Антивирусните програми - дискусии, мнения и съвети

[Гост tnn]

Damto,значи ти помагаш на Касперски като им пращаш нов зловреден код и в същото време раздаваш пиратски ключове за същата програма,ей на това казвам аз етика само така я няма да се излагаме

Би ли уточнил къде ги раздава, за да отида там да събирам вредоносен код - после ще го предоставим не само на КасперскиЛаб. Защото най-много такъв има при сайтовете с порно и пиратски всякакви истории...На мен за какво ми са ключове - другото е по-интересно. Поздрави

[The Graverobber]

ето резултата от авг 9 с 8мия архив

[Гост tnn]

ThreatFire 4.6.0 Free вероятно е най-особената програма разпознавана от Центъра на защита при Win XP като антивирусна.Вижте сравнението http://www.threatfire.com/download/ Най-важното си е налице и не е орязано. Поздрави

[The Graverobber]

ето резултат с нод32

http://prikachi.com/images.php?files/1116466b.jpg

[damto]

Добро представяне на НОД,като се има впредвид,че файловете отдавна са изпратени

Когато тестваш,тествай в рамките на час след сваляне на файловете,после е излишно.

 

Потенционално опасни връзки

 

 http://orav4abdustorabe.com/files/_Add_._d_
http://enkafuleskohuj.com/lA1BY0rlZ5r8Y0/R4EO7pqH2B
http://enkafuleskohuj.com/1/installer/Installer.exe
http://enkafuleskohuj.com/1/installer/InstallerClean.exe
http://pafersbasedos.com/lA1BY0rlZ5r8Y0/R4EO7pqH2B
http://pafefrsbasedos.com/lA1BY0rlZ5r8Y0/R4EO7pqH2B
http://tertfunwavosgav.com/lA1BY0rlZ5r8Y0/R4EO7pqH2B
http://uliope3wrdanogad.com/1/remover.exe
http://myscanonline.info/
http://theprotectour.com/dspg.js

 

и тъй нанатък

[The Graverobber]

nikssi, касперски и нод са двете антивирусни, които имат сравнително най-бързи обновявания, но да вземем например една panda cloud. при нея резултатите хич не са на ниво. от десетия архив тя намери едва 2 троянеца и 4 съмнителни файла, които своевременно бяха изтрити без никакво запитване... като цяло нод и касперски са убедителните лидери за мен. останалите имат още какво да догонват.

пп: clamwin въобще нищо не засича :(

[The Graverobber]

ето ви малко сравнение между нортън, нод32 и касперски на един и същи архив

[Гост tnn]

"като цяло нод и касперски са убедителните лидери за мен. останалите имат още какво да догонват." Тези лидери ThreatFire 4.6 Free например не ги счита за подобни - и постига сродни резултати като защитеност без да ми ограничава достъпа! Второто е по-важно от създаващите паника съобщения - особено за случаите, когато там изобщо няма вредоносен код... Поздрави

[Night_Raven]

ThreatFire няма нищо общо с антивирусните програми. Няма повод за намесването й.

[Гост tnn]

ThreatFire няма нищо общо с антивирусните програми. Няма повод за намесването й.

Да и аз се изненадах от разпознаването на v.4.6 Free и от центъра на защита на WIN XP като валидна и в действие антивирусна програма. И за мен си бе добър безплатен IDS - за съчетаване с други програми.

[tanganika]

Да не кажете че не ползвам антивирусни програми

 

http://i37.tinypic.com/2cp9sfc.jpg

 

http://i38.tinypic.com/2qvfix5.jpg

 

С подходящи настройки Китаеца не разрешава инсталиране на драйвери

Винаги са ме привличали антивирусните които и без дефиниции могат да блокират потенциално опасни/зловредни процеси

 

Pesho,защо тук има само нули след процесите които контролира Rising ?

 

Driver file HOOKHELP.sys

Usermode file C:\WINDOWS\system32\drivers\hookhelp.sys

Full path (AUX) \SystemRoot\system32\drivers\HOOKHELP.sys

Description (FILE) HookHelp.sys

Company (FILE) Beijing Rising Information Technology Co., Ltd.

Product (FILE) Rising security Software 2009

Signature Signed

Description (REG)

DisplayName (REG)

ImagePath (REG)

ImageBase 0xF77E7000 (HOOKHELP.sys)

ImageSize 28672

ObjName (OBJ)

Obj Path (DO) <unnamed>

DRIVER_OBJECT 0x00000000

Obj Type 0

Obj flags 0x00000000

Obj attr 0x00000000

Handles 0

Pointers 0

DriverEntry 0x00000000

DriverUnload 0x00000000

DriverStartIO 0x00000000

FastIoDispatch 0x00000000

IRP_MJ_CREATE 0x00000000

IRP_MJ_CREATE_NAMED_PIPE 0x00000000

IRP_MJ_CLOSE 0x00000000

IRP_MJ_READ 0x00000000

IRP_MJ_WRITE 0x00000000

IRP_MJ_QUERY_INFORMATION 0x00000000

IRP_MJ_SET_INFORMATION 0x00000000

IRP_MJ_QUERY_EA 0x00000000

IRP_MJ_SET_EA 0x00000000

IRP_MJ_FLUSH_BUFFERS 0x00000000

IRP_MJ_QUERY_VOLUME_INFORMATION 0x00000000

IRP_MJ_SET_VOLUME_INFORMATION 0x00000000

IRP_MJ_DIRECTORY_CONTROL 0x00000000

IRP_MJ_FILE_SYSTEM_CONTROL 0x00000000

IRP_MJ_DEVICE_CONTROL 0x00000000

IRP_MJ_INTERNAL_DEVICE_CONTROL 0x00000000

IRP_MJ_SHUTDOWN 0x00000000

IRP_MJ_LOCK_CONTROL 0x00000000

IRP_MJ_CLEANUP 0x00000000

IRP_MJ_CREATE_MAILSLOT 0x00000000

IRP_MJ_QUERY_SECURITY 0x00000000

IRP_MJ_SET_SECURITY 0x00000000

IRP_MJ_POWER 0x00000000

IRP_MJ_SYSTEM_CONTROL 0x00000000

IRP_MJ_DEVICE_CHANGE 0x00000000

IRP_MJ_QUERY_QUOTA 0x00000000

IRP_MJ_SET_QUOTA 0x00000000

Notes E

Related modules <not found>;Ntfs.sys;Fs_Rec.SYS;tcpip.sys;mrxsmb.sys;Cdfs.SYS;Fastfat.SYS

 

 

Драйверите на Rising също като Sandboxie контролират ntoskrnl.exe

 

Driver file HookSys.sys

Usermode file C:\WINDOWS\system32\drivers\hooksys.sys

Full path (AUX) \SystemRoot\system32\drivers\HookSys.sys

Description (FILE) Hooksys.sys

Company (FILE) Beijing Rising Information Technology Co., Ltd.

Product (FILE) Rising security Software 2009

Signature Signed

Description (REG)

DisplayName (REG) hooksys

ImagePath (REG) system32\drivers\HookSys.sys

ImageBase 0xB1F15000 (HookSys.sys)

ImageSize 135168

ObjName (OBJ) hooksys

Obj Path (DO) \Driver\hooksys

DRIVER_OBJECT 0x89652510 ()

Obj Type 26

Obj flags 0x00000036

Obj attr 0x00000010

Handles 1

Pointers 1

DriverEntry 0xB1F169D4 (HookSys.sys)

DriverUnload 0xB1F16222 (HookSys.sys)

DriverStartIO 0x00000000

FastIoDispatch 0x00000000

IRP_MJ_CREATE 0xB1F1549E (HookSys.sys)

IRP_MJ_CREATE_NAMED_PIPE 0x804FA87E (ntoskrnl.exe)

IRP_MJ_CLOSE 0xB1F1549E (HookSys.sys)

IRP_MJ_READ 0x804FA87E (ntoskrnl.exe)

IRP_MJ_WRITE 0x804FA87E (ntoskrnl.exe)

IRP_MJ_QUERY_INFORMATION 0x804FA87E (ntoskrnl.exe)

IRP_MJ_SET_INFORMATION 0x804FA87E (ntoskrnl.exe)

IRP_MJ_QUERY_EA 0x804FA87E (ntoskrnl.exe)

IRP_MJ_SET_EA 0x804FA87E (ntoskrnl.exe)

IRP_MJ_FLUSH_BUFFERS 0x804FA87E (ntoskrnl.exe)

IRP_MJ_QUERY_VOLUME_INFORMATION 0x804FA87E (ntoskrnl.exe)

IRP_MJ_SET_VOLUME_INFORMATION 0x804FA87E (ntoskrnl.exe)

IRP_MJ_DIRECTORY_CONTROL 0x804FA87E (ntoskrnl.exe)

IRP_MJ_FILE_SYSTEM_CONTROL 0x804FA87E (ntoskrnl.exe)

IRP_MJ_DEVICE_CONTROL 0xB1F168F2 (HookSys.sys)

IRP_MJ_INTERNAL_DEVICE_CONTROL 0x804FA87E (ntoskrnl.exe)

IRP_MJ_SHUTDOWN 0x804FA87E (ntoskrnl.exe)

IRP_MJ_LOCK_CONTROL 0x804FA87E (ntoskrnl.exe)

IRP_MJ_CLEANUP 0x804FA87E (ntoskrnl.exe)

IRP_MJ_CREATE_MAILSLOT 0x804FA87E (ntoskrnl.exe)

IRP_MJ_QUERY_SECURITY 0x804FA87E (ntoskrnl.exe)

IRP_MJ_SET_SECURITY 0x804FA87E (ntoskrnl.exe)

IRP_MJ_POWER 0x804FA87E (ntoskrnl.exe)

IRP_MJ_SYSTEM_CONTROL 0x804FA87E (ntoskrnl.exe)

IRP_MJ_DEVICE_CHANGE 0x804FA87E (ntoskrnl.exe)

IRP_MJ_QUERY_QUOTA 0x804FA87E (ntoskrnl.exe)

IRP_MJ_SET_QUOTA 0x804FA87E (ntoskrnl.exe)

Notes

Related modules

Driver file RsNTGdi.sys

Usermode file C:\WINDOWS\system32\drivers\rsntgdi.sys

Full path (AUX) \SystemRoot\system32\Drivers\RsNTGdi.sys

Description (FILE) RsNTGDI

Company (FILE) Beijing Rising Information Technology Co., Ltd.

Product (FILE) Rising AntiVirus 2009

Signature Signed

Description (REG)

DisplayName (REG) RsNTGDI

ImagePath (REG) system32\Drivers\RsNTGdi.sys

ImageBase 0xBA5E7000 (RsNTGdi.sys)

ImageSize 4096

ObjName (OBJ) RsNTGDI

Obj Path (DO) \Driver\RsNTGDI

DRIVER_OBJECT 0x88922A48 ()

Obj Type 26

Obj flags 0x00000036

Obj attr 0x00000010

Handles 1

Pointers 1

DriverEntry 0xBA5E7580 (RsNTGdi.sys)

DriverUnload 0xBA5E750A (RsNTGdi.sys)

DriverStartIO 0x00000000

FastIoDispatch 0x00000000

IRP_MJ_CREATE 0xBA5E72A0 (RsNTGdi.sys)

IRP_MJ_CREATE_NAMED_PIPE 0x804FA87E (ntoskrnl.exe)

IRP_MJ_CLOSE 0xBA5E72A0 (RsNTGdi.sys)

IRP_MJ_READ 0x804FA87E (ntoskrnl.exe)

IRP_MJ_WRITE 0x804FA87E (ntoskrnl.exe)

IRP_MJ_QUERY_INFORMATION 0x804FA87E (ntoskrnl.exe)

IRP_MJ_SET_INFORMATION 0x804FA87E (ntoskrnl.exe)

IRP_MJ_QUERY_EA 0x804FA87E (ntoskrnl.exe)

IRP_MJ_SET_EA 0x804FA87E (ntoskrnl.exe)

IRP_MJ_FLUSH_BUFFERS 0x804FA87E (ntoskrnl.exe)

IRP_MJ_QUERY_VOLUME_INFORMATION 0x804FA87E (ntoskrnl.exe)

IRP_MJ_SET_VOLUME_INFORMATION 0x804FA87E (ntoskrnl.exe)

IRP_MJ_DIRECTORY_CONTROL 0x804FA87E (ntoskrnl.exe)

IRP_MJ_FILE_SYSTEM_CONTROL 0x804FA87E (ntoskrnl.exe)

IRP_MJ_DEVICE_CONTROL 0xBA5E736E (RsNTGdi.sys)

IRP_MJ_INTERNAL_DEVICE_CONTROL 0x804FA87E (ntoskrnl.exe)

IRP_MJ_SHUTDOWN 0x804FA87E (ntoskrnl.exe)

IRP_MJ_LOCK_CONTROL 0x804FA87E (ntoskrnl.exe)

IRP_MJ_CLEANUP 0x804FA87E (ntoskrnl.exe)

IRP_MJ_CREATE_MAILSLOT 0x804FA87E (ntoskrnl.exe)

IRP_MJ_QUERY_SECURITY 0x804FA87E (ntoskrnl.exe)

IRP_MJ_SET_SECURITY 0x804FA87E (ntoskrnl.exe)

IRP_MJ_POWER 0x804FA87E (ntoskrnl.exe)

IRP_MJ_SYSTEM_CONTROL 0x804FA87E (ntoskrnl.exe)

IRP_MJ_DEVICE_CHANGE 0x804FA87E (ntoskrnl.exe)

IRP_MJ_QUERY_QUOTA 0x804FA87E (ntoskrnl.exe)

IRP_MJ_SET_QUOTA 0x804FA87E (ntoskrnl.exe)

Notes

Related modules

[Night_Raven]

Какво имаш предвид под "контролират ntoskrnl.exe"?

[tanganika]

Какво имаш предвид под "контролират ntoskrnl.exe"?

Да прав си изразил съм се неправилно , по-скоро защитава ntoskrnl.exe от промени.

От това което пише wikipedia стигам до извода че ако зловреден код се възползва от ntoskrnl.exe получава пълна власт над ОС.

[B-boy/StyLe/]

Новината вече е малко стара, но все пак да се даде повече гласност:

 

Iobit 360 "краде" дефиниции от MBAM:

 

IOBit Steals Malwarebytes' Intellectual Property

 

Следете тази тема:

 

http://www.malwarebytes.org/forums/index.php?showtopic=29681&pid=152610&st=0entry152610

 

[Night_Raven]

Не бях особено изненадан, когато го прочетох. IObit все пак са китайци, а тях си ги знам по принцип колко са коректни като цяло. Освен това единственият им продукт, който поне малко става за нещо, е Smart Defrag, макар да не е кой знае какво.

На всичкото отгоре от IObit отричат обвиненията. Явно ама въобще не са прочели публикациите в дълбочина, защото щяха да видат що за доказателства има срещу тях. Китайска му работа.