Версия для печати темы

Нажмите сюда для просмотра этой темы в оригинальном формате

CTPAX-X _ Полезности _ !Вирусы!

Автор: -=CHE@TER=- Aug 20 2007, 18:37

Блин!!!
Поймал ещё один вирус. Прямо хрень какая-то в последнее время с этими вирусами!

Всем в срочном порядке сохранить к себе на комп и запустить такой вот NoAutoRun.reg файл, после чего обязательно перезагрузить компьютер:

CODE
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:03ffffff


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:03ffffff



Он запрещает обработку "AutoRun.inf" для ВСЕХ дисков, даже если вы кликаете через эксплорер по ним, чтобы открыть (проверял на CD-ROM, жёстком диске и флэшке) - обработка "AutoRun.inf" ПОЛНОСТЬЮ игнорируется.

Появился какой-то зверский вирус - вот тут как его выковыривать (на китайском): http://hi.baidu.com/zybaby2008/blog/item/4240f81b583045fbaf5133bc.html (http://66.249.91.104/translate_c?hl=en&langpair=zh%7Cen&u=http://hi.baidu.com/zybaby2008/blog/item/4240f81b583045fbaf5133bc.html).
QUOTE
Кому нужно - вот в этом посте: http://www.forum.ctpax-x.org/index.php?s=&showtopic=123&view=findpost&p=1287 находится код .BAT файла, который полностью удаляет вирус с компьютера.
If you need - http://www.forum.ctpax-x.org/index.php?s=&showtopic=123&view=findpost&p=1287 contains batch file - Virus Removal Tool.

Кстати, если кому-нибудь что-нибудь об этом вирусе известно, а также известно, что он портит, и что нужно потом восстановить, или есть утилита от какого-нибудь производителя антивирусного софта, которая его автоматически херит, а если уже похерен, то фиксит следы его "деятельности" - обязательно пишите тут.

Отличительной характеристикой данного вируса является наличие файла AutoRun.inf в корне диска следующего содержания:
CODE
[AutoRun]
open=RUNAUT~1\autorun.pif
shell\1=??(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=??(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif
Вместо ?? - какие-то непонятные символы.
А также скрытого каталога "autorun..", который так просто не схеришь (см. как это делают в Removal-скрипте).

На данный момент:
- Symantec с последними базами не видит этот вирус видит его (с базами за 09.09.2007 и старше)
- кашпировский с последними базами не видит этот вирус
- http://forum.kaspersky.com/index.php?act=Print&client=printer&f=18&t=42266 прочитал, что, вроде бы, NOD32 блокирует работу вируса


Вот ещё что - если вам притащили флэшку с файлом "AutoRun.inf" - то:
1) Открывайте его блокнотом или FAR'ом.
2) Смотрите на какие файлы он ссылается и херьте как их, так и сам этот файл.

И постарайтесь, чтобы НИКТО НЕ ПИХАЛ СВОИ FLASH'КИ В ВАШ КОМП В ВАШЕ ОТСУТСТВИЕ!

Автор: nickolayer Aug 21 2007, 11:50

Avira AntiVir - интересный антивирус. Недавно еще стоял у меня. Может быть, он поможет - немногим уступает NOD32. И спасибо за предупреждение!

Автор: -=CHE@TER=- Aug 24 2007, 03:31

Подтверждено, что NOD32 может удалить этот вирус, но не каталог "autorun..".
Вирус, называется (по NOD32): Win32/Delf.NFP
Вот ещё ссылка http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?vname=BKDR_DELF.GAX с кратким описанием (похоже это тотже вирус).

Чтобы удалить каталог "autorun.." надо либо воспользоваться приведённым выше скриптом, либо программой http://ccollomb.free.fr/unlocker/ (у меня она постоянно стоит). ВАЖНО: внутри каталога НИЧЕГО не должно быть - т.е. файл autorun.pif должен быть УЖЕ удалён антивирусом, иначе Unlocker не сможет удалить каталог.

Добавлено:
Оказывается ключ HKEY_LOCAL_MACHINE, почему-то напрочь игнорируется. Приходится также писать ещё в HKEY_CURRENT_USER у каждого пользователя - тогда работает. Хотя, судя по msdn, HKEY_LOCAL_MACHINE должен был перекрывать значения из HKEY_CURRENT_USER. В общем, обновил .REG-файл в первом посте - снова качаем и запускаем.

Автор: jTommy Aug 24 2007, 09:04

Вообще, спасибо за информацию. У себя такого зверя не обнаружил. Но из всего этого вывод напрашивается такой: NOD32 лучший антивирус? Потому что, тот же Касперский до сих пор его не то что не лечит, но даже не видит. И к тому же он слишком тяжелый, даже для современных компьютеров.

Автор: nickolayer Aug 24 2007, 14:19

Не совсем лучший... говорю же (выше), что есть еще один примерно такого же уровня. Но лучше Касперского, безусловно. Его лечилка выглядит несколько комично, учитывая то, что удалять у него получается немного лучше.

Автор: -=CHE@TER=- Aug 24 2007, 19:56

Ну, может быть, NOD32 и лучший.
Мне как-то narmo показывал .PDF файл с его наградами - их там охренеть сколько. (*улыбается*)
Сам я юзаю Symantec, но он только файлы проверяет/лечит (при запуске/открытии/создании), т.е. процессы не блокирует когда они что-то "не то" делают. Таким образом, если что-то неизвестное случайно запустить - можно горько пожалеть. (*улыбается*)

Кашпировский - это ваще жесть. Мне его дали в качестве бесплатного приложения к компу лет 5 назад. Поюзал полгода и плюнул - даже с последними базами все вирусы подряд пропускает, который другие антивирусы уже 100 лет как знают к тому же ужас какой тормозной и глючный - лечил машину как-то так он апосля тысячи с чем-то вылеченных файлов намертво завис. (*улыбается*)

Ещё есть опыт юзания McAffee - у знакомых через почту был получен крутой червь, который себя в системных драйверах прописал. Уже не помню названия, но весь прикол был, что его даже в Safe Mode вытащить нельзя было, а его отличительной особенностью было то, что если попытаться создать файл с именем как у вируса (чего-то-там.sys) то компьютер сразу шёл в ребут, как будто RESET нажали.
Там стоял McAffee - я обновил к нему базы через Интернет, проверил весь жёсткий диск - ничего подозрительного не нашёл. Снёс к чёрту, поставил Symantec, обновил базы и снова сделал полную проверку бердана - хрясь и захерил этого червя. Более того он ещё 4 троянца нашёл, которые McAffee тоже прохлопал.

Вообще, всё, конечно, сильно зависит от того, насколько оперативно вирусы появляются в БД антивирусов - т.е. насколько часто пользователи туда эти самые вирусы шлют, чтобы их в БД добавили.
На моей памяти есть такой случий: как раз до того, как я купил комп (5 лет назад) стоял у меня дома старенький 286. И надо же было такому случиться - поймал я новый вирус, под DOS, который Dr.Web (он у меня стоял) не видел. К слову, кашпер и AidsTest (если, конечно, кто-то помнит эту древнюю утилиту) его тоже не видели. Попросил знакомых, у которых каспер был - те, сказали - ноу проблем. Дал им какой-то заражённый системный файл, они его залили куда-то кашперу и, через неделю, вышла БД кашпировского, которая уже лечила этот вирус. Далее было дело техники - взял эту БД-обновление к себе на комп и всё вылечил.

Так что, видимо, NOD32 просто пользователи больше любят. (*улыбается*)

Автор: xkL0#J Aug 25 2007, 17:15

Есть ещё http://www.drweb.com/, который имхо, ни в чём не уступает вышеизложенным конкурентам. Мало жрёт систему, сканит когда надо и прост в эксплуатации.

Когда-то поставил антивирус от тов. Касперского. После установки, шарясь по своему винту, зашел в папку где был дистр. Nero 7-го, комп завис ("наверно проверяет дистрибутив" - подумал я) через 40! мин. комп завис полностью, мишь и клава перестали работать. Решение проблемы: reset и uninstall. После этого случая, ПО данной компании, меня больше не интересует. (Пусть лучше лепят хранители экрана, раз за столько лет так и не смогли сделать нормальный антивирус).

Вот моя история.
Недавно подхватил червя, сущее проклятье. В инет выхожу с помощью мобилы (это меня и спасло). Вечером решил проверить почту, подключился но через 2 сек. меня выбросило, а телефон по прежнему оставался в режиме пакетной передачи данных, Outpost молчит (какие-либо соединения отсутствуют) и Dr.Web тоже. А тем временем комп, через мобилу, используя GPRS соединение, начинал звонить на непонятный номер. На следующий день, на работе, обновил все базы на все имеющиеся антивири (Symantec, NOD32 и Dr.Web) и с этим боекомплектом пришел домой...
День 1:
Symantec - нашёл... впрочем он и сам не понял что он нашёл, короче какая-то херь с шести-буквенным, хаотично расположенным, названием. Хаотично расположенным потому что сначала нашёл - "njdfhl", а при повторном сканировании - "fhnldj". Потом он обнаружил в себе баг и решил рапортонуть своему создателю (ага, мне осталось только в инет выйти smile.gif )
NOD32 - ничего не нашёл.
Dr.Web - ничего не нашёл.
День 2: (обновил базы)
Symantec - !!!ничего не нашёл!!! Походу точно какой-то баг.
NOD32 - ничего не нашёл
Dr.Web - ничего не нашёл
День 3 - 6: тоже самое mad.gif .
За это время я обнаружил такое: в ветке C:\Documents and Settings\xkL0#J\Application Data появилась папка iamgreyuser в ней оказались 2 файла, названий не помню, но точно помню что exe-шник занимал 12kb, а другой без расширения - 128kb.
День 7:
Symantec - ничего не нашёл.
NOD32 - ничего не нашёл.
Dr.Web - находит две каких-то dll-ки, удалил. После перезагрузки они опять появились, в паке iamgreyuser ничего не нашёл! Загрузка в safe mode - результат тот же. Но на этот случай у меня есть XP которая грузится с болванки, ей не нужен винт грузится в оперативку. Там из cmd запускаю Dr.Web - находит 2 клятых dll-ки и !!!exe-шник в папке iamgreyuser!!!, как это понять я не знаю, получается червь блокировал действия антивируса. Но заразу всё-таки убил.

P.S. Кто лучше я не знаю, но с Dr.Web мне спокойней чем с монструозно-неудобным NOD32, а за Symantec-овский я вобще молчу.

Автор: -=CHE@TER=- Aug 27 2007, 05:11

QUOTE(xkL0#J @ Aug 25 2007, 05:15 PM) *
Там из cmd запускаю Dr.Web - находит 2 клятых dll-ки и !!!exe-шник в папке iamgreyuser!!!, как это понять я не знаю, получается червь блокировал действия антивируса. Но заразу всё-таки убил.
Это потому что вирус перехватывал функции работы с файлами и ты .EXE вообще не видел из-за вируса (он просто его скрывал).

Что касаемо антивирусов - то тут чаще главную роль играют пристрастия каждого конкретного человека к тому или иному продукту, а не его надёжность/качество - как говорится, на вкус и цвет фломастеры разные. (*улыбается*)

Автор: Axsis Aug 27 2007, 13:53

Выскажу и я своё мнение smile.gif
Дома юзаю ДрВеб, с того самого момента как я осознал что совсем без антивиря дальше жить нельзя (года 3-4 назад smile.gif) Ложных срабатываний минимум - за всё время раза 2-3 было, несрабатывания на явных угрозах бывают, в основном на свежих модификациях вирусов/троянов (я базы обновляю 1 раз в неделю, как правило в обновлении баз добавлялось и детектирование "свежачка"), но это бывает со всеми антивирями. Для дома Веб - самое то: быстр, неглючен, прост.
На работе стоит НОД32 - инструмент посерьёзнее smile.gif Тут >25 компов, поэтому поднят нодовский сервак с зеркалом обновлений, установка на компы юзеров и сбор статистики с них ведётся с сервера. Ложных срабатываний почти за год работы не было, палит практически всё что можно, может это потому что автообновление каждый час. Пару раз пропускал троянцев, приходилось вручную чистить, но учитывая что 25 машин - простительно smile.gif В настройке посложнее (хотя можно сказать более гибкий) чем Веб, подходит когда много компов с одинаковыми настройками - один раз создал конфиг и ставишь на клиентские тачки уже настроенный антивирь.
Также есть небольшой опыт общения с кашперовским - гадость ужасно тормозная, и, вопреки всем отзывам о его превосходной защите (типа "он тормозный, но ловит всё"), у меня были случаи когда он не ловил очень опасные вещи (из разряда руткитов, но ещё на стадии установки, то есть когда руткит ещё не борется с антивирем).
Симантек. Стоял на работе до нода, ничего сказать про него не могу, т.к почти сразу с моим приходом заменили на нод. Сразу после установки нод на нескольких компах нашел парочку червей, но это можно списать на старые базы симантека (там непонятно обновлялись ли они вообще).
Вот так вот

Автор: -=CHE@TER=- Aug 27 2007, 20:43

Насчёт "ложных срабатываний" - Symantec рубит все кейгены и кряки на корню - "HackTool" и всё. Моя твоя не понимай. Причём у меня какой-то кряк валялся чуть ли не два года. Недавно обновил базы - бац! и Symantec его схерил. (*улыбается*)

Кстати, насчёт кашпировского - почитайте, мне тут недавно товарищи статейку подкинули: http://pcnews2.ru/text/333

Автор: xkL0#J Aug 28 2007, 17:50

QUOTE(-=CHE@TER=- @ Aug 27 2007, 08:43 PM) *

Кстати, насчёт кашпировского - почитайте, мне тут недавно товарищи статейку подкинули: http://pcnews2.ru/text/333
Сильная статья и комменты тоже, спасибо. В душе(где-то очень глубоко) я догадывался что тов. Касперский - быдло рублёвый. Походу точно make blowjob фсб-шникам или отделу “Р”... чорт, таких людей я ненавижу ещё больше чем перекупщиков wink.gif .

Автор: jTommy Aug 28 2007, 18:03

QUOTE(-=CHE@TER=- @ Aug 28 2007, 12:43 AM) *
Кстати, насчёт кашпировского - почитайте, мне тут недавно товарищи статейку подкинули: http://pcnews2.ru/text/333
Совершенно невразумительная статья, особенно к концу. Даже если все это правда, мне все равно.
Притом, что от вирусов я еще не разу серьезно не страдал, считаю, что с создателями вирусов бороться надо всеми средствами.

Автор: nickolayer Aug 29 2007, 15:01

Я бы отнесся к этой статье как к факту для справки. Материал приняли к сведению - и действуем по своему выбору. Можем пользоваться, можем не пользоваться. Но я считаю, что данная статья на решение влиять не должна.
Бороться с создателями вирусов всеми средствами? Нельзя ли подробнее? Бороться до конца сопротивления или до перевоспитания?

Автор: -=CHE@TER=- Aug 30 2007, 08:49

QUOTE(jTommy @ Aug 28 2007, 06:03 PM) *
Совершенно невразумительная статья, особенно к концу. Даже если все это правда, мне все равно.
Притом, что от вирусов я еще не разу серьезно не страдал, считаю, что с создателями вирусов бороться надо всеми средствами.
"Спокойствие, только спокойствие!" © сами знаете кто (*улыбается*)
Данная статья была дана как информация к размышлению. Я и сам считаю, что пишут на заборах и пишут вирусы люди не от большого ума. И то что с этим "бороться надо всеми средствами" - согласен.
В этом смысле полностью согласен с nickolayer'ом - "Материал приняли к сведению - и действуем по своему выбору."
Что насчёт решения по выбору антивируса, то отдавать деньги всё-таки, да, хочется именно за качественный продукт - это раз. А два - не кормить при этом людей, мягко говоря, недостойных.

Кстати, возврящаясь к одному из своих первых постов - про вирус, который прописывался как системный драйвер - нашёл свои бумажные записи:
C:\WINDOWS\SYSTEM32\DRIVERS\runtime2.sys
C:\WINDOWS\TEMP\STARTDRV.EXE (обратите внимание, не SMARTDRV, а STARTDRV - типа, маскируется под системный, хоть и во временном каталоге)
Попробуйте у себя создать в любом каталоге файл с именем runtime2.sys - если комп при попытке создать такой файл пойдёт в перезагрузку - у вас вирус.

Автор: jTommy Aug 30 2007, 17:28

QUOTE(nickolayer @ Aug 29 2007, 07:01 PM) *
Бороться с создателями вирусов всеми средствами? Нельзя ли подробнее? Бороться до конца сопротивления или до перевоспитания?
А их можно перевоспитать? Я в этом сомневаюсь.

Вирусописателей я считаю, ни много, ни мало террористами. При приведении ими в действие своих детищ страдают невинные люди.

Вчера поставил NOD32 и Dr.Web. Оба понравились, шустрые и не тяжелые. NOD32 за вечер умудрился проверить (глубокая проверка) все диски, а это, судя по логам, более 1 млн. файлов. Полную проверку Dr.Web'ом еще не устравивал.

Кстати, -=CHE@TER=-, NOD32 утверждает, что в ToolD2.dat из твоего MW конвертора это Win32.Spy.Agent. Файл находится в оригинальном архиве. В шпионы играете, уважаемый? Что можете сказать в свое оправдание?
Шучу конечно, я понимаю, что это ложное срабатывание. smile.gif Dr.Web на этом файле ничего не сказал.

Автор: nickolayer Aug 31 2007, 10:14

Террористами - сильновато сказано. Я готов допустить, что 70% вирусов написаны с совершенно вредительскими целями. Пусть даже 90%. Но кадры, занимающиеся постановкой экспериментов типа "а если я вот так сделаю, что получится?" или "а если так закончить, что эта программка сумеет сделать?", еще не перевелись. И вряд ли когда-нибудь переведутся.

Автор: xkL0#J Aug 31 2007, 16:50

to nickolayer
Это защита, оправдание или просто логическое мышление. Спору нет, есть экспериментаторы, и весьма серьёзные, у них цель одна - победить систему или попытаться её обойти. Я не согласен с твоим процентным соотношением, думаю 99,9% именно (очень хорошо замечено) террористы, 0,01 - экспериментаторы.
А что касается борьбы... в первую очередь нужно за самим собой следить. Если перестать вестись на ихние уловки, то имхо, в конечном итоги они пожрут друг друга (хоть и появятся новые), другого пути нет наверно.

Автор: -=CHE@TER=- Aug 31 2007, 19:21

QUOTE(jTommy @ Aug 30 2007, 05:28 PM) *
Кстати, -=CHE@TER=-, NOD32 утверждает, что в ToolD2.dat из твоего MW конвертора это Win32.Spy.Agent. Файл находится в оригинальном архиве. В шпионы играете, уважаемый? Что можете сказать в свое оправдание?
Шучу конечно, я понимаю, что это ложное срабатывание. smile.gif Dr.Web на этом файле ничего не сказал.
Гм. Странно. Ничего не могу сказать. Могу дать исходные коды - компиль сам. Убедишься, что там ничего нет.
Мне больше интересно на основании чего NOD32 решил, что ToolD2.dat - вирус. Более того, почему он так же не решил, скажем, об Tool2.dat - т.к. они оба не сильно различаются.

Автор: Axsis Aug 31 2007, 22:15

QUOTE(-=CHE@TER=- @ Aug 30 2007, 12:49 PM) *

Кстати, возврящаясь к одному из своих первых постов - про вирус, который прописывался как системный драйвер - нашёл свои бумажные записи:
C:\WINDOWS\SYSTEM32\DRIVERS\runtime2.sys
C:\WINDOWS\TEMP\STARTDRV.EXE (обратите внимание, не SMARTDRV, а STARTDRV - типа, маскируется под системный, хоть и во временном каталоге)
Попробуйте у себя создать в любом каталоге файл с именем runtime2.sys - если комп при попытке создать такой файл пойдёт в перезагрузку - у вас вирус.

хехе, если не секрет, чем истреблял?
у меня на работе на компе, который в принципе не входит в мою компетенцию, во вторник была эта хрень - попросили помочь, ну я там и вычистил не менее 5ти разновидностей всякой заразы, среди которой была и такая как ты описал smile.gif
а всего-то девушка зашла из эксплорера по одной ссылке, которую выдал ей яндекс (запрос не помню)
на компе был нод32 с базами примерно полугодичной давности - оказался полностью бесполезным, так что важнее не то какой антивирь, а то, насколько свежие у него установлены базы.
зы: а, это тот которого ты Симантеком убил после "МакКофе"? biggrin.gif

Автор: jTommy Sep 1 2007, 09:35

QUOTE(nickolayer @ Aug 31 2007, 02:14 PM) *
Террористами - сильновато сказано. Я готов допустить, что 70% вирусов написаны с совершенно вредительскими целями. Пусть даже 90%. Но кадры, занимающиеся постановкой экспериментов типа "а если я вот так сделаю, что получится?" или "а если так закончить, что эта программка сумеет сделать?", еще не перевелись. И вряд ли когда-нибудь переведутся.
Может и сильновато, но схожесть их действий видна невооруженным глазом.
А экспериментаторы пускай эксперементируют, только почему мы выступаем в роли подопытных кроликов?

QUOTE(-=CHE@TER=- @ Aug 31 2007, 11:21 PM) *
Гм. Странно. Ничего не могу сказать. Могу дать исходные коды - компиль сам. Убедишься, что там ничего нет.
Мне больше интересно на основании чего NOD32 решил, что ToolD2.dat - вирус. Более того, почему он так же не решил, скажем, об Tool2.dat - т.к. они оба не сильно различаются.
Не заморачивайся. Это всего-лишь ложное срабатывание эвристики.

Автор: -=CHE@TER=- Sep 1 2007, 18:02

QUOTE(Axsis @ Aug 31 2007, 10:15 PM) *
хехе, если не секрет, чем истреблял?
Ну ты, в принципе, сам на этот вопрос и ответил:
QUOTE(Axsis @ Aug 31 2007, 10:15 PM) *
зы: а, это тот которого ты Симантеком убил после "МакКофе"? biggrin.gif
(*улыбается*)

QUOTE(Axsis @ Aug 31 2007, 10:15 PM) *
а всего-то девушка зашла из эксплорера по одной ссылке, которую выдал ей яндекс (запрос не помню)
Я тоже уже так накололся. Теперь никогда и ни за что не использую IE. Только Opera.


jTommy!
Смысл просто был в том, чтобы понять из-за чего это вообще. Вдруг, ты напишешь программу и на неё NOD32 тоже ругаться будет. Тогда нужно быть, так сказать, подкованным - знать что где изменить/заменить в коде программы, чтобы не было ложных срабатываний. Не будешь же всем пользователям объяснять, что это NOD32 - тупой и ложно срабатывает - они, скорее, поверят что у тебя в программе вирус.

Автор: Дмитрий-Нск Sep 2 2007, 04:05

здравствуйте

у меня побывал Delf - поленился я месяц обновлять базы Nod'a
базы обновил - вирь везде, где можно было был удалён антивирусом, но! комп не исзелчён. был не излечён - я форматнул диск С (10 гигов) и восстановил образ.

почему не удалён? потому что от него остались следы в директории Windows
файлы regedit.exe, msconfig.exe, cmd.exe были ущемлены - до них был закрыт доступ - файлы есть, а доступа нет. взамен им система или антивир создали их дубли с именами regedit.exe.exe и в т.д...
в общем формат.

теперь вопрос:
на локальном диске D (он у меня 290 гигов) у меня склад информации - я сисадмин и дизайнер. форматнуть диск D у меня рука не подыметься. на этом диске осталась папка "runauto..".
самая соль в том, что антивирус периодически удаляет из неё один и тот же файл (следовательно он не может его удалить, а пытается это сделать, как только файл с вирусом пытается активироваться. меня, разумеется, смущает эта папка. Unlocker'ом, как выше было сказано, удалить нет возможности - пробовал 2 версии (1.7.1 и 1.8.5) - даже не появляется вариант удалить эту папку с помощью unlocker'a - на всех других такой вариант есть...
что думаете, господа?

P.S.: ваш reg файл я внёс в реестр, спасибо

Автор: nickolayer Sep 2 2007, 08:46

to xkLO#J:
Возможно, экспериментаторов немного. Но я согласен насчет борьбы. Люди занимаются вредительством в том числе и для того, чтобы нам было хуже. Не поддаваясь на их трюки, мы делаем их труд бессмысленным... хотя если они и пожрут друг друга, то очень нескоро.
to jTommy:
В роли подопытных кроликов мы, пототму что больше некому... где же они узнают об исходе эксперимента, как не от растерянных пользователей? smile.gif sad.gif
to -=CHE@TER=-::
Opera, конечно, малость сложнее в обращении, чем IE, но рекламу в этом обозревателе в виде всплывающих окон почти и не увидишь. Когда NOD32 находит вирус где-то на той страничке, куда я захожу, это происходит в IE, но никогда в Opera. Поэтому я принял тот же выбор.

Автор: -=CHE@TER=- Sep 2 2007, 13:27

Дмитрий-Нск!
Тут есть одна хитрость. Если внимательно присмотреться к содержанию файла autorun.inf, который создаёт вирус, то там можно заметить, что вирус сам обращается к каталогу не как "autorun..", а как "RUNAUT~1". Чем мы и воспользуемся.
Делаем так:
1) Пуск -> Выполнить...
2) Набираем там: d:\runaut~1\
3) Щёлкаем по кнопке ОК - и открывается этот самый каталог.
Теперь щёлкаем на autorun.pif правой клавишей и херим его Unlocker'ом.
После этого поднимаемся в корень диска и оттуда опять-таки Unlocker'ом херим и сам каталог (пустой каталог будет хериться, а с файлом - нет).

Насчёт копий CMD.EXE, REGEDIT.EXE, MSCONFIG.EXE - ничего сказать не могу, т.е. у меня их нет - всё ок (пользовался скриптом приведённым по ссылке в первом посте). Дубли с именами *.EXE.EXE создавал вирус.

P.S. У меня Unlocker 1.8.5.

Автор: Дмитрий-Нск Sep 3 2007, 02:15

спасибо, '-=CHE@TER=-'
пиф удалил, но по-прежнему не появляется в меню Unlocker...sad.gif

Автор: -=CHE@TER=- Sep 6 2007, 19:07

QUOTE(Дмитрий-Нск @ Sep 3 2007, 02:15 AM) *
спасибо, '-=CHE@TER=-'
пиф удалил, но по-прежнему не появляется в меню Unlocker...:(
Кто не появляется? Вызов Unlocker на каталоге "RUNAUT~1"? Он в контекстное меню что-ли не встроен?
При установке Unlocker есть такая галочка "Встроить в Проводник" - так вот, она должна быть включена.


Добавлено:
Всё, начиная с сегоднешнего дня Symantec видит этот троян: http://securityresponse.symantec.com/avcenter/cgi-bin/virauto.cgi?vid=10119 (правда там мало чего вразумительного написано о том, как его удалить). Сам проверил - видит и удаляет.


Ещё добавлено:
Затрахало. Это оказалась старая версия вируса. Сегодня притащили новую. Вот VirDelete.bat файл, который я переделал из китайского - он херит эту сволочь раз и навсегда (в том числе и из оперативной памяти):

http://www.ctpax-x.org/uploads/VirDelete.bat

Кликните правой клавишей мышки на ссылке и выберите "Сохранить как..."
Click right mouse button to link and select "Save as..."

Автор: Siberian GRemlin Sep 8 2007, 03:29

У меня палево: вчера скидывал знакомой с флэшки на флэшку инфу, потом в силу обстоятельств - обалдуи с её группы вырезали с флэшки файлы, вставили на рабочий стол, переставили флэшку и в этот момент у компа отказал USB порт, в итоге у них началась истерика - мне пришлось их выручать, скидывая через интернет на другой комп. Вообщем, печаль не в этом, а в том, что на одной их их флэшек я заметил два файла: AUTORUN.INF и SVCHOST.EXE с розовой иконкой, для меня даже не стало удивлением, что они не знают что это и откуда. Явно, это сифон какой-то. NOD32 на том компе его не поймал. Теперь я палюсь вставлять свою флэшку в свой комп. Не, можно конечно отключить функцию автозапуска, а потом включить, но мне как-то лень... мне интересно, если зажать левый SHIFT и вставить флэшку, проигнорируется ли автозапуск, как это с оптическими дисками происходит?

Автор: -=CHE@TER=- Sep 8 2007, 11:27

Siberian GRemlin!
SHIFT должен, по идее, помочь. Плюс не забудь .REG файл из первого поста (и перезагурзись после его применения).
Если совсем сомневаешься сделай так: возьми WinXPBootableCD, отключи жёсткие диски (выдерни шлейфы), грузанись с этого CD-ROM и там втыкай флэшку - тогда точно ничего не заразится.
Кстати, если будете покупать флэшки, то лучше брать те, где есть перемычка как на дискетах - "запись запрещена". Тогда при копировании чего-либо на заражённый компьютер не заразитесь сами.

Автор: jTommy Sep 8 2007, 15:32

QUOTE(-=CHE@TER=- @ Sep 8 2007, 03:27 PM) *
Кстати, если будете покупать флэшки, то лучше брать те, где есть перемычка как на дискетах - "запись запрещена". Тогда при копировании чего-либо на заражённый компьютер не заразитесь сами.
Ну уж нет, флешки надо брать, те, у которых скорость обмена больше и фирма известная (к примеру Kingston). А флешек с таким переключателем я еще ни разу не встречал, только знаю, что они где-то существуют.

Кстати, у меня вопрос: если я вставил флешку, пошло ее сканирование, и потом появилось стандартное меню WinXP с запросом действия (посмотреть фотки, открыть, распечатать)... этого достаточно, чтобы комп заразился?

Автор: -=CHE@TER=- Sep 8 2007, 15:45

QUOTE(jTommy @ Sep 8 2007, 03:32 PM) *
Ну уж нет, флешки надо брать, те, у которых скорость обмена больше и фирма известная (к примеру Kingston). А флешек с таким переключателем я еще ни разу не встречал, только знаю, что они где-то существуют.
Нет, это, конечно, всё верно, но переключатель тоже бы не помешал...

QUOTE(jTommy @ Sep 8 2007, 03:32 PM) *
Кстати, у меня вопрос: если я вставил флешку, пошло ее сканирование, и потом появилось стандартное меню WinXP с запросом действия (посмотреть фотки, открыть, распечатать)... этого достаточно, чтобы комп заразился?
Скорее всего, это значает то, что на такой флэшке просто напросто нет autorun.inf - иначе запустился бы он. Не уверен на все 100%, но скорее всего так.

Автор: -=CHE@TER=- Sep 10 2007, 10:43

Оказывается, существует несколько вариаций на тему "RUNAUTO..".
Одну из них Symantec не знал. Отослал им вирус (BTW, это может сделать любой желающий https://submit.symantec.com/websubmit/retail.cgi) 07.09.2007, и вот сегодня, только они мне ответили, что базы за 09.09.2007 rev.17 его лечат. Обновился, проверил - точно лечат. Почему-то они определили его как http://www.symantec.com/avcenter/venc/data/backdoor.graybird.html, хотя по описанию нихрена не похож. Ну да ладно - главное, что он теперь лечится.

Автор: Siberian GRemlin Sep 11 2007, 15:36

QUOTE(jTommy @ Sep 8 2007, 11:32 PM) *
А флешек с таким переключателем я еще ни разу не встречал, только знаю, что они где-то существуют.

Может ты его не заметил?! =) Лично я без него ещё ни одной не видел.

Автор: jTommy Sep 11 2007, 16:07

QUOTE(Siberian GRemlin @ Sep 11 2007, 07:36 PM) *
Может ты его не заметил?! =) Лично я без него ещё ни одной не видел.
Интересно... Мы наверное о разных флешках говорим? Я держал в руках много USB-флешек от Transcend и A-Data - ни на одной, также Kingston DataTraveler I&II - тоже нету. Флешки SD (Secure Digital), вот эти точно все с таким переключателем.

Автор: Siberian GRemlin Sep 13 2007, 11:03

Гляжу на Transcend... сбоку такой овальный переключатель.

Автор: Дмитрий-Нск Sep 20 2007, 16:48

у меня, как я уже говорил, разные версии unlocker. есть и последняя
встроенная в меню опция появляется на всех папках, кроме runaut..
как её грохнуть без формата?

Автор: -=CHE@TER=- Sep 20 2007, 21:20

QUOTE(Дмитрий-Нск @ Sep 20 2007, 04:48 PM) *
у меня, как я уже говорил, разные версии unlocker. есть и последняя
встроенная в меню опция появляется на всех папках, кроме runaut..
как её грохнуть без формата?

Воспользуйтесь .BAT файлом http://www.forum.ctpax-x.org/index.php?s=&showtopic=123&view=findpost&p=1287.

Или только вот этой его частью (сохраните как .BAT файл и запустите):
CODE
@echo off
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do (
if exist %%d:\autorun.inf cacls %%d:\autorun.inf /c /e /p /t everyone:f
if exist %%d:\autorun.inf attrib -s -h -r %%d:\autorun.inf
if exist %%d:\autorun.inf del %%d:\autorun.inf /q
if exist %%d:\autorun.inf rd %%d:\autorun.inf /s /q

if exist %%d:\runaut~1 cacls %%d:\runaut~1 /c /e /p /t everyone:f
if exist %%d:\runaut~1 rd %%d:\runaut~1 /s /q
if exist %%d:\autorun.inf.tmp attrib -s -h -r %%d:\autorun.inf.tmp
if exist %%d:\autorun.inf.tmp del %%d:\autorun.inf.tmp /q
)

Автор: Siberian GRemlin Oct 3 2007, 16:10

Товарищи, я уже несколько раз ловил комп за тем, что он качает что-то большое из инета. Все автообновления и отсылки докладов разработчикам отключены. За обновлениями замечен был только Flash - как ему обновление вырубить? И ещё вроде же есть программки, которые отслеживают и выдают информацию о том какое ПО откуда и сколько в данный момент качает или качало или пытается. Посоветуйте, пожалуйста, если пользуетесь... А то вдруг сифон какой-нибудь.

Автор: xkL0#J Oct 3 2007, 16:29

Outpost - при правильной настройке этому фаерволу нет цены (но полноценной защиты всеравно не существует mad.gif ), при неправильной - полный кошмар... Он выдает достаточно подробную инфу на все активные подключения, какой процесс и сколько он скачал. Попробуй.

Автор: jTommy Oct 3 2007, 16:35

Siberian GRemlin, ставь файерволл обязательно. Он тебе покажет все программы, которые рвутся в инет, плюс расскажет о том, кто хочет залезть в твое личное дисковое пространство.
Я без теперь файера в открытый инет не выхожу.

Кому есть что сказать про этот класс программ - добро пожаловать в соседную ветку.

Автор: Дмитрий-Нск Oct 8 2007, 12:38

спасибо вам огромное!

Автор: OXVIL Dec 28 2007, 20:15

Я, как пользователь нисовсем лицензионных программ cool.gif, юзаю NOD32, т.к. он без проблем обновляет базы. Подвёл только один раз, при присылке вируса по почте. Но тут не подвела моя голова. Я сохранил вируз в папочку и три дня подряд пытал её НОДом, параллельно с отсылкой файла на проверку. На 4-й день вирус всётаки обнаружился. Слава НОДу!!!))))))
DrWeb Юзал. До первого обновления, после чего он отказался работать, выпрашивая у меня серийный номер.
Каспер не уважаю, поэтому и не юзаю.
Панда - это ваще антивирус-самоубийца. Когда у меня он нашел вирус Win32.Jeefo, то он сам заразился, да ещё и всю систему заразил.
Остальные не юзал, и не собираюсь.....

Автор: -=CHE@TER=- May 31 2008, 13:05

Блин, Symantec с последним обновлением (за 30.05.2008) вынес TOTALCMD.EXE.
Причём с тупой причиной: http://securityresponse.symantec.com/security_response/writeup.jsp?docid=2008-052913-5809-99&tabid=3
Придётся для подсчёта/проверки md5 писать программу или, даже лучше, плагин для FAR.
А вот с прогой для разблокировки дисков на телефоне придётся попотеть - та, которая идёт как .EXE файл, сразу убивается Symantec'ом, а плагин для TC не выносило.
Впрочем, покопаемся в его потрошках - посмотрим как он это делает и напишем свой. (*улыбается*)
А то и правда держать TC только ради этих двух функций - глупо, особенно с учётом, что я FAR'ом пользуюсь.

Автор: xkL0#J Jun 6 2008, 05:16

[OffTopic]

QUOTE(-=CHE@TER=- @ May 31 2008, 04:05 PM) *
...для подсчёта/проверки md5...
Доброго времени суток smile.gif . Объясни незнающему, зачем нужен этот "md5", я знаю, что это вроде для проверки CRC, вроде...

Автор: -=CHE@TER=- Jun 6 2008, 11:55

[OffTopic]

QUOTE(xkL0#J @ Jun 6 2008, 05:16 AM) *
Доброго времени суток smile.gif . Объясни незнающему, зачем нужен этот "md5", я знаю, что это вроде для проверки CRC, вроде...

Ну, http://ru.wikipedia.org/wiki/MD5 в отличие от http://ru.wikipedia.org/wiki/%D0%A6%D0%B8%D0%BA%D0%BB%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B9_%D0%B8%D0%B7%D0%B1%D1%8B%D1%82%D0%BE%D1%87%D0%BD%D1%8B%D0%B9_%D0%BA%D0%BE%D0%B4 генерит не 4-х байтный (8*4=32 бита), а 16-ти байтный код. Я так понимаю вероятность появления ошибки сокращается.
Я сразу скажу, что слабо в этом разбираюсь (и могу сморозить какую-нибудь глупость, так что поправьте, если что), но давай представим такую ситуацию: 4 байта (8*4=32 бита) могут хранить число 2 в 32 степени (2^32) - т.е. числа от 0 до 4294967295 - итого 4.294.967.296 возможных комбинаций. Что такое по сути хэш или контрольная сумма? Это некоторое число, которое по какому-то алгоритму сопоставляется входным данным. Когда у тебя на входе данных, для примера CRC32, меньше либо равно чем 4 байта - то у тебя каждой последовательности байт можно сопоставить уникальную CRC32 контрольную сумму. Хотя бы даже по номеру - например:
0 - соответствует 0
1 - соответствует 1
...
4294967295 - соответствует 4294967295 (FF FF FF FF)
в случае с CRC32 у тебя левый столбец так и будет от 0 до 4294967295 , а правый будет раскидан по некоторому алгоритму.
Но что делать, когда у тебя не 4 байта, а 200 Мб? В такой ситуации сочиняется некоторый алгоритм, который позволяет вычислить контрольную сумму в зависимости от содержания этих 200 Мб. Скажу сразу - если размер этих данных увеличить/уменьшить - то контрольная сумма может быть легко подделана (но чтобы она получилась такая же как у оригинального файла "случайно" - это... очень маловероятно). Но, предположим, что скачиваем какой-нибудь, "Genesis - Land of Confusion [AABBCCDD].mp3", где [AABBCCDD] - это его CRC32 контрольная сумма в HEX (шестнадцатеричном представлении). Т.к. файл при скачивании (когда нет ошибок с сетевыми пакетами) всегда у всех имеет один и тот же размер, то в случае повреждения какого-либо байта или блока байт это тут же отразится на контрольной сумме. Но! Почему же MD5 лучше CRC32?.. Давайте посмотрим:
200 Мб = это 200*1024*1024 = 209.715.200 байт. А теперь делим на 4 байта (размер CRC32):
209715200/4 = 52 428 800 - т.е. CRC32 умещается целиком в таком файле 52 миллиона раз! Т.е. существует 52 миллиона варинатов файла размером 200 Мб, у которых CRC32 будет одинаковый, а содержимое - разным! Конечно, случайное (именно случайное!) изменение байт таким образом, чтобы CRC32 совпало, довольно маловероятно (где-то даже вероятность читал, кажется в той же Wiki), но тем не менее, в случае MD5 (16 байт!) - эта вероятность в 4 раза меньше.
Надеюсь, что понятно объяснил. (*улыбается*)

Сразу предупреждаю, что глубоко в MD5/CRC32 не копал - возможно у них могут повторяться контрольные суммы чаще, чем их длинна - например, могут быть совпадающие CRC32 у файла размером в 4 байта. Ещё раз говорю - это только предположение! - честно говоря лень читать все мат.выкладки этих алгоритмов.

Автор: Grom PE Jun 7 2008, 12:06

[OffTopic]

QUOTE(-=CHE@TER=-)
изменение байт таким образом, чтобы CRC32 совпало, довольно маловероятно (где-то даже вероятность читал, кажется в той же Wiki), но тем не менее, в случае MD5 (16 байт!) - эта вероятность в 4 раза меньше.
Вероятность того, что у двух случайно взятых файлов совпадет
CRC32 - 1 из 2^32, а у
MD5 - 1 из 2^128, что в 7.9*10^28 раз менее вероятно.

Автор: -=CHE@TER=- May 22 2009, 13:31

Очередную хрень на тачке знакомого лечил.

Симптомы: неизвестная служба WMISyncDB (её невозможно остановить обычными средствами).
Есть скрытый файл: C:\WINDOWS\System\wmisym.exe
Есть драйвер: C:\WINDOWS\system32\drivers\sysdrv32.sys

Драйвер Symantec грохает как Bot-что-то там, а вот wmisym.exe каждый раз генерится заново - я отослал один такой файл в БД Symantec, его добавили, а не другой машине этот файл (со свежими антивирусными базами) спокойно проходил проверку. Собственно, можно завершить его процесс через Диспетчер задач, а потом БЫСТРО удалить с диска, пока он заново не запустился.
Ещё эта хрень где-то в реестре прописывается, но я точно не помню где - в принципе по имени можно поискать.

Автор: Axsis Aug 17 2009, 17:26

чтоб не создавать новую тему напишу сюда

QUOTE

В интернете появился специфичный для Delphi вирус. Суть его в том, что заражённая программа ищет на диске установленные версии Delphi и, если находит, изменяет файл SysConst.dcu (старая версия сохраняется под именем SysConst.bak), и после этого все программы на Delphi, скомпилированные на этом компьютере, начинают точно так же заражать Delphi на тех компьютерах, где они запускаются. Распространению вируса способствовало то, что некоторые версии популярного мессенджера QIP оказались заражены им (команда разработчиков QIP приносит за это свои извинения). Пока единственный обнаруженный вредный эффект от вируса — это то, что из-за ошибки в его коде при запуске заражённой программы возникает Runtime error 3, если ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\x.0 (x — от 4 до 7) содержит неправильное значение параметра RootDir (для правильного значения ошибки не происходит). Видимо, просто обкатывалась технология распространения вируса.

Проверьте свои версии Delphi и, если найдёте у себя SysConst.bak, выполните следующие действия:
1. Удалите SysConst.dcu
2. Скопируйте SysConst.bak в SysConst.dcu. Важно именно скопировать, а не переименовать, чтобы SysConst.bak тоже остался на диске — это убережёт систему от повторного заражения.

спёрто отсюда: http://habrahabr.ru/blogs/virus/66937/

Автор: -=CHE@TER=- Nov 18 2009, 05:27

Что-то Symantec совсем стал загибаться под тяжестью своих баз - комп уже еле ворочается от процесса Rtvscan.exe, который, к тому же, и памяти нехило так откусывает. В связи с чем крепо задумался о смене антивируса.

Товарищ Axsis, у меня к тебе вопрос, как к пользователю Dr.Web - он всякие кряки и кейгены не трогает или тоже удаляет? Потому что меня в Symantec помимо его прожорливости ещё выбесило что он удаляет все кейгены, кряки и даже файлы от demoscene (эта сволочь удалил мою любимую http://conspiracy.hu/release/64k/prophecy/ от Conspiracy).

Автор: Axsis Nov 23 2009, 23:53

Dr.WEB практически не трогает кейгены и 64к интро, хотя бывают и у него ложные срабатывания.
я в связи с переходом на Win7 x64 был вынужден дома перейти на ESET Smart Security (ESET AntiVirus + firewall), так как поддержка x64 в drweb'е только начала проходить бета тестирование, а ставить себе "сырой" антивирь как-то не хочется - это всё-таки не муз. проигрыватель, садится в систему глубоко, и его баги могут выливаться в BSOD'ы.
так вот ESS (а следовательно и EAV) довольно часто реагирует на пакеры, которыми накрывают кейгены/демки. на распакованные версии молчит как партизан.

Автор: -=CHE@TER=- Jan 16 2010, 09:46

И ещё раз об антивирусах...

Блин, не смог поставить Dr.Web, потому что во-первых, этож надо было додуматься антивирус в инсталлятор .MSI засунуть (распаковал и даже посмотрел куда и чего в реестр пишет, но там некоторые значения ключей только во время выполнения записываются, так что облом вручную поставить), а во-вторых, он, гад, при установке требует планировщик (причём он нужен только для автоматического обновления баз данных - на их форуме прочитал, а я базы всегда сам обновляю когда мне надо) и без него не хочет ставиться. Я у себя планировщик и некоторые другие службы просто уничтожил на корню - даже файлов не осталось. Ставить его ради Dr.Web - да не пошли бы эти криворукие программисты куда-нибудь подальше лесом.

Зато покопавшись в настройках Symantec отключил кэш обновлений - аж 1,5 Гб освободилось!..

Вот ещё недавно у знакомого ставил klcodecpack. У него в системе уже стоял DivX Bundle и последняя лицензионная версия кашпировского. Так вот - это как же надо было сделать этот адский антивирус, чтобы при удалении программы из "Панели управления" с момента нажатия на "Удалить" и до появления окна программы удаления проходило аж 2 минуты?! Эта скотина кашпировский через 2 минуты показывал окно, разрешить ли выполнение этой программы бла-бла-бла. Что он так долго делал - мне совсем непонятно, особенно, если учесть, что он работал на 4-х ядерном процессоре. И самая задница была в том, что этот DivX bundle был отдельными программами: DivX Codec, DivX Converter и там ещё штук 5 всяких DivX... Короче, столько времени на удаление программ я ещё никогда не тратил. Потом уже сообразил, что надо было перед удалением просто вырубить нахрен кашпера... Как этот антивирус работал через одно место - так и продолжает.

Автор: -=CHE@TER=- Mar 30 2010, 13:12

Таки решил поставить Dr.Web. Забегая вперёд скажу, что после установки ещё полдня промучался пытаясь выковырять из системы планировщик - пришлось XPLite ставить (о, до меня сейчас дошло, что для удаления, наверное, придётся планировщик опять ставить... абзац).

Плюсы:
+ Система грузится и работает немного быстрее, по сравнению с Symantec.

Нейтральное:
? Кто-то, не помню, говорил, что у Symantec много процессов в памяти висит, у Dr.Web, кстати, не меньше: spidernt.exe, dwengine.exe, spiderui.exe, SpIDerMl.exe, spideragent.exe - а может, даже, и больше.

Минусы:
- Ублюдский установщик, который делали олигофрены:
а) Он в .MSI - тут вообще без комментариев.
б) Он не ставится без планировщика и это при том, что для нормальной работы программы планировщик нахрен не нужен!
- Замечательная служба поддержки, которая мрачно и тупо игнорирует письма от пользователей и вообще ложит на всё болт.
- Процесс SpIDerMl.exe занимает в памяти около 60 Мб, при этом у Symantec тоже был один жирный процесс, но занимал всего около 50 Мб (Rtvscan.exe, кажется).
- Вырвиглазная работа с проверкой "на лету" - если у Symantec от силы уходило 1-2 секунды на проверку подозрительного файла (с .EXE упаковщиком или другой защитой), чтобы решить вирус это или нет (при этом система работает нормально, только замедляется работа с этим файлом - например просмотр в FAR по F3), то Dr.Web, порой, тупо ставит систему секунд на 15 колом - ничего, кроме движения курсора мышки, не работает! Особенно меня вышибло, когда я рылся в .INF файлах, пытаясь найти лёгкий способ вынести планировщик и тут на текстовом (!) файле C:\WINDOWS\inf\layout.inf Dr.Web вводит систему в кому!

Автор: Axsis Mar 30 2010, 19:09

у веба, начиная с пятой версии, тоже много процессов, это и меня напрягало sad.gif
ща сижу на ESET'е - там как полагается 2 процесса - ядро и gui.
если я не ошибаюсь, SpIDerMl.exe у веба это Spider Mail - модуль антиспама и защиты почтового трафика (25 и 110 порты), я его отключал, так как вложения из писем всегда сохраняю перед открытием, а подозрительные проверяю на ВирусТотале, а антиспам у меня отдельный стоял.
а чем тебе так ненавистен виндовый планировщик? я его всегда на ХР отключаю, но ни разу не удалял unsure.gif
что касается MSI инсталлера - так сейчас любой продукт, подразумевающий административную установку на множество компов по сети, с преднастройкой установки, распространяется именно так. и, по-моему, дураки как раз те разработчики, кто делает иначе dry.gif

QUOTE
Dr.Web, порой, тупо ставит систему секунд на 15 колом

это, судя по всему, плата за редкие ложные срабатывания. когда-то читал, что неизвестные ядру антивируса упаковщики запускаются на его виртуальной машине и анализируется поведение проверяемой программы. Зловреды "никогда" не добавляются в базы по сигнатурам упаковщиков, чем нередко грешат другие антивирусы (тот же есет), мотивируя это тем, что упаковщик редкий и используется, по мнению авторов антивируса, только для троянов (а на практике так же для кейгенов, демок, и т.д. и т.п.)
короче, у всех свои плюсы, свои минусы.
предполагаю, что -=CHE@TER=- сейчас скажет что "Хороший антивирус надо писать самому" biggrin.gif

Автор: -=CHE@TER=- Mar 31 2010, 12:34

QUOTE(Axsis @ Mar 30 2010, 19:09) *
ща сижу на ESET'е - там как полагается 2 процесса - ядро и gui.
ESET - это NOD32 что-ли? А он как по прожорливости ресурсов?

QUOTE(Axsis @ Mar 30 2010, 19:09) *
если я не ошибаюсь, SpIDerMl.exe у веба это Spider Mail - модуль антиспама и защиты почтового трафика (25 и 110 порты), я его отключал, так как вложения из писем всегда сохраняю перед открытием, а подозрительные проверяю на ВирусТотале, а антиспам у меня отдельный стоял.
Я его при установке оставил - пусть проверяет, лишним не будет.

QUOTE(Axsis @ Mar 30 2010, 19:09) *
а чем тебе так ненавистен виндовый планировщик? я его всегда на ХР отключаю, но ни разу не удалял unsure.gif
Понимаешь, у меня старая тачка и я с неё выкашиваю всё, что мне не нежно. Для примера, можно ездить на комбайне. Но скорость выше 20 или 30 (сколько там у него максимум?) км/час ты не получишь. Плюс из-за габаритов не под всякий мост или даже ворота въедешь. Зато можешь убирать зерно с полей. А мне это не нужно - я предпочитаю простую машину, без излишеств, зато компактную (по сравнению с комбайном) и быстро передвигающуюся. Тачку апгрейдить не хочу, т.к. на это есть две причины:
1) Её вычислительной мощности мне вполне хватает для работы.
2) На новом компьютере, скорее всего, придётся ставить 7-ку, потому что охреневшие производители железа драйвера под XP уже не пишут. А новая ОС + новое железо + новые драйвера (без поддержки старых расширений и функций) => старые игры и программы уже не будут работать. А из новых пока что ничего такого не вышло, что заставило бы меня проапгрейдить компьютер или купить новый отдельно для такого случая (к тому же покупка нового не решит проблему с вирусной защитой для старого).

QUOTE(Axsis @ Mar 30 2010, 19:09) *
что касается MSI инсталлера - так сейчас любой продукт, подразумевающий административную установку на множество компов по сети, с преднастройкой установки, распространяется именно так. и, по-моему, дураки как раз те разработчики, кто делает иначе dry.gif
Наверняка .MSI не единственный установщик, который такое позволяет.

QUOTE(Axsis @ Mar 30 2010, 19:09) *
короче, у всех свои плюсы, свои минусы.
предполагаю, что -=CHE@TER=- сейчас скажет что "Хороший антивирус надо писать самому" biggrin.gif
Хе-хе. Да, хотелось бы... Увы, не в этой жизни...

[OffTopic]

Я вообще перфекционист. Если так подумать, то мир не идеальный до ужаса.
Что-то типа такого:
- Вот написал ты программу, а тут выясняется, что у кого-то она в BSoD компьютер выводит или неработает как надо.
- Выясняется, что у человека система кривая.
- Начинаешь приделывать костыли - вносить в код какие-то изменения и исправления для случая "кривая система".
- В конце концов всё это надоедает и хочется написать свою ОС.
- Написал ты свою ОС, но тут выясняется, что драйвера, которые пишут производители, написаны кем попало и как попало, так что даже с идеальной ОС и идеальным ядром лезут ошибки или устройства не работают как надо.
- Начинаешь писать драйвера для своей ОС для всех известных устройств.
- Тут ты выясняешь, что идеально написанные драйвера не работают как надо, т.к. сами устройства собирают кто попало, где попало и из чего попало. Как следствие два, с виду, одинаковых устройства ABC-123 фирмы XYZ работают совершенно по разному и требуют разных драйверов.
- На этом этапе ты начинаешь производить свои комплектующие и сам собирать компьютеры.
- Но тут ты выясняешь, что при выпуске деталей много брака или устройства быстро выходят из строя, а всё потому что материал из которого они производятся был не качественный - добывают, понимаешь, из чего попало, как следует не обрабатывают и вообще, как из этого можно что-то сделать?
- Начинается добыча полезных ископаемых и их обработка...

И так далее, в том же духе до бесконечности.
Как нетрудно увидеть, на практике это не реализуемо совершенно.
Остаётся только тяжело вздохнуть и смириться. (*улыбается*)


Добавлено:
У Dr.Web сегодня версия 6.00 вышла... интересно нужен ли для её установки планировщик, калькулятор или MSPaint?..

Автор: -=CHE@TER=- Apr 7 2010, 14:57

Поставил версию 6.00 Dr.Web:
- Для удаления старой планировщик был не нужен (на удивление).
- Для установки новой - куда ж без него. Благо хоть XPLite под рукой теперь есть.
Программа как работала без планировщика, так и работает. Дебилизм тех, кто делал установщик, виден невооружённым глазом (или у них просто руки не оттуда растут?).
- Заодно решил обновить Apache с 2.2.14 до 2.2.15... Старая версия удалялась минут 5 - при этом процесс dwengine.exe сжирал все ресурсы процессора. Когда мне уже надоело ждать я отключил SpiDer Guard, после чего удаление без проблем быстро завершилось. Как выяснилось точно также дела обстоят с установкой. То ли Dr.Web не любит .MSI, то ли что-то там у них с функцией проверки не так - не знаю. На время установки пришлось его тоже отключать.
- Ещё заметил интересный момент: скачиваешь через FlashGet какой-либо файл. Как только закачка закончилась, то FlashGet зависает секунд на 10-15. При этом, если файл был один и после закачки успеть закрыть программу (быстро - за секунду-другую), то всё ок. Проблемы начинаются, когда качается несколько файлов - один закачался, программа зависла. Те что остались почему-то решив, что закачка оборвалась - начинают качаться заново (файловые обменники или сервера не поддерживающие докачку). Всё - приехали.

Автор: Axsis Apr 7 2010, 20:02

ну даже не знаю, попробуй 4-ю версию поставить, для неё базы тоже ещё обновляются, и она не такая прожорливая до ресурсов.
с флэшгетом ситуация скорее всего следующая: он качает в файл с временным расширением, а потом переименовывает например в *.exe, вот тут то дрвеб новый файлик и проверяет, а программу, совершившую переименование, на время проверки блокирует. такое поведение антивируса вполне логично - на то он и антивирус wink.gif как реагирует флэшгет на подобные "издеветельства" - трудности самого флэшгета (с точки зрения разрабов дрвеба smile.gif)
насколько я помню, download master нормально такие задержки переваривал и продолжал качать другие закачки без разрывов.

Автор: Siberian GRemlin Jul 7 2010, 11:42

Я окончательно удостоверился, что Касперский -- (*ненормативная лексика*). Сначала KIS вызывал у меня на машине синий экран смерти, а теперь (после обновления KIS) он выводит из стоя драйвер сетевой карты (ЛЮБОЙ!, у меня их в компе две). Это мои предположения, т.к. причиной тому что сетевуха отказывается получать адрес IP после своего же запроса, оказался KIS. Причём сбои происходят только если отключить защиту в KIS, т.е. чтобы всё работало надо либо сидеть с включенной защитой либо полностью удалить это ПО. Ещё один занимательный момент, KIS стал резать все входящие пакеты при работе любой сетевой защиты (почта, аська, web). Пришлось их все вырубить чтобы можно было сидеть в сети. Под другим пользователем кстати пакеты не рубит. Рылся в настройках -- не помогло. Да не уйдёт от сокращения тот дебил, который всё это программировал!

Если кто-то сталкивался\слашал, то прошу нашептать мне методы лечения сих недугов. Ибо, за лицензию заплачено -- близкий человек подарил. Я уже предостерёг его от дальнейшего приобретения этого продукта жизнедеятельности.

Автор: -=CHE@TER=- Jul 7 2010, 15:17

Ну, у знакомых стоит на лицензионной 7-ке лицензионный же кашпировский. Тоже пару раз BSoD получали. Просили разобраться, я грешным делом думал что это 7-ка сырая, все обновления поставил - хрен там. Теперь, кажется, я понял что к чему. (*улыбается*)


Я хочу тоже выплеснуть тут немного гнева, но по поводу Dr.Web.
Короче, попользовался пару месяцев этим т.н. "антивирусом" - количество негативных эмоций просто хлещет через край.

Итак, финальный список.

Минусы:
1) Ублюдский установщик, который требует планировщик, хотя антивирусу эта служба для работы вообще никуда не упёрлась.
2) Ублюдская система сканирования файлов, когда при открытии даже текстовых файлов система впадает на полминуты в ступор не отвечая ни на что.
3) Ублюдский эврестический анализ - я неделю ругался со службой поддержи, потому что их антивирус убивал .EXE файл программы на Delphi после того как я применял StripReloc (там НИЧЕГО не было, кроме CreateFile и FileMapping, причём я им даже исходные коды выслал!). Они это поправили - затем (та же программа!!!) стала удаляться если при компиляции после StripReloc ещё и UPX сжать! Опять пришлось ругаться - внесли в исключения, но недавно убили ещё одну мою старую программу на Delphi, которую я писал для скачивания сайтов. Ругаться и писать в службу поддержки я перестал - это, как я понял, бесполезно, т.к. сам по себе антивирус просто ущербный.
4) Ублюдская система карантина - в корне того диска, где найден вирус создаётся скрытый (а в случае NTFS ещё и без прав доступа - не удалишь!) каталог "Drweb Quarantine", куда складируются вирусы. Причём каталог создаётся даже если вирус был удалён как неизлечимый! Чтобы снести этот каталог приходится лезть в свойства и делать себя владельцем. А если ваш знакомый притащил Flash накопитель с вирусом? Не вопрос! Он теперь будет наслаждаться на своей Flash ещё и скрытым каталогом "Drweb Quarantine", несмотря на то, что у него дома вообще другой антивирус стоит - программистам из Dr.Web на это плевать, как и на пользователей. У всех нормальных антивирусов есть каталог "Quarantine Files", где-нибудь в %APPDATA%, но Dr.Web - это русский антивирус - бессмысленный, безжалостный и беспощадный!!!
5) ТОРМОЗНАЯ (да-да! у Dr.Web именно ТОРМОЗНАЯ) система проверки файлов - не поверите, когда писал распаковщик для Zanzarah: The Hidden Portal (в последних обновлениях на сайте есть) - я охренел дожидаться пока архив распакуется, но как только отключил SpiDer Guard - файлы распаковались просто с бешеной скоростью! Та же самая вещь с установкой и удалением программ - переустановка Apache, например, занимает с включённым антивирусом просто дикое количество времени. Нахрен такой антивирус, который постоянно приходится выключать?! Вот, несмотря на то что Symantec был прожорлив и тормозил сильно при загрузке, скорость распаковки файлов с ним не сильно снижалась, при этом вирусы он не пропускал. А ведь я перешёл на Dr.Web именно из-за усиленно распространяемых непонятно кем (отделом по пиару?..) "слухов" про его "быстродействие"!

И, кстати, у меня лиц.версия - мне знакомые люди ключ подарили, с намёком, что Dr.Web "быстрый", мол, тебе пригодится с твоим компьютером...

Плюсы:
1) Не удаляет keygen и crack... хотя на фоне того, что он удаляет мои программы, где никогда вирусов не было - это жиденький плюс.
2) Грузится и обновляется немного быстрее, чем Symantec...

Короче, я сейчас присматриваюсь к другим антивирусам. Вероятность того что я буду переходить с этого ужаса летящего на крыльях ночи под названием Dr.Web равна 500%.

И, кстати, почитал форум Dr.Web - там им пользователи много во что носом тыкали, чтобы исправили. Думаете хотя бы зачесались? Хрен там - только отшучиваются в ответ. Конструктивный диалог невозможен - желаю растерять им всю свою аудиторию и разориться.

Автор: Siberian GRemlin Dec 29 2010, 08:45

Сдох монитор, подключил телек, а он большой слишком, решил сесть подальше, купил беспроводные мышку с клавой, но они отказались работать, также как и полголда назад простая мышь для USB.
Перепробовал все варианты, затем дошло дело до Касперского, стал искать в сети -- http://forum.kaspersky.com/index.php?showtopic=181924&st=0&p=1451277&#entry1451277. Там много злобных возмущений пользователей и тупых ответов админов, но понять в чём дело и как исправить можно.
Я изматерился пока восстановил работу USB, снёс Касперского к чертям собачим. Самое обидное, что он у меня законно купленный и лицензия ещё не кончилась. Но уж лучше без этой дряни, раз их программисты четырёхногие. Что дальше? Ставить Avast?

Автор: -=CHE@TER=- Dec 29 2010, 19:41

QUOTE(Siberian GRemlin @ Dec 29 2010, 08:45) *
Что дальше? Ставить Avast?
Я, вот, сейчас тоже в больших размышлениях. У меня в начале 2011 кончается лицензия на Dr.Web и надо на что-то переходить, потому что на нём оставаться не буду это 200%.

А вот на что переходить - большой вопрос.

Размышляю на тему, а не поставить ли Microsoft Security Essentials (бесплатная, главное, чтобы винда была лицензионная) или Microsoft Forefront Endpoint Protection (старший брат, более навореченный, стоит ~$10 в год - в принципе, не много). Меня удивило то, что их антивирус в не так давно проводимых тестах порвал все другие известные и навороченные антивири. Думаю, можно попробовать.
На серваке который админю (2003 винда) сейчас Microsoft Forefront Endpoint Protection поставил, но я там ничего и не качаю/запускаю из подозрительных вещей (сервер есть сервер), к тому же там мощный комп, так что ничего про скорость работы и плюсы/минусы пока что сказать не могу. Единственное что - обновления антивирусных баз через Windows Update приходят, так что его нельзя отключать. Да и вообще, сервер лучше держать up-to-date дабы не заломали.

Автор: Axsis Dec 29 2010, 23:06

Как показывает практика последних нескольких лет, up-to-date надо держать и личную машину, дабы не возникали эпидемии червей через уязвимость, закрытую уже полгода(!) или даже больше.
MSE не пробовал, но полагаю это доведённая до ума (и портированная на ХР) версия Windows Defender'а из висты/7.
А тесты антивирусов... пожалуй, надо очень потрудиться, чтоб найти что-то более субъективное. Ну по каким параметрам их можно сравнивать? По тому сколько у кого "детектов" из одного конкретного зоопарка в сотню-две зловредов? Так наберите зловредов, гуляющих, например, по Китаю и ворующих пароли от китайских онлайн-банков и соц. сетей и в вашем тесте непременно будет в лидерах антивирь от китайской компании. В русских тестах - русские антивири в лидерах.
Может лучше тот антивирь что быстрее работает? А если он быстр, да слеп? Тоже плохой критерий...
Про количество записей в базах вообще молчу... Каждый считает как ему нравится. Один производитель добавит одну запись на всё семейство, другой - десяток и будет и дальше добавлять. Да и мало лишь найти, надо ещё и уметь правильно обезвредить. Я кажется упоминал случай, когда после заражения системы вирусом, каспер нашел и поудалял файлы, незная как их лечить. (Благо скопировав всё в карантин, откуда они потом были восстановлены и вылечены cureit'ом). А каспер-то себе приплюсовал единичку к количеству записей в базах за этот вирус.
Так что тут только пробовать и искать что больше подойдёт именно для тебя. Для того почти у всех антивирей есть пробный период wink.gif

Автор: -=CHE@TER=- Dec 30 2010, 19:36

QUOTE(Axsis @ Dec 29 2010, 23:06) *
Как показывает практика последних нескольких лет, up-to-date надо держать и личную машину, дабы не возникали эпидемии червей через уязвимость, закрытую уже полгода(!) или даже больше.
Само собой. Просто на домашней тачке я обновления раз в месяц проверяю, потому что если всё время держать службу Windows Update включённой, то временами она начинает отчего-то жрать процессор не по детски (даже когда обновлений-то нет).

QUOTE(Axsis @ Dec 29 2010, 23:06) *
А тесты антивирусов... пожалуй, надо очень потрудиться, чтоб найти что-то более субъективное.
Это да, просто тот конкретный тест, про который я читал проводился какой-то русской компанией, которая, вроде бы, должна была, по идее, за кашпировского или бева быть заангажирована. И они с таким недоумением, помнится, писали, мол, как это так Microsoft только выпустила антивирус и он сразу так хорошо тесты прошёл. В обсуждении статьи "специалисты" же советовали брать Norton 360 (вроде так называется), "за которым будущее" (почти цитата).

[OffTopic]

XBox 360
Norton 360
Пошла мода, блин - один кретин предложил, другие подхватили.
Ждём Windows, Intel и другие продукты с цифрой "360" в названии.

Автор: -=CHE@TER=- Apr 14 2011, 11:50

Dr.Web
Заколачиваю последний гвоздь в крышку гроба этого антивируса - до кучи к моим предыдущим проблемам:
1) Дебильная система обновления: один раз обновились файлы "drweb_en.chm" и "drweb_ru.chm", после чего программа потребовала перезагрузки компьютера (!), т.к. были установлены критические (!!) обновления. Походу у них всё, что не антивирусные базы требует перезагрузки, неважно нужна она или нет.
2) Почему-то Dr.Web помимо программ на Delphi ещё и люто ненавидит Opera - при открытии любой вкладки, даже пустой, программа подвисала на 3-5 секунд. После удаления Dr.Web всё опять стало летать.
3) Когда у меня кончился ключ, Dr.Web продолжал показывать окно с количеством дней до его истечения. Только если раньше было 30, 15, 10, 9... 0, то теперь оно пошло в обратную сторону: 1, 2, 3, 4, 5... и т.д. Слов нет - тупо до невозможности.
4) После удаления этого ублюдского антивируса, я скачал с их FTP программу для окончательного удаления всего за собой (они рекомендуют ей пользоваться если, вдруг, выйдет новая версия их программы, чтобы старая за собой всё убрала) - называется "drw_remover.exe". Запустил, ввёл капчу, она чего-то поделала и предложила перезагрузиться. Перезагрузился. Как было в системе от Dr.Web насрано - так и осталось. Куча какого-то дерьма в Program Files, в %AppData% вообще какие-то .EXE с .DLL валяются, а самое главное - остался EventLog "Doctor Web"! И его ещё хрен удалишь!!! Вот, нашёл как вручную его снести, для тех кто имел несчастие поставить себе это дерьмо под названием Dr.Web:
http://www.jinweijie.com/windows/delete-event-log-manually/
Я искренне желаю всем сотрудникам этой ублюдочной фирмы вечно гореть в Аду!


Microsoft Forefront Endpoint Protection
Упёр с работы этот антивирус. Решил поставить и, что бы вы думали? Он потребовал с меня планировщик! Удалил без зазрений совести.


Microsoft Security Essentials
Решил попробовать его младшего, бесплатного и не такого навороченного брата. Поставить-то поставил, но вот дальше начался гемморой. Как я уже говорил, я держу службу Автоматического обновления всё время выключенной из-за того что она безбожно жрёт процессор. Включаю раз в месяц посмотреть какие новые обновления появились и их поставить. Этот же гадский антивирус сделал морду лопатой и по-тихому включил службу, да не просто включил, а с настройкой загружать и устанавливать не спрашивая никого об этом. Увидев такое дело я вынес через XPLite все скачанные обновления, потому что там был 8-ой Internet Explorer, который я ставить в упор (как и 7) не хочу, потому что мне нужен 6-ой для тестирования сайтов которые я делаю под ним (для Интернета я использую FireFox). Но и тут меня поджидал сюрприз - при отключении службы обновления... отключается и антивирус! Ну надо же! И это убожество тоже пришлось удалять.


ESET NOD32 Antivirus
Поставил это штуку. При установке главное выбрать ручную инсталляцию компонентов и отключить установку ублюдского Яндекс.Бара. После установки в памяти всего два процесса, как Axsis и говорил - ekrn.exe (ядро - 20 Мб) и egui.exe (оболочка - 1,5 Мб). Что, надо заметить, весьма по-божески кушает память в отличие от всех предыдущих антивирусов, не говоря уже о количестве процессов! Насчёт скорости работы, то тоже не могу не удивиться - быстро работает, зараза. Для интереса даже вышел на какой-то подозрительный сайт в гугле ("этот сайт может нанести вред вашему компьютеру") - так всплыло окно, что NOD32 заблокировал какой-то опасный элемент на этом сайте. Т.е. всё работает и, главное, быстро!

В общем, остановился на этом антивирусе - пока полёт нормальный, особых нареканий по работе нет. Разве что при ручном обновлении программа чего-то уж сильно долго думает на первом файле "update.ver".
Чёрт подери, неужели таки нашёл нормальный антивирус? Аж самому не верится. (*улыбается*)

Автор: Axsis Apr 14 2011, 15:03

QUOTE
При установке главное выбрать ручную инсталляцию компонентов и отключить установку ублюдского Яндекс.Бара.

Теперь я, кажется, знаю отличия бизнес версии biggrin.gif
Попробуй поставить http://www.eset.com/business/products/antivirus/ - там нет этой годости. По крайней мере в ESSBE её нету.
Ну и ложечка дёгтя: просканируй есетом папки с 64к интро и ломаным софтом (кейгены, кряки).

Автор: -=CHE@TER=- Apr 14 2011, 15:50

QUOTE(Axsis @ Apr 14 2011, 15:03) *
Теперь я, кажется, знаю отличия бизнес версии biggrin.gif
Хе-хе.

QUOTE(Axsis @ Apr 14 2011, 15:03) *
Попробуй поставить http://www.eset.com/business/products/antivirus/ - там нет этой годости. По крайней мере в ESSBE её нету.
А триальные ключи на него подходят, которые можно на офсайте заказать на почту?

QUOTE(Axsis @ Apr 14 2011, 15:03) *
Ну и ложечка дёгтя: просканируй есетом папки с 64к интро и ломаным софтом (кейгены, кряки).
Ох, умеешь ты обрадывать. (*улыбается*) Ладно, в исключения добавлю каталог тогда. А он начисто удаляет или можно в случае чего взад-назад вернуть удалённое?

Автор: Axsis Apr 15 2011, 15:34

нет, триальные ключи подходят только на триальную версию EAV.
для обновления бизнес-версии - или левые (ворованные) ключи, или неофициальные сервера обновлений. ключи быстрее умирают, а серваки бывают перегружены. лично я обновляюсь с неоф. серваков.
а вообще глянь ветку на руборде на предмет поиска наиболее подходящего варианта лечения, их немало smile.gif

Автор: -=CHE@TER=- May 24 2011, 15:25

Блин, походу я опять буду менять антивирус...
На этот раз, скорее всего, что-нибудь из бесплатного попробую.

У NOD32 заметил две неприятные вещи:
1) Иногда ядро антивируса начинает отжирать 100% процессорного времени и помогает только перезагрузка. Даже если все приложения закрыл и полчаса подождал (ничего не делаешь) - не помогает.
2) После того как первый TRIAL-ключ закончился, я у них на сайте ещё один сделал, однако, походу, разработчики не фраера, так что сделали какую-то защиту (только 1 месяц всё будет работать как надо) - теперь после пары часов работы невозможно установить ни одно соединение - они сразу рвутся. При этом, как выяснилось, ещё и не работают (т.е. нажимаешь, но ничего не происходит) кнопки отключения антивируса! Ну офигеть просто.

Автор: Siberian GRemlin May 25 2011, 02:43

Я пока пользуюсь ESET Smart Security. Из недостатков заметил, что иногда соединения у The Bat вешаются, т.е. весит "соединяюсь" и всё, помогает только кнопка отмены задания и повторный запуск получения почты. Из-за чего пока не понял. Ключи не заказывал и с другими проблемами пока не сталкивался.

Автор: -=CHE@TER=- May 25 2011, 12:39

QUOTE(Siberian GRemlin @ May 25 2011, 02:43) *
Из недостатков заметил, что иногда соединения у The Bat вешаются, т.е. весит "соединяюсь" и всё, помогает только кнопка отмены задания и повторный запуск получения почты.
Во, блин! У меня тоже такое. Думал, что это проблемы на стороне сервера почтового. Хм...

Автор: -=CHE@TER=- Sep 10 2011, 09:30

Всё, моё терпение лопнуло!

NOD32 - ужасное говнище, его авторы - олигофрены, а все награды - куплены.

1) Включаю компьютер.
2) Жду пока все процессы загрузятся (в том числе и NOD32 обновит свои базы и проверит системные файлы).
3) Открываю "Диспетчер задач": Бездействие системы - 99%.
4) ВЫКЛЮЧАЮ проверку файлов и рисков у NOD32.
5) Иду на кухню перекусить на 30 минут.
6) Возвращаюсь - ekrn.exe жрёт 99% проца и, скотина, не хочет это прекращать.

Все программы тормозят и еле ползают, ибо NOD32 жрёт все ресурсы. Каким нужно быть ушлёпком, чтобы написать программу, которая даже в отключённом виде сжирает весь процессор - я даже представить себе не могу.

[OffTopic]

Авторов подобных программ за такие вещи надо бить по роже арматурой.


Короче, NOD32 отправился вслед за Dr.Web на помойку.

Поставил себе AVG Anti-Virus Free Edition 2012. Посмотрим как оно будет жить.

Автор: -=CHE@TER=- Apr 21 2013, 15:13

Лечил сегодня компьютер знакомого от вирусов.
Вроде всё вылечилось (с загрузочного диска кашпировского загрузился), но систему "повело" - перестали запускаться некоторые службы, система стала неработоспособной, после загрузки практически ничего не работает.
Загрузился с чистого дистрибутива Windows XP SP3 RU на CD. Выбрал установку системы, затем, когда программа определила уже установленный Windows, выбрал восстановление.
Всё шло хорошо, пока система не подтянула уже установленные драйвера на материнскую плату.
При этом она выдала запрос в духе, что данные драйвера не имеют подписи бла-бла-бла, вы действительно хотите их поставить да/нет? У знакомого два компьютера дома, оба достаточно старые, но на обоих USB мышки и клавиатуры.
Так вот, перед установкой драйверов на материнку, USB отключается! А до этого и клавиатура и мышка в установщике работают.
Всё, приехали. Нужно что-то выбрать для продолжения установки, а ничего не работает. Legacy USB devices в BIOS включено (уже гуглил).
Пошли в магазин и купили PS/2 клаву (Defender). Приходим, втыкаем - не работает. Перегружаемся, всё равно не работает. Что интересно на втором компе тоже самое. Приходим в магазин, продавец при нас втыкает в современный комп, включает его и клавиатура видна. Мистика.™
Беру у себя дома старую (в 2002 году брал) PS/2 клаву и мышку. Прихожу к знакомому и втыкаю - комп не видит. Перегружаюсь - заработало! Установка, наконец-то заканчивается и система снова работает.
Казалось бы PS/2 он и в Африке PS/2 - а вот хрен там, в новых железяках что-то наменяли.

Автор: -=CHE@TER=- May 23 2015, 12:47

Двумя сообщениями выше я писал, что поставил себе AVG Anti-Virus Free Edition 2012.
Сам по себе антивирус неплох, но:
- ему нужно 500 Мб для обновления свободного места, когда от силы 100-150 обновления занимают;
- ставит какой-то AVG Do Not Track во все обозреватели и его вручную удалить нельзя (в Firefox, например, кнопка Uninstall вообще серая) - только отключить.
В общем, бесящих вещей в нём было достаточно, но сильно не напрягал.

Недавно он начал меня задабливать, мол, обновись на AVG Anti-Virus Free Edition 2015.
Чёрт с ним - обновился. Обычно, когда обновляешься со старой версии на новую, то там всё хуже и ужасней. Тут, наоборот, чёртов Do Not Track наконец-то удалили, зато появилась такая хрень как "Permanently Shred with AVG" в контекстном меню при щелчке правой клавишей мышки на любой файл или каталог. Штука эта удаляет файл начисто, так что не восстановить. В контекстном меню оно мне не нужно и оно оттуда не удаляется. Вернее как, http://techdows.com/2013/09/avg-2014-how-to-remove-permanently-shred-with-avg-option-from-context-menu.html через команду "regsvr32 /u avgse.dll", но после обновления оно вернётся назад. О том, что эта штука всех бесит https://forums.avg.com/ww-en/avg-forums?sec=thread&act=show&id=234432 ещё с 2013 года, но делать ничего не хотят.

Автор: Siberian GRemlin May 23 2015, 13:02

Ого! Получается, у меня уже четыре года стоит «ESET Smart Security». Проблем не заметил. Бесплатные ключи (типа для ознакомления) приходится раз в месяц брать в сети и вписывать.

Автор: -=CHE@TER=- May 28 2015, 11:45

AVG 2015 такая лолка - скачал сегодня обновления (он каждый день сам обновляется), начал их ставить и завис. Т.е. в процессах висят два msiexec.exe и ничего не делают. Я перезагрузил компьютер, Windows XP нормально перегрузился, ничего при выключении не висело. После перезагрузки антивируса в трее нет и в списке процессов тоже - он, вообще, не загрузился! При попытке загрузить вручную говорит что какая-то его avg-чего-то-там.dll не найдена, поэтому он не может работать. Залез в "Установку и удаление программ", при попытке сделать "Изменить" или "Удалить" всё висит точно также с двумя msiexec.exe в памяти. Пришлось лезть на сайт антивируса и качать оттуда установщик. Слава богу хоть он заработал и я там выбрал "Восстановление". После того как всё восстановилось, оно полезло качать обновления (200+ Мб!), которые, вроде бы, встали нормально, во всяком случае сейчас всё работает.
А, вообще, конечно, антивирус который сам себя ломает - это что-то с чем-то.

Автор: -=CHE@TER=- Oct 2 2015, 15:08

Всё, я так больше не могу - мучительно хочется кому-нибудь в глаз дать, но не знаешь с кого начать...
Прошу отнестись серьёзно к тексту ниже, т.к. он касается всех.

Итак, с чего бы начать?.. Позавчера товарищ Siberian GRemlin прислал мне на почту письмо (за что ему спасибо), сказав что он не может зайти на мой сайт (ctpax-cheater) т.к. его блокирует Интернет-обозреватель.
Кто не знал - современные оборзеливатели тягают откуда-то список "плохих сайтов" и если ваш сайт туда угодил, то пользователи зайти к вам не смогут. Я современными программами не пользуюсь, ибо хрень на палочке, так что об этой проблеме не знал. Стал искать кто эти списки составляет - тоже, кстати, нетривиальная задача, ибо кто этим только не занимается. Вышел вот сюда:
https://www.stopbadware.org/clearinghouse/search
Вбил туда адрес своего сайта и узнал, что мой сайт аж с марта (!) в блокировке из-за какого-то ThreatTrack. Нагуглил их сайт:
http://www.threattracksecurity.com/resources/submissions.aspx
Зашёл в "Blocked website" и объяснил, что у меня нет никаких вирусов и прочей фигни - потрудитесь объяснить, за что вы мой сайт заблокировали. Сегодня опять зашёл на stopbadware.org и смотрю - с моего сайта блокировка снята (1 октября - когда на ThreatTrack написал). Но теперь в истории моего сайта есть запись, что он был в блокировке с марта по октябрь. Это, конечно, не судимость, но очень неприятно.
А теперь то, что меня ОСОБЕННО БЕСИТ. Я проверил свой сайт на трёх сервисах:
virustotal.com/en/url/...
google.com/safebrowsing/diagnostic...
urlvoid.com/...
И только VirusTotal.com сказал, что мой сайт был проверен в марте (всё совпадает) и 1 (ОДИН!) антивирус что-то там нашёл - чёртов BitDefender! Самое главное - я сделал ещё раз проверку сайта на VirusTotal.com и там больше ничего не нашлось - сайт прошёл проверку всеми антивирусами.

Вы понимаете что происходит?
- какие-то уроды пишут кривой антивирус BitDefender, который всё считает вирусами;
- кто-то, на каком-то сервисе, отправляет мой сайт на проверку;
- мой сайт блокируется 1 (одним!) куском не буду говорить чего, но это был BitDefender;
- из-за 1 (одного!!!) ложного срабатывания мой сайт попадает в чёрный список, который непонятно кто распространяет и непонятно кто составляет;
- и теперь хозяину сайта, который об этом всём ни сном ни духом, нужно где-то и как-то искать кто, когда и как занёс его сайт в этот чёртов чёрный список, чтобы оттуда удалиться;
- но самое главное - хоть тебя и убрали из списка, но история о том что твой сайт был в блокировке так и останется - и это при том, что блокировка была из-за ЛОЖНОГО срабатывания!!!

Я понимаю что борьба с вирусами, фишинговыми сайтами и прочее и прочее. Но это уже маразм какой-то. Если пользователь дебил, то можно сколько угодно защищать его от подобных сайтов - он всё равно туда залезет. Зато страдают все остальные. И, вообще, благими делами вымощена дорога известно куда. На данный момент Интернет уничтожают не столько вирусы и фишинговые сайты, сколько антивирусные компании блокирующие всё подряд.
Люди, что с вами не так?!

Автор: Siberian GRemlin Oct 2 2015, 15:28

Мне почему-то думалось, что я раньше прямо в «лисе» видел кнопки «пожаловаться на сайт» и что-то типа «опровергнуть жалобу». Но вчера сколько не пытался так и не нашёл ничего похожего. Была только кнопка «игнорировать» предупреждение о вредоносном сайте и лазить по нему «на свой страх и риск», что я и сделал.

Автор: -=CHE@TER=- Feb 1 2016, 18:25

QUOTE(Siberian GRemlin @ May 23 2015, 13:02) *
Ого! Получается, у меня уже четыре года стоит «ESET Smart Security». Проблем не заметил. Бесплатные ключи (типа для ознакомления) приходится раз в месяц брать в сети и вписывать.
Народ, а кто ещё чем пользуется? AVG что-то совсем испортился - от рекламных окошек уже задолбался отбиваться, не говоря уже о том, что он начал открывать обозреватель со ссылкам на свой сайт.
Ознакомиться с концентрированной ненавистью по этому поводу можно здесь: https://support.avg.com/answers?id=906b0000000DA01AAG
Особенно офигеваешь, когда узнаёшь, что даже купившие программу люди всё равно видят этот спам, причём у некоторых окон кнопка "X" (закрыть) нажимается, но не работает!
Там есть ссылка вот на эту статью, где описано как это безобразие отключить можно: http://www.wilderssecurity.com/threads/avg-2013-2014-disable-the-advertising-tiles-and-panel.357139/
Я у себя удалил следующие каталоги:
awacs
banners
Notification
Tuneup
И создал вместо них пустые файлы с такими же именами - я давно так делаю, когда хочу чтобы программы не могли сохранять свой мусор на жёсткий диск - они не могут создать каталог если там уже существует файл с тем же именем (берите этот хитрый способ на вооружение, кстати). Посмотрим, будут ли у меня новые окошки с рекламой лезть.

Так вот, я и хотел узнать кто чем ещё пользуется? В той теме рекомендовали Panda, вроде как, даже говорят что быстрее AVG, но хотелось бы услышать все мнения. Список антивирусов, которые я попробовал и они мне не подошли в этой теме есть. (*улыбается*) Так что если есть что новое - предлагайте, если нет - тогда, наверное, Panda попробую.

Добавлено:
А ещё нужно добавить в файл:
C:\WINDOWS\system32\drivers\etc\HOSTS
Строчку:
0.0.0.0 campaign.avg.com
Вот тогда точно никаких окошек лезть не будет.
Главное, не забудьте добавить файл в исключения антивируса, а не то он будет на него ругаться.

Автор: Siberian GRemlin Feb 2 2016, 03:42

Всё тем же. Проблем нет. Очень редко не выключается игровой режим антивируса (отдельный процесс) после выхода из игры — но он легко сносится через диспетчер задач.

Автор: RAYN3 Feb 3 2016, 22:30

QUOTE
каталог если там уже существует файл с тем же именем (берите этот хитрый способ на вооружение, кстати). Посмотрим, будут ли у меня новые окошки с рекламой лезть.

еще полезно поставить галочки только чтение, помогает от особо умных программ)

Автор: Axsis Feb 4 2016, 22:07

QUOTE(Siberian GRemlin @ Feb 2 2016, 06:42) *

Всё тем же. Проблем нет. Очень редко не выключается игровой режим антивируса (отдельный процесс) после выхода из игры — но он легко сносится через диспетчер задач.

Аналогично, по-прежнему пользуюсь ESET Smart Security. На данный момент 8.0, но имхо, от версии к версии добавляют много левых фич (левых лично для меня - типа антивора или родительского контроля). Так что можно ставить и версию по-старее - хоть 4.2. Базы для старых версий так же обновляются.

Автор: -=CHE@TER=- Jul 24 2016, 11:04

Продолжаю заниматься всяким непотребством с антивирусами.

AVG что-то совсем захирел - вчера выдал окно, что его служба накрылась тазом, мол, отправьте отчёт разработчикам. После этого я понял, что его пора сносить. Кстати, после целого года всплыващих рекламных окон (которые, к слову, как уже писал выше, даже те кто использовал платную версию отключить не могли) они таки добавили возможность отключать рекламу насовсем (в платной версии) или на 3 дня максимум (в бесплатной версии), но по умолчанию эта опция стоит в "показывать всегда" (в обеих версиях) и находится в дебрях настроек... За этот год уже все кто только мог отказались от их долбанной программы, так что, как говорится, дорога ложка к обеду - всё было сделано криво, неправильно, а, главное, слишком поздно.

Короче, поставил Avira Free Antivirus.
Это, кусок не скажу чего, битый час устанавливался, затем полез обновлять свои базы - вроде и не так много скачал (около 30 Мб), но поставить не смог - ошибка 258. Погуглил - говорят переустановите. Ну спасибо, я только поставил, ещё час ждать меня просто заломало. Ещё такая ошибка возникает при кривой программе-обновлялке (updater), но это пишут аж за 2011 год и на сайте производителя страница с решением этой проблемы не существует (пришлось в веб-архиве смотреть). Ещё такая ошибка была у какого-то немецкого пользователя, где ему на форуме производителя ответили, что нужно 2 Гб оперативной памяти (вдумайтесь в эти безумные требования!!!) для обновления.
Тут ещё можно написать про чудовищную скорость работы и кучу процессов в памяти (планировщик (sched), теневое что-то там (shadow) и ещё штук 5 жрущих память), но это уже лишнее.
В общем, удалил я этот антивирус тоже.

Поставил BitDefender Free. Не менее удивительная херня. Всё не просто адово тормозит, а система, вообще, постоянно пребывает в коме. Плюс из настроек есть только вкл./выкл. антивируса и вкл./выкл. переодической проверки важных системных файлов. Всё. Нет, реально всё. Больше ничего нет. Ни задать когда обновления будут скачиваться, ни действия при обнаруженных угрозах, ни файлы и каталоги исключений - НИЧЕГО. Простояла эта херня у меня сутки (просто поздно было что-то ещё ставить - спать пошёл), после чего тоже удалилась, когда не следующий день, во время работы, я увидел вот это:

QUOTE
Microsoft Visual C++ Runtime Library

Program: ...gram Files\Bitdefender\Antivirus Free Edition\gzserv.exe

R6025
- pure virtual function call

(OK)
После чего оно сдохло и попросило перезагрузиться, т.к. "с антивирусом обнаружена какая-то странная фигня".
Кстати говоря, открыть CTPAX-X.org и форум у меня под этим антивирем не получилось сходу - он выдаёт предупреждение о нежелательном сайте (ШТА-А-А?!). Отправил им сообщение о False-Positive, правда проверить будет не на чем.

В итоге поставил я Avast! Free Antivirus. Пока что, и работает достаточно быстро, не глючит и памяти жрёт сносно. Ещё понравилось достаточно большое количество настроек и возможность отключить установку всяких ненужных модулей в установщике (главное ещё убрать установку ср@ного хромого гугля, а то этот недообозреватель почему-то идёт в комплекте). Поглядим что да как в перспективе.

Автор: Siberian GRemlin Jul 26 2016, 17:03

Обновил «ESET Smart Security» до девятой версии. Всё отлично. Единственное — почему-то не хочет выключить напоминание/предложение о своих возможностях защиты соединения с банком когда я захожу в интернет-банк.

Автор: -=CHE@TER=- Aug 7 2016, 11:45

Допишу ещё чутка про Avast - похоже остановлюсь на нём.

1) Несмотря на то, что антивирус бесплатный для домашнего и некоммерческого использования, после установки он работает всего 30 дней, а потом его нужно регистрировать. Регистрация бесплатная, но не сразу вкупаешь что произошло и почему вылезло окошко об окончании срока действия триального ключа. Сам же ключ нужно получать на специальной https://www.avast.com/en-us/registration-free-antivirus.php, действует он ровно год, но продлять, как я понял, можно сколько угодно раз.

2) Увы, Avast подвержен той же болезни, что и Dr.Web - ненависть к программам на Delphi 7, причём даже без использования DCC32HACK. Приходится на время написания программы отключать антивирус или вносить каталог с ней в исключения, чтобы каждый новый сгенерированный компилятором исполняемый файл не улетал в карантин. Кстати, почему-то ещё и на последнюю версию STUNS ругнулся, что, вообще, за гранью моего понимания - отправил им файл на исследование, чтобы занесли в исключения антивирусной БД.

3) Ужасно раздражает алгоритм проверки со всплывающим окном, о том что программа де запущена на 15 секунд в песочнице дабы поглядеть что это за зверь. Практически все программы, которые я ещё не запускал после установки этого антивируса, напарываются на это окно.

4) Почему-то очень (ОЧЕНЬ) долгое выключение компьютера. Экран "Идёт сохранение настроек..." в Windows может висеть до 5 минут.

В остальном антивирусом доволен. Каких-то особых тормозов не замечено - даже система стартует быстро (по сравнению с другими антивирусами - а это уже не мало)! Память тоже достаточно по божески жрёт - в оперативке всего два процесса этого антивируса. В общем, остаюсь на нём.

Автор: Siberian GRemlin Aug 8 2016, 02:54

Судя по описанию, мазохизм пользователя является системным требованием этого антивируса. Используй «ESET Smart Security».

Автор: Siberian GRemlin Aug 16 2016, 02:03

Проблема с интернет-банком исчезла.

Автор: -=CHE@TER=- Aug 16 2016, 06:15

Что-то сделал или оно само рассосалось?

Автор: Siberian GRemlin Aug 16 2016, 16:35

Само, может обновление.

Автор: Siberian GRemlin Nov 24 2016, 02:10

Думал, что https://www.google.ru/search?q=%D0%BE%D0%B1%D0%BD%D0%BE%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5+windows+7+%D0%BF%D1%80%D0%BE%D1%86%D0%B5%D1%81%D1%81+%D0%B6%D1%80%D1%91%D1%82+%D0%BF%D0%B0%D0%BC%D1%8F%D1%82%D1%8C чисто мелкомягкая. Никак не мог понять почему это происходит когда я сразу отключил все обновления ОС. Оказалось, нужно отключить обновление операционной системы в антивирусе «ESET Smart Security 9», который принудительно запускал его при каждой загрузке ОС и каждые 24 часа.

Автор: -=CHE@TER=- Nov 24 2016, 09:54

Этой хернёй, кстати, многие антивирусы страдают.
И ладно бы они только какие-нибудь критические обновления ставили, так нет же ставят всё, даже то, что тебе нахрен не нужно.
А система обновлений в Windows, да, через одно место написана (и я удивлён, что в 7-ке это не исправили) из-за чего она практически постоянно работает и жрёт 100% проца. У кого несколько ядер или HT какое-нибудь, то не так заметно, а когда у тебя один процессор обычный, то из-за работающей службы обновления тотально всё тормозит. Так что предпочитаю включать её вручную чтобы проверить наличие новых и поставить обновления, а в остальное время всегда держать выключенной.

Автор: -=CHE@TER=- Jan 17 2017, 15:04

Avast меня поражает и убивает!
Это, блин, как надо было написать антивирус...
Пишу программу на сях + WinAPI.
Всё было отлично, пока не добавил в ресурсы (ресурсы, блин!) строчку с сообщением об ошибке.
Пересобираю экзешник - вылетает "Win32:Evo-gen [Susp]". Я сижу охреневаю. Убрал строку - опять всё ок.
Вернул строку назад забив абракадаброй - опять улетает. Добавил ещё пару строк - опять всё ок.
Короче, эмпирическим путём удалось выяснить, что если размер программы ровно 20 Кб (20480 байт), то Avast считает её "Win32:Evo-gen [Susp]"!
Эврестический анализ? Контрольные суммы на худой конец?
Не, не слышали - у нас передовая технология - по размеру файла, блин!

Автор: -=CHE@TER=- May 3 2018, 10:12

Ушёл с Avast'а. Ибо оно в систему своих драйверов для перехвата всего понатолкало, в результате чего я офигевал с непонятных перезагрузок, синих экранов и много другого треша.
Короче, я вернулся на AVG2013 (эпопея с его поиском и выковыриванием из веб архива, а также установкой ещё та была), но потом он перестал обновляться да и тормозил страшно.
Перешёл я на Panda Antivirus, благо что разработчики завляли что будут поддерживать Windows XP.
Всё было неплохо, но в один далеко не прекрасный момент он перестал обновляться.
Почему? Потому что у разработчиков руки растут не из того места и теперь для работы службы обновления нужен .Net Framework 4.0 (долбанный сты-ы-ыд!!!). Обматерив всё, пришлось ставить эту мерзость себе на компьютер.
А тут новая напасть - последние два дня PSUAService.exe падает каждые 10 минут с ошибкой unknown software exception (0x40000015 - STATUS_FATAL_APP_EXIT) по адресу 0x78B2D635.
Написал в службу поддержки со скриншотом ошибки и мне предложили переустановить антивирус начисто.
Ну, думаю, так не пойдёт. Подцепился отладчиком когда в очередной раз упало и поглядел в чём там дело.
Короче, служба антивируса каждые 10 минут лезет на www.pandasecurity.com и качает оттуда какой-то XML с новостями. До 1-го числа всё было нормально, а после туда добавили новость с ошибкой в XML разметке. Библиотека PSCCGUIUtils.dll антивируса распарсивает XML и, видя ошибку, кидает исключение (долбанный стыд x 2). Это исключение никто не ловит и оно вылетает на системный уровень, где система и завершает сервис с упомянутой выше ошибкой (долбанный стыд x 3). Но, само по себе, что сервис антивируса падает из-за каких-то нафиг никуда не упёршихся новостей, которые вполне себе можно скачать когда, скажем, ты админку открыл - это пять. В общем, отписался службе поддержки о косяке, посмотрим что ответят и поправят ли. А, пока что, как временное решение, забанил в файле HOSTS сайт с новостями:
0.0.0.0 www.pandasecurity.com
Потому что каждые 10 минут нажимать OK во всплывающем окне (не говоря уже о том, что оно просто ужасно раздражает) дофига неудобно. Обновления качаются с другого домена, так что блокировка конкретно этого не должна особо влиять на работу антивируса. Хорошо хоть оно само себя восстанавливало после падения.
В остальном антивирус не плохой - работает шустро, ложные срабатывания есть, но их немного.

Добавлено:
Таки да. На следующий день ответили и починили - весьма оперативно. Правда я не заметил, чтобы у PSCCGUIUtils.dll поменалась дата создания, что говорит о том, что либо они исключения выше ловят (из модуля, откуда функции этой библиотеки вызывались), либо поправили XML, что, конечно же, проблемы не решает - до следующего раза, когда опять кривую новость запостят. Но будем надеяться на лучшее.

Автор: -=CHE@TER=- Oct 22 2018, 14:10

Помогал знакомому разобраться с последним Firefox на Windows 10.
Практически все сайты использующие HTTPS не открываются. И если какие-то можно добавить в исключения, то, например, Google и YouTube открыть нельзя, ибо там вылазиет какое-то сообщение про HSTS и кнопка "Добавить исключение" вообще отсутствует. Что только не делал, даже новый профиль создавал. Погуглил с этой ошибкой, с другого компа, выяснилось, что на это может влиять неверно установленное системное время, кривой файл с БД сертификатов в Firefox (cert8-что-то-там), а также погода на Марсе. Но, помимо всего прочего, и антивирус кашпировского. Зашёл в настройки и отключил там, как и советовали в статье, проверку HTTPS - всё заработало! Включаю назад - опять всё блокируется. Начал гуглить дальше, но уже с запросом "кашпировский, Firefox, HSTS". Вышёл на форум кашпировского, где их об этой проблеме ещё в 2016 (!) году спрашивали и спрашивающий тоже отключил проверку, ибо никак это побороть не смог. Но я так просто не сдался и начал гуглить дальше. В итоге всё ж нагуглил решение: нужно в настройках Firefox импортировать сертификат кашпировского откуда-то из AppData\кашпировский\Data\Cert...
Ка-а-ак?! Как, блин, человек поставивший себе эту ср*нь вместо антивируса должен был догадаться до этого?!
Годы идут, но кашпировский как был кучей не скажу чего, так и остаётся.
Стабильность, однако.