у всех свои плюсы, свои минусы.
предполагаю, что -=CHE@TER=- сейчас скажет что "Хороший антивирус надо писать самому"

Автор: -=CHE@TER=- Apr 7 2010, 14:57

Поставил версию 6.00 Dr.Web:
- Для удаления старой планировщик был не нужен (на удивление).
- Для установки новой - куда ж без него. Благо хоть XPLite под рукой теперь есть.
Программа как работала без планировщика, так и работает. Дебилизм тех, кто делал установщик, виден невооружённым глазом (или у них просто руки не оттуда растут?).
- Заодно решил обновить Apache с 2.2.14 до 2.2.15... Старая версия удалялась минут 5 - при этом процесс dwengine.exe сжирал все ресурсы процессора. Когда мне уже надоело ждать я отключил SpiDer Guard, после чего удаление без проблем быстро завершилось. Как выяснилось точно также дела обстоят с установкой. То ли Dr.Web не любит .MSI, то ли что-то там у них с функцией проверки не так - не знаю. На время установки пришлось его тоже отключать.
- Ещё заметил интересный момент: скачиваешь через FlashGet какой-либо файл. Как только закачка закончилась, то FlashGet зависает секунд на 10-15. При этом, если файл был один и после закачки успеть закрыть программу (быстро - за секунду-другую), то всё ок. Проблемы начинаются, когда качается несколько файлов - один закачался, программа зависла. Те что остались почему-то решив, что закачка оборвалась - начинают качаться заново (файловые обменники или сервера не поддерживающие докачку). Всё - приехали.

Автор: Axsis Apr 7 2010, 20:02

ну даже не знаю, попробуй 4-ю версию поставить, для неё базы тоже ещё обновляются, и она не такая прожорливая до ресурсов.
с флэшгетом ситуация скорее всего следующая: он качает в файл с временным расширением, а потом переименовывает например в *.exe, вот тут то дрвеб новый файлик и проверяет, а программу, совершившую переименование, на время проверки блокирует. такое поведение антивируса вполне логично - на то он и антивирус как реагирует флэшгет на подобные "издеветельства" - трудности самого флэшгета (с точки зрения разрабов дрвеба )
насколько я помню, download master нормально такие задержки переваривал и продолжал качать другие закачки без разрывов.

Автор: Siberian GRemlin Jul 7 2010, 11:42

Я окончательно удостоверился, что Касперский -- (*ненормативная лексика*). Сначала KIS вызывал у меня на машине синий экран смерти, а теперь (после обновления KIS) он выводит из стоя драйвер сетевой карты (ЛЮБОЙ!, у меня их в компе две). Это мои предположения, т.к. причиной тому что сетевуха отказывается получать адрес IP после своего же запроса, оказался KIS. Причём сбои происходят только если отключить защиту в KIS, т.е. чтобы всё работало надо либо сидеть с включенной защитой либо полностью удалить это ПО. Ещё один занимательный момент, KIS стал резать все входящие пакеты при работе любой сетевой защиты (почта, аська, web). Пришлось их все вырубить чтобы можно было сидеть в сети. Под другим пользователем кстати пакеты не рубит. Рылся в настройках -- не помогло. Да не уйдёт от сокращения тот дебил, который всё это программировал!

Если кто-то сталкивался\слашал, то прошу нашептать мне методы лечения сих недугов. Ибо, за лицензию заплачено -- близкий человек подарил. Я уже предостерёг его от дальнейшего приобретения этого продукта жизнедеятельности.

Автор: -=CHE@TER=- Jul 7 2010, 15:17

Ну, у знакомых стоит на лицензионной 7-ке лицензионный же кашпировский. Тоже пару раз BSoD получали. Просили разобраться, я грешным делом думал что это 7-ка сырая, все обновления поставил - хрен там. Теперь, кажется, я понял что к чему. (*улыбается*)


Я хочу тоже выплеснуть тут немного гнева, но по поводу Dr.Web.
Короче, попользовался пару месяцев этим т.н. "антивирусом" - количество негативных эмоций просто хлещет через край.

Итак, финальный список.

Минусы:
1) Ублюдский установщик, который требует планировщик, хотя антивирусу эта служба для работы вообще никуда не упёрлась.
2) Ублюдская система сканирования файлов, когда при открытии даже текстовых файлов система впадает на полминуты в ступор не отвечая ни на что.
3) Ублюдский эврестический анализ - я неделю ругался со службой поддержи, потому что их антивирус убивал .EXE файл программы на Delphi после того как я применял StripReloc (там НИЧЕГО не было, кроме CreateFile и FileMapping, причём я им даже исходные коды выслал!). Они это поправили - затем (та же программа!!!) стала удаляться если при компиляции после StripReloc ещё и UPX сжать! Опять пришлось ругаться - внесли в исключения, но недавно убили ещё одну мою старую программу на Delphi, которую я писал для скачивания сайтов. Ругаться и писать в службу поддержки я перестал - это, как я понял, бесполезно, т.к. сам по себе антивирус просто ущербный.
4) Ублюдская система карантина - в корне того диска, где найден вирус создаётся скрытый (а в случае NTFS ещё и без прав доступа - не удалишь!) каталог "Drweb Quarantine", куда складируются вирусы. Причём каталог создаётся даже если вирус был удалён как неизлечимый! Чтобы снести этот каталог приходится лезть в свойства и делать себя владельцем. А если ваш знакомый притащил Flash накопитель с вирусом? Не вопрос! Он теперь будет наслаждаться на своей Flash ещё и скрытым каталогом "Drweb Quarantine", несмотря на то, что у него дома вообще другой антивирус стоит - программистам из Dr.Web на это плевать, как и на пользователей. У всех нормальных антивирусов есть каталог "Quarantine Files", где-нибудь в %APPDATA%, но Dr.Web - это русский антивирус - бессмысленный, безжалостный и беспощадный!!!
5) ТОРМОЗНАЯ (да-да! у Dr.Web именно ТОРМОЗНАЯ) система проверки файлов - не поверите, когда писал распаковщик для Zanzarah: The Hidden Portal (в последних обновлениях на сайте есть) - я охренел дожидаться пока архив распакуется, но как только отключил SpiDer Guard - файлы распаковались просто с бешеной скоростью! Та же самая вещь с установкой и удалением программ - переустановка Apache, например, занимает с включённым антивирусом просто дикое количество времени. Нахрен такой антивирус, который постоянно приходится выключать?! Вот, несмотря на то что Symantec был прожорлив и тормозил сильно при загрузке, скорость распаковки файлов с ним не сильно снижалась, при этом вирусы он не пропускал. А ведь я перешёл на Dr.Web именно из-за усиленно распространяемых непонятно кем (отделом по пиару?..) "слухов" про его "быстродействие"!

И, кстати, у меня лиц.версия - мне знакомые люди ключ подарили, с намёком, что Dr.Web "быстрый", мол, тебе пригодится с твоим компьютером...

Плюсы:
1) Не удаляет keygen и crack... хотя на фоне того, что он удаляет мои программы, где никогда вирусов не было - это жиденький плюс.
2) Грузится и обновляется немного быстрее, чем Symantec...

Короче, я сейчас присматриваюсь к другим антивирусам. Вероятность того что я буду переходить с этого ужаса летящего на крыльях ночи под названием Dr.Web равна 500%.

И, кстати, почитал форум Dr.Web - там им пользователи много во что носом тыкали, чтобы исправили. Думаете хотя бы зачесались? Хрен там - только отшучиваются в ответ. Конструктивный диалог невозможен - желаю растерять им всю свою аудиторию и разориться.

Автор: Siberian GRemlin Dec 29 2010, 08:45

Сдох монитор, подключил телек, а он большой слишком, решил сесть подальше, купил беспроводные мышку с клавой, но они отказались работать, также как и полголда назад простая мышь для USB.
Перепробовал все варианты, затем дошло дело до Касперского, стал искать в сети -- http://forum.kaspersky.com/index.php?showtopic=181924&st=0&p=1451277&#entry1451277. Там много злобных возмущений пользователей и тупых ответов админов, но понять в чём дело и как исправить можно.
Я изматерился пока восстановил работу USB, снёс Касперского к чертям собачим. Самое обидное, что он у меня законно купленный и лицензия ещё не кончилась. Но уж лучше без этой дряни, раз их программисты четырёхногие. Что дальше? Ставить Avast?

Автор: -=CHE@TER=- Dec 29 2010, 19:41

QUOTE(Siberian GRemlin @ Dec 29 2010, 08:45)

Автор: Axsis Dec 29 2010, 23:06

Как показывает практика последних нескольких лет, up-to-date надо держать и личную машину, дабы не возникали эпидемии червей через уязвимость, закрытую уже полгода(!) или даже больше.
MSE не пробовал, но полагаю это доведённая до ума (и портированная на ХР) версия Windows Defender'а из висты/7.
А тесты антивирусов... пожалуй, надо очень потрудиться, чтоб найти что-то более субъективное. Ну по каким параметрам их можно сравнивать? По тому сколько у кого "детектов" из одного конкретного зоопарка в сотню-две зловредов? Так наберите зловредов, гуляющих, например, по Китаю и ворующих пароли от китайских онлайн-банков и соц. сетей и в вашем тесте непременно будет в лидерах антивирь от китайской компании. В русских тестах - русские антивири в лидерах.
Может лучше тот антивирь что быстрее работает? А если он быстр, да слеп? Тоже плохой критерий...
Про количество записей в базах вообще молчу... Каждый считает как ему нравится. Один производитель добавит одну запись на всё семейство, другой - десяток и будет и дальше добавлять. Да и мало лишь найти, надо ещё и уметь правильно обезвредить. Я кажется упоминал случай, когда после заражения системы вирусом, каспер нашел и поудалял файлы, незная как их лечить. (Благо скопировав всё в карантин, откуда они потом были восстановлены и вылечены cureit'ом). А каспер-то себе приплюсовал единичку к количеству записей в базах за этот вирус.
Так что тут только пробовать и искать что больше подойдёт именно для тебя. Для того почти у всех антивирей есть пробный период

Автор: -=CHE@TER=- Dec 30 2010, 19:36

QUOTE(Axsis @ Dec 29 2010, 23:06)

QUOTE(Axsis @ Dec 29 2010, 23:06)

Автор: -=CHE@TER=- Apr 14 2011, 11:50

Dr.Web
Заколачиваю последний гвоздь в крышку гроба этого антивируса - до кучи к моим предыдущим проблемам:
1) Дебильная система обновления: один раз обновились файлы "drweb_en.chm" и "drweb_ru.chm", после чего программа потребовала перезагрузки компьютера (!), т.к. были установлены критические (!!) обновления. Походу у них всё, что не антивирусные базы требует перезагрузки, неважно нужна она или нет.
2) Почему-то Dr.Web помимо программ на Delphi ещё и люто ненавидит Opera - при открытии любой вкладки, даже пустой, программа подвисала на 3-5 секунд. После удаления Dr.Web всё опять стало летать.
3) Когда у меня кончился ключ, Dr.Web продолжал показывать окно с количеством дней до его истечения. Только если раньше было 30, 15, 10, 9... 0, то теперь оно пошло в обратную сторону: 1, 2, 3, 4, 5... и т.д. Слов нет - тупо до невозможности.
4) После удаления этого ублюдского антивируса, я скачал с их FTP программу для окончательного удаления всего за собой (они рекомендуют ей пользоваться если, вдруг, выйдет новая версия их программы, чтобы старая за собой всё убрала) - называется "drw_remover.exe". Запустил, ввёл капчу, она чего-то поделала и предложила перезагрузиться. Перезагрузился. Как было в системе от Dr.Web насрано - так и осталось. Куча какого-то дерьма в Program Files, в %AppData% вообще какие-то .EXE с .DLL валяются, а самое главное - остался EventLog "Doctor Web"! И его ещё хрен удалишь!!! Вот, нашёл как вручную его снести, для тех кто имел несчастие поставить себе это дерьмо под названием Dr.Web:
http://www.jinweijie.com/windows/delete-event-log-manually/
Я искренне желаю всем сотрудникам этой ублюдочной фирмы вечно гореть в Аду!


Microsoft Forefront Endpoint Protection
Упёр с работы этот антивирус. Решил поставить и, что бы вы думали? Он потребовал с меня планировщик! Удалил без зазрений совести.


Microsoft Security Essentials
Решил попробовать его младшего, бесплатного и не такого навороченного брата. Поставить-то поставил, но вот дальше начался гемморой. Как я уже говорил, я держу службу Автоматического обновления всё время выключенной из-за того что она безбожно жрёт процессор. Включаю раз в месяц посмотреть какие новые обновления появились и их поставить. Этот же гадский антивирус сделал морду лопатой и по-тихому включил службу, да не просто включил, а с настройкой загружать и устанавливать не спрашивая никого об этом. Увидев такое дело я вынес через XPLite все скачанные обновления, потому что там был 8-ой Internet Explorer, который я ставить в упор (как и 7) не хочу, потому что мне нужен 6-ой для тестирования сайтов которые я делаю под ним (для Интернета я использую FireFox). Но и тут меня поджидал сюрприз - при отключении службы обновления... отключается и антивирус! Ну надо же! И это убожество тоже пришлось удалять.


ESET NOD32 Antivirus
Поставил это штуку. При установке главное выбрать ручную инсталляцию компонентов и отключить установку ублюдского Яндекс.Бара. После установки в памяти всего два процесса, как Axsis и говорил - ekrn.exe (ядро - 20 Мб) и egui.exe (оболочка - 1,5 Мб). Что, надо заметить, весьма по-божески кушает память в отличие от всех предыдущих антивирусов, не говоря уже о количестве процессов! Насчёт скорости работы, то тоже не могу не удивиться - быстро работает, зараза. Для интереса даже вышел на какой-то подозрительный сайт в гугле ("этот сайт может нанести вред вашему компьютеру") - так всплыло окно, что NOD32 заблокировал какой-то опасный элемент на этом сайте. Т.е. всё работает и, главное, быстро!

В общем, остановился на этом антивирусе - пока полёт нормальный, особых нареканий по работе нет. Разве что при ручном обновлении программа чего-то уж сильно долго думает на первом файле "update.ver".
Чёрт подери, неужели таки нашёл нормальный антивирус? Аж самому не верится. (*улыбается*)

Автор: Axsis Apr 14 2011, 15:03

Автор: -=CHE@TER=- Apr 14 2011, 15:50

QUOTE(Axsis @ Apr 14 2011, 15:03)

Теперь я, кажется, знаю отличия бизнес версии

QUOTE(Axsis @ Apr 14 2011, 15:03)

QUOTE(Axsis @ Apr 14 2011, 15:03)

Автор: Axsis Apr 15 2011, 15:34

нет, триальные ключи подходят только на триальную версию EAV.
для обновления бизнес-версии - или левые (ворованные) ключи, или неофициальные сервера обновлений. ключи быстрее умирают, а серваки бывают перегружены. лично я обновляюсь с неоф. серваков.
а вообще глянь ветку на руборде на предмет поиска наиболее подходящего варианта лечения, их немало

Автор: -=CHE@TER=- May 24 2011, 15:25

Блин, походу я опять буду менять антивирус...
На этот раз, скорее всего, что-нибудь из бесплатного попробую.

У NOD32 заметил две неприятные вещи:
1) Иногда ядро антивируса начинает отжирать 100% процессорного времени и помогает только перезагрузка. Даже если все приложения закрыл и полчаса подождал (ничего не делаешь) - не помогает.
2) После того как первый TRIAL-ключ закончился, я у них на сайте ещё один сделал, однако, походу, разработчики не фраера, так что сделали какую-то защиту (только 1 месяц всё будет работать как надо) - теперь после пары часов работы невозможно установить ни одно соединение - они сразу рвутся. При этом, как выяснилось, ещё и не работают (т.е. нажимаешь, но ничего не происходит) кнопки отключения антивируса! Ну офигеть просто.

Автор: Siberian GRemlin May 25 2011, 02:43

Я пока пользуюсь ESET Smart Security. Из недостатков заметил, что иногда соединения у The Bat вешаются, т.е. весит "соединяюсь" и всё, помогает только кнопка отмены задания и повторный запуск получения почты. Из-за чего пока не понял. Ключи не заказывал и с другими проблемами пока не сталкивался.

Автор: -=CHE@TER=- May 25 2011, 12:39

QUOTE(Siberian GRemlin @ May 25 2011, 02:43)

Автор: -=CHE@TER=- Sep 10 2011, 09:30

Всё, моё терпение лопнуло!

NOD32 - ужасное говнище, его авторы - олигофрены, а все награды - куплены.

1) Включаю компьютер.
2) Жду пока все процессы загрузятся (в том числе и NOD32 обновит свои базы и проверит системные файлы).
3) Открываю "Диспетчер задач": Бездействие системы - 99%.
4) ВЫКЛЮЧАЮ проверку файлов и рисков у NOD32.
5) Иду на кухню перекусить на 30 минут.
6) Возвращаюсь - ekrn.exe жрёт 99% проца и, скотина, не хочет это прекращать.

Все программы тормозят и еле ползают, ибо NOD32 жрёт все ресурсы. Каким нужно быть ушлёпком, чтобы написать программу, которая даже в отключённом виде сжирает весь процессор - я даже представить себе не могу.

[OffTopic]

Автор: -=CHE@TER=- Apr 21 2013, 15:13

Лечил сегодня компьютер знакомого от вирусов.
Вроде всё вылечилось (с загрузочного диска кашпировского загрузился), но систему "повело" - перестали запускаться некоторые службы, система стала неработоспособной, после загрузки практически ничего не работает.
Загрузился с чистого дистрибутива Windows XP SP3 RU на CD. Выбрал установку системы, затем, когда программа определила уже установленный Windows, выбрал восстановление.
Всё шло хорошо, пока система не подтянула уже установленные драйвера на материнскую плату.
При этом она выдала запрос в духе, что данные драйвера не имеют подписи бла-бла-бла, вы действительно хотите их поставить да/нет? У знакомого два компьютера дома, оба достаточно старые, но на обоих USB мышки и клавиатуры.
Так вот, перед установкой драйверов на материнку, USB отключается! А до этого и клавиатура и мышка в установщике работают.
Всё, приехали. Нужно что-то выбрать для продолжения установки, а ничего не работает. Legacy USB devices в BIOS включено (уже гуглил).
Пошли в магазин и купили PS/2 клаву (Defender). Приходим, втыкаем - не работает. Перегружаемся, всё равно не работает. Что интересно на втором компе тоже самое. Приходим в магазин, продавец при нас втыкает в современный комп, включает его и клавиатура видна. Мистика.™
Беру у себя дома старую (в 2002 году брал) PS/2 клаву и мышку. Прихожу к знакомому и втыкаю - комп не видит. Перегружаюсь - заработало! Установка, наконец-то заканчивается и система снова работает.
Казалось бы PS/2 он и в Африке PS/2 - а вот хрен там, в новых железяках что-то наменяли.

Автор: -=CHE@TER=- May 23 2015, 12:47

Двумя сообщениями выше я писал, что поставил себе AVG Anti-Virus Free Edition 2012.
Сам по себе антивирус неплох, но:
- ему нужно 500 Мб для обновления свободного места, когда от силы 100-150 обновления занимают;
- ставит какой-то AVG Do Not Track во все обозреватели и его вручную удалить нельзя (в Firefox, например, кнопка Uninstall вообще серая) - только отключить.
В общем, бесящих вещей в нём было достаточно, но сильно не напрягал.

Недавно он начал меня задабливать, мол, обновись на AVG Anti-Virus Free Edition 2015.
Чёрт с ним - обновился. Обычно, когда обновляешься со старой версии на новую, то там всё хуже и ужасней. Тут, наоборот, чёртов Do Not Track наконец-то удалили, зато появилась такая хрень как "Permanently Shred with AVG" в контекстном меню при щелчке правой клавишей мышки на любой файл или каталог. Штука эта удаляет файл начисто, так что не восстановить. В контекстном меню оно мне не нужно и оно оттуда не удаляется. Вернее как, http://techdows.com/2013/09/avg-2014-how-to-remove-permanently-shred-with-avg-option-from-context-menu.html через команду "regsvr32 /u avgse.dll", но после обновления оно вернётся назад. О том, что эта штука всех бесит https://forums.avg.com/ww-en/avg-forums?sec=thread&act=show&id=234432 ещё с 2013 года, но делать ничего не хотят.

Автор: Siberian GRemlin May 23 2015, 13:02

Ого! Получается, у меня уже четыре года стоит «ESET Smart Security». Проблем не заметил. Бесплатные ключи (типа для ознакомления) приходится раз в месяц брать в сети и вписывать.

Автор: -=CHE@TER=- May 28 2015, 11:45

AVG 2015 такая лолка - скачал сегодня обновления (он каждый день сам обновляется), начал их ставить и завис. Т.е. в процессах висят два msiexec.exe и ничего не делают. Я перезагрузил компьютер, Windows XP нормально перегрузился, ничего при выключении не висело. После перезагрузки антивируса в трее нет и в списке процессов тоже - он, вообще, не загрузился! При попытке загрузить вручную говорит что какая-то его avg-чего-то-там.dll не найдена, поэтому он не может работать. Залез в "Установку и удаление программ", при попытке сделать "Изменить" или "Удалить" всё висит точно также с двумя msiexec.exe в памяти. Пришлось лезть на сайт антивируса и качать оттуда установщик. Слава богу хоть он заработал и я там выбрал "Восстановление". После того как всё восстановилось, оно полезло качать обновления (200+ Мб!), которые, вроде бы, встали нормально, во всяком случае сейчас всё работает.
А, вообще, конечно, антивирус который сам себя ломает - это что-то с чем-то.

Автор: -=CHE@TER=- Oct 2 2015, 15:08

Всё, я так больше не могу - мучительно хочется кому-нибудь в глаз дать, но не знаешь с кого начать...
Прошу отнестись серьёзно к тексту ниже, т.к. он касается всех.

Итак, с чего бы начать?.. Позавчера товарищ Siberian GRemlin прислал мне на почту письмо (за что ему спасибо), сказав что он не может зайти на мой сайт (ctpax-cheater) т.к. его блокирует Интернет-обозреватель.
Кто не знал - современные оборзеливатели тягают откуда-то список "плохих сайтов" и если ваш сайт туда угодил, то пользователи зайти к вам не смогут. Я современными программами не пользуюсь, ибо хрень на палочке, так что об этой проблеме не знал. Стал искать кто эти списки составляет - тоже, кстати, нетривиальная задача, ибо кто этим только не занимается. Вышел вот сюда:
https://www.stopbadware.org/clearinghouse/search
Вбил туда адрес своего сайта и узнал, что мой сайт аж с марта (!) в блокировке из-за какого-то ThreatTrack. Нагуглил их сайт:
http://www.threattracksecurity.com/resources/submissions.aspx
Зашёл в "Blocked website" и объяснил, что у меня нет никаких вирусов и прочей фигни - потрудитесь объяснить, за что вы мой сайт заблокировали. Сегодня опять зашёл на stopbadware.org и смотрю - с моего сайта блокировка снята (1 октября - когда на ThreatTrack написал). Но теперь в истории моего сайта есть запись, что он был в блокировке с марта по октябрь. Это, конечно, не судимость, но очень неприятно.
А теперь то, что меня ОСОБЕННО БЕСИТ. Я проверил свой сайт на трёх сервисах:
virustotal.com/en/url/...
google.com/safebrowsing/diagnostic...
urlvoid.com/...
И только VirusTotal.com сказал, что мой сайт был проверен в марте (всё совпадает) и 1 (ОДИН!) антивирус что-то там нашёл - чёртов BitDefender! Самое главное - я сделал ещё раз проверку сайта на VirusTotal.com и там больше ничего не нашлось - сайт прошёл проверку всеми антивирусами.

Вы понимаете что происходит?
- какие-то уроды пишут кривой антивирус BitDefender, который всё считает вирусами;
- кто-то, на каком-то сервисе, отправляет мой сайт на проверку;
- мой сайт блокируется 1 (одним!) куском не буду говорить чего, но это был BitDefender;
- из-за 1 (одного!!!) ложного срабатывания мой сайт попадает в чёрный список, который непонятно кто распространяет и непонятно кто составляет;
- и теперь хозяину сайта, который об этом всём ни сном ни духом, нужно где-то и как-то искать кто, когда и как занёс его сайт в этот чёртов чёрный список, чтобы оттуда удалиться;
- но самое главное - хоть тебя и убрали из списка, но история о том что твой сайт был в блокировке так и останется - и это при том, что блокировка была из-за ЛОЖНОГО срабатывания!!!

Я понимаю что борьба с вирусами, фишинговыми сайтами и прочее и прочее. Но это уже маразм какой-то. Если пользователь дебил, то можно сколько угодно защищать его от подобных сайтов - он всё равно туда залезет. Зато страдают все остальные. И, вообще, благими делами вымощена дорога известно куда. На данный момент Интернет уничтожают не столько вирусы и фишинговые сайты, сколько антивирусные компании блокирующие всё подряд.
Люди, что с вами не так?!

Автор: Siberian GRemlin Oct 2 2015, 15:28

Мне почему-то думалось, что я раньше прямо в «лисе» видел кнопки «пожаловаться на сайт» и что-то типа «опровергнуть жалобу». Но вчера сколько не пытался так и не нашёл ничего похожего. Была только кнопка «игнорировать» предупреждение о вредоносном сайте и лазить по нему «на свой страх и риск», что я и сделал.

Автор: -=CHE@TER=- Feb 1 2016, 18:25

QUOTE(Siberian GRemlin @ May 23 2015, 13:02)

Автор: Siberian GRemlin Feb 2 2016, 03:42

Всё тем же. Проблем нет. Очень редко не выключается игровой режим антивируса (отдельный процесс) после выхода из игры — но он легко сносится через диспетчер задач.

Автор: RAYN3 Feb 3 2016, 22:30

Автор: Axsis Feb 4 2016, 22:07

QUOTE(Siberian GRemlin @ Feb 2 2016, 06:42)

Автор: -=CHE@TER=- Jul 24 2016, 11:04

Продолжаю заниматься всяким непотребством с антивирусами.

AVG что-то совсем захирел - вчера выдал окно, что его служба накрылась тазом, мол, отправьте отчёт разработчикам. После этого я понял, что его пора сносить. Кстати, после целого года всплыващих рекламных окон (которые, к слову, как уже писал выше, даже те кто использовал платную версию отключить не могли) они таки добавили возможность отключать рекламу насовсем (в платной версии) или на 3 дня максимум (в бесплатной версии), но по умолчанию эта опция стоит в "показывать всегда" (в обеих версиях) и находится в дебрях настроек... За этот год уже все кто только мог отказались от их долбанной программы, так что, как говорится, дорога ложка к обеду - всё было сделано криво, неправильно, а, главное, слишком поздно.

Короче, поставил Avira Free Antivirus.
Это, кусок не скажу чего, битый час устанавливался, затем полез обновлять свои базы - вроде и не так много скачал (около 30 Мб), но поставить не смог - ошибка 258. Погуглил - говорят переустановите. Ну спасибо, я только поставил, ещё час ждать меня просто заломало. Ещё такая ошибка возникает при кривой программе-обновлялке (updater), но это пишут аж за 2011 год и на сайте производителя страница с решением этой проблемы не существует (пришлось в веб-архиве смотреть). Ещё такая ошибка была у какого-то немецкого пользователя, где ему на форуме производителя ответили, что нужно 2 Гб оперативной памяти (вдумайтесь в эти безумные требования!!!) для обновления.
Тут ещё можно написать про чудовищную скорость работы и кучу процессов в памяти (планировщик (sched), теневое что-то там (shadow) и ещё штук 5 жрущих память), но это уже лишнее.
В общем, удалил я этот антивирус тоже.

Поставил BitDefender Free. Не менее удивительная херня. Всё не просто адово тормозит, а система, вообще, постоянно пребывает в коме. Плюс из настроек есть только вкл./выкл. антивируса и вкл./выкл. переодической проверки важных системных файлов. Всё. Нет, реально всё. Больше ничего нет. Ни задать когда обновления будут скачиваться, ни действия при обнаруженных угрозах, ни файлы и каталоги исключений - НИЧЕГО. Простояла эта херня у меня сутки (просто поздно было что-то ещё ставить - спать пошёл), после чего тоже удалилась, когда не следующий день, во время работы, я увидел вот это:

Автор: Siberian GRemlin Jul 26 2016, 17:03

Обновил «ESET Smart Security» до девятой версии. Всё отлично. Единственное — почему-то не хочет выключить напоминание/предложение о своих возможностях защиты соединения с банком когда я захожу в интернет-банк.

Автор: -=CHE@TER=- Aug 7 2016, 11:45

Допишу ещё чутка про Avast - похоже остановлюсь на нём.

1) Несмотря на то, что антивирус бесплатный для домашнего и некоммерческого использования, после установки он работает всего 30 дней, а потом его нужно регистрировать. Регистрация бесплатная, но не сразу вкупаешь что произошло и почему вылезло окошко об окончании срока действия триального ключа. Сам же ключ нужно получать на специальной https://www.avast.com/en-us/registration-free-antivirus.php, действует он ровно год, но продлять, как я понял, можно сколько угодно раз.

2) Увы, Avast подвержен той же болезни, что и Dr.Web - ненависть к программам на Delphi 7, причём даже без использования DCC32HACK. Приходится на время написания программы отключать антивирус или вносить каталог с ней в исключения, чтобы каждый новый сгенерированный компилятором исполняемый файл не улетал в карантин. Кстати, почему-то ещё и на последнюю версию STUNS ругнулся, что, вообще, за гранью моего понимания - отправил им файл на исследование, чтобы занесли в исключения антивирусной БД.

3) Ужасно раздражает алгоритм проверки со всплывающим окном, о том что программа де запущена на 15 секунд в песочнице дабы поглядеть что это за зверь. Практически все программы, которые я ещё не запускал после установки этого антивируса, напарываются на это окно.

4) Почему-то очень (ОЧЕНЬ) долгое выключение компьютера. Экран "Идёт сохранение настроек..." в Windows может висеть до 5 минут.

В остальном антивирусом доволен. Каких-то особых тормозов не замечено - даже система стартует быстро (по сравнению с другими антивирусами - а это уже не мало)! Память тоже достаточно по божески жрёт - в оперативке всего два процесса этого антивируса. В общем, остаюсь на нём.

Автор: Siberian GRemlin Aug 8 2016, 02:54

Судя по описанию, мазохизм пользователя является системным требованием этого антивируса. Используй «ESET Smart Security».

Автор: Siberian GRemlin Aug 16 2016, 02:03

Проблема с интернет-банком исчезла.

Автор: -=CHE@TER=- Aug 16 2016, 06:15

Что-то сделал или оно само рассосалось?

Автор: Siberian GRemlin Aug 16 2016, 16:35

Само, может обновление.

Автор: Siberian GRemlin Nov 24 2016, 02:10

Думал, что https://www.google.ru/search?q=%D0%BE%D0%B1%D0%BD%D0%BE%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5+windows+7+%D0%BF%D1%80%D0%BE%D1%86%D0%B5%D1%81%D1%81+%D0%B6%D1%80%D1%91%D1%82+%D0%BF%D0%B0%D0%BC%D1%8F%D1%82%D1%8C чисто мелкомягкая. Никак не мог понять почему это происходит когда я сразу отключил все обновления ОС. Оказалось, нужно отключить обновление операционной системы в антивирусе «ESET Smart Security 9», который принудительно запускал его при каждой загрузке ОС и каждые 24 часа.

Автор: -=CHE@TER=- Nov 24 2016, 09:54

Этой хернёй, кстати, многие антивирусы страдают.
И ладно бы они только какие-нибудь критические обновления ставили, так нет же ставят всё, даже то, что тебе нахрен не нужно.
А система обновлений в Windows, да, через одно место написана (и я удивлён, что в 7-ке это не исправили) из-за чего она практически постоянно работает и жрёт 100% проца. У кого несколько ядер или HT какое-нибудь, то не так заметно, а когда у тебя один процессор обычный, то из-за работающей службы обновления тотально всё тормозит. Так что предпочитаю включать её вручную чтобы проверить наличие новых и поставить обновления, а в остальное время всегда держать выключенной.

Автор: -=CHE@TER=- Jan 17 2017, 15:04

Avast меня поражает и убивает!
Это, блин, как надо было написать антивирус...
Пишу программу на сях + WinAPI.
Всё было отлично, пока не добавил в ресурсы (ресурсы, блин!) строчку с сообщением об ошибке.
Пересобираю экзешник - вылетает "Win32:Evo-gen [Susp]". Я сижу охреневаю. Убрал строку - опять всё ок.
Вернул строку назад забив абракадаброй - опять улетает. Добавил ещё пару строк - опять всё ок.
Короче, эмпирическим путём удалось выяснить, что если размер программы ровно 20 Кб (20480 байт), то Avast считает её "Win32:Evo-gen [Susp]"!
Эврестический анализ? Контрольные суммы на худой конец?
Не, не слышали - у нас передовая технология - по размеру файла, блин!

Автор: -=CHE@TER=- May 3 2018, 10:12

Ушёл с Avast'а. Ибо оно в систему своих драйверов для перехвата всего понатолкало, в результате чего я офигевал с непонятных перезагрузок, синих экранов и много другого треша.
Короче, я вернулся на AVG2013 (эпопея с его поиском и выковыриванием из веб архива, а также установкой ещё та была), но потом он перестал обновляться да и тормозил страшно.
Перешёл я на Panda Antivirus, благо что разработчики завляли что будут поддерживать Windows XP.
Всё было неплохо, но в один далеко не прекрасный момент он перестал обновляться.
Почему? Потому что у разработчиков руки растут не из того места и теперь для работы службы обновления нужен .Net Framework 4.0 (долбанный сты-ы-ыд!!!). Обматерив всё, пришлось ставить эту мерзость себе на компьютер.
А тут новая напасть - последние два дня PSUAService.exe падает каждые 10 минут с ошибкой unknown software exception (0x40000015 - STATUS_FATAL_APP_EXIT) по адресу 0x78B2D635.
Написал в службу поддержки со скриншотом ошибки и мне предложили переустановить антивирус начисто.
Ну, думаю, так не пойдёт. Подцепился отладчиком когда в очередной раз упало и поглядел в чём там дело.
Короче, служба антивируса каждые 10 минут лезет на www.pandasecurity.com и качает оттуда какой-то XML с новостями. До 1-го числа всё было нормально, а после туда добавили новость с ошибкой в XML разметке. Библиотека PSCCGUIUtils.dll антивируса распарсивает XML и, видя ошибку, кидает исключение (долбанный стыд x 2). Это исключение никто не ловит и оно вылетает на системный уровень, где система и завершает сервис с упомянутой выше ошибкой (долбанный стыд x 3). Но, само по себе, что сервис антивируса падает из-за каких-то нафиг никуда не упёршихся новостей, которые вполне себе можно скачать когда, скажем, ты админку открыл - это пять. В общем, отписался службе поддержки о косяке, посмотрим что ответят и поправят ли. А, пока что, как временное решение, забанил в файле HOSTS сайт с новостями:
0.0.0.0 www.pandasecurity.com
Потому что каждые 10 минут нажимать OK во всплывающем окне (не говоря уже о том, что оно просто ужасно раздражает) дофига неудобно. Обновления качаются с другого домена, так что блокировка конкретно этого не должна особо влиять на работу антивируса. Хорошо хоть оно само себя восстанавливало после падения.
В остальном антивирус не плохой - работает шустро, ложные срабатывания есть, но их немного.

Добавлено:
Таки да. На следующий день ответили и починили - весьма оперативно. Правда я не заметил, чтобы у PSCCGUIUtils.dll поменалась дата создания, что говорит о том, что либо они исключения выше ловят (из модуля, откуда функции этой библиотеки вызывались), либо поправили XML, что, конечно же, проблемы не решает - до следующего раза, когда опять кривую новость запостят. Но будем надеяться на лучшее.

Автор: -=CHE@TER=- Oct 22 2018, 14:10

Помогал знакомому разобраться с последним Firefox на Windows 10.
Практически все сайты использующие HTTPS не открываются. И если какие-то можно добавить в исключения, то, например, Google и YouTube открыть нельзя, ибо там вылазиет какое-то сообщение про HSTS и кнопка "Добавить исключение" вообще отсутствует. Что только не делал, даже новый профиль создавал. Погуглил с этой ошибкой, с другого компа, выяснилось, что на это может влиять неверно установленное системное время, кривой файл с БД сертификатов в Firefox (cert8-что-то-там), а также погода на Марсе. Но, помимо всего прочего, и антивирус кашпировского. Зашёл в настройки и отключил там, как и советовали в статье, проверку HTTPS - всё заработало! Включаю назад - опять всё блокируется. Начал гуглить дальше, но уже с запросом "кашпировский, Firefox, HSTS". Вышёл на форум кашпировского, где их об этой проблеме ещё в 2016 (!) году спрашивали и спрашивающий тоже отключил проверку, ибо никак это побороть не смог. Но я так просто не сдался и начал гуглить дальше. В итоге всё ж нагуглил решение: нужно в настройках Firefox импортировать сертификат кашпировского откуда-то из AppData\кашпировский\Data\Cert...
Ка-а-ак?! Как, блин, человек поставивший себе эту ср*нь вместо антивируса должен был догадаться до этого?!
Годы идут, но кашпировский как был кучей не скажу чего, так и остаётся.
Стабильность, однако.