B-boy/StyLe/ Публикувано Октомври 28, 2009 Report Share Публикувано Октомври 28, 2009 В крайна сметка всичко минава тихо и спокойно и ако ти бях казал да сканираш с MBAM ти и досега нямаше да разбереш, че в компютъра си имаш руткит/макар и спорно твърдение/ Много спорно, защото MBAM открива въпросния файл... c:\WINDOWS\system32\drivers\oreans32.sys (Rootkit.Agent) -> Quarantined and deleted successfully. Combofix и останалитре средства за анализ също: ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))). -------\Legacy_OREANS32-------\Service_oreans32 И не на последно място...че няма да се инсталира на все по-масовите x64 О.С. Поздрави ! Цитирай Link to comment Сподели другаде More sharing options...
tanganika Публикувано Октомври 28, 2009 Author Report Share Публикувано Октомври 28, 2009 Привет Tanganika,Ако се абстрахираме, че това е тестова ситуация, какво е станало?Харесал си една програма, видял си на сайта, че е чиста, изтеглил си я, разархивирал и стартирал. През това време защтната ти формация многократно е искала различни позволения и ти си ги давал, защото не си имал индикация за опосност. По същият начин, когато си правил тестове си давал блокиращи правила, защото си знаел за наличието на опасност и това Night_Raven се опитваше да ти обясни. В крайна сметка всичко минава тихо и спокойно и ако ти бях казал да сканираш с MBAM ти и досега нямаше да разбереш, че в компютъра си имаш руткит/макар и спорно твърдение/ което значи, че Комодо не е предотвратил тази критична ситуация. Аз също съм попадал в подобни ситуаций, но никъде не съм твърдял, че притежавам перфектна защита.Искаш да кажеш че ако от антивирусната лаборатория на която съм изпратил за анализ даден файл ми отговорят че е чист може да са се заблудили/да са пропуснали зловредния код в него.Не съм твърдял че Комодо е перфектната/непреодолима защита но вероятността да попадна на зловредния код който да я преодоле е толкова малка че клони към нула.Поздрави Цитирай Link to comment Сподели другаде More sharing options...
mihnev_sz Публикувано Октомври 28, 2009 Report Share Публикувано Октомври 28, 2009 Искаш да кажеш че ако от антивирусната лаборатория на която съм изпратил за анализ даден файл ми отговорят че е чист може да са се заблудили/да са пропуснали зловредния код в него.Не съм твърдял че Комодо е перфектната/непреодолима защита но вероятността да попадна на зловредния код който да я преодоле е толкова малка че клони към нула.ПоздравиЕстествено,за какво ти е Comodo в случая.По тази логика и без него клониш към 0.Пак до антивирусните допря. Разминаване в коментарите ти, колкото искаш ,май не помниш какво пишеш и какво твърдиш,ако искаш да ти го изкарам черно на бяло. Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Октомври 28, 2009 Report Share Публикувано Октомври 28, 2009 вероятността да попадна на зловредния код който да я преодоле е толкова малка че клони към нула.Да напомня, че това не се отнася само за Comodo. Цитирай Link to comment Сподели другаде More sharing options...
tanganika Публикувано Октомври 28, 2009 Author Report Share Публикувано Октомври 28, 2009 Естествено,за какво ти е Comodo в случая.По тази логика и без него клониш към 0.Пак до антивирусните допря. Разминаване в коментарите ти, колкото искаш ,май не помниш какво пишеш и какво твърдиш,ако искаш да ти го изкарам черно на бяло. Как за какво ми е Комодо ползвам стената и HIPS-а му.Ти защо не се възползваш от твоята логика и не ползваш само уиндоуската стена като защита ?Не ползвам антивирусна,единствено при нужда ползвам напълно безплатно познанията на работещите в антивирусните лаборатории,защото нямам доверие на антивирусния софтуер. Цитирай Link to comment Сподели другаде More sharing options...
Pe6o Публикувано Октомври 29, 2009 Report Share Публикувано Октомври 29, 2009 Здравей B-boy/StyLe/,Приемам реакцията ти като нормална впредвид специалното ти отношение към MBAM.Това е тест който многократно е проиграван и аз не мога да си позволя да предложа нещо, което да застраши сигурността на ОС.Трябва внимателно да се чете написаното, за да не се налага да се повтарям.".....защото си разрешил нещо което ти е непознато и реално погледнато безвредно-системният файл oreans32." http://img527.imageshack.us/img527/1684/oreans32final.jpg"Но по начина на разпространението му по ОС се приема, че е възможно да изпълнява нерегламентирани действия и някой защитни програми от по-висок класго определят като действие заплашващо сигурността на системата"и го показвам нагледно.Казваш:Много спорно, защото MBAM открива въпросния файл...За спорното съм съгласен. Между реда, който показваш и снимката с резултата от сканирането,както и лога на tanganika има голяма разлика и тя е във връзка с " начина на разпространението му по ОС......"Защото, ако приемем, че това е зловреден код и MBAM го обработи по този начин ще сме в ситуация "file not found" т.е. неработещ но не премахнат процес. При следващо стартиране или някаква друга ситуация файла отново ще се възстанови от някой записи в регистъра, който според твойта снимка не са обект на интервенция от страна на защитната програма. Подобни ситуаций съм срещал във форума.Само, че при мене /32&xp/MBAM не открива нищо.http://img94.imageshack.us/img94/2278/oreans32p.jpghttp://img527.imageshack.us/img527/8748/oreans32bfinal.jpgИнтересно как файла е попаднал при тебе?Здравей Тanganika,не разбра ли сложноста на този тест: чист файл да ти зарази системата? Пълен абсурд, но на практика излиза така."Не съм твърдял че Комодо е перфектната/непреодолима защита но вероятността да попадна на зловредния код който да я преодоле е толкова малка че клони към нула". Точно това твърдиш, щом клони към нула според мене означава, че е перфектна, но не знам каква оценка ще получи, когато стигне нулата? "Не ползвам антивирусна,единствено при нужда ползвам напълно безплатно познанията на работещите в антивирусните лаборатории,защото нямам доверие на антивирусния софтуер"Нали това са хората, който правят антивирусният софтуер.Tks. http://img147.imageshack.us/img147/9682/1aaj.gifhttp://img147.imageshack.us/img147/5963/nm1aa.gif Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Октомври 30, 2009 Report Share Публикувано Октомври 30, 2009 Здравей Pesho,Май не ме разбра...Нямам по-специално отношение към MBAM, нито към SAS, нито към която и да е подобна програма.Просто това не е нова "инфекция" за тях и MBAM се справя не по-зле от SAS.Аз да съм позволил...нещо непознато...пак не позна. Първо, че съм изключително мнителен на тази тема, второ файла не е попадал при мен...Не е трудно, човек да използва Google за да разбере че се засича и от MBAM (а и без да използвам Google съм го засичал из темите за анализ - анализ с който се занимавам и аз и то задълбочено вече от няколко годинки).http://www.bleepingcomputer.com/forums/index.php?s=&showtopic=232855&view=findpost&p=1295278Както виждаш MBAM добре си почиства и регистрите. Всъщност единствения минус на MBAM е, че е атакувана директно от зловредния код и след това тя не може да си свърше работата, докато не бъдат поправени пораженията върху нея. Работи се и в тази насока, за подобряване на самозащитата на инструмента.Добре си дал снимка и лог...но нали знаеш, че подобни резултати могат да бъдат лесно манипулирани и не на последно място не се вижда версията на дефинициите с които е извършена проверката.Ако MBAM не е обновяван с месеци е възможно да е "проспала" тази "зараза". Но в такива случаи на помощ идват - RSIT, DDS, Combofix, OTlistIt/OTMoveIt и т.н.И не файла не е попаднал при мен. Лично аз съм с Windows 7 x64...и подобна "зараза" няма особен шанс срещу тази платформа.Поздрави. Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Октомври 30, 2009 Report Share Публикувано Октомври 30, 2009 Добре си дал снимка и лог...но нали знаеш, че подобни резултати могат да бъдат лесно манипулирани и не на последно място не се вижда версията на дефинициите с които е извършена проверката.То затова по принцип е редно да се копира самия текст от лога, което е винаги по-лесно и по-удобно от създаването на screenshot. Тогава обаче не може да се постави воден знак за самореклама, което явно е най-важно от всичко. Цитирай Link to comment Сподели другаде More sharing options...
-TEN4O- Публикувано Октомври 30, 2009 Report Share Публикувано Октомври 30, 2009 Здравейте.Водейки се все пак от заглавието на темата моля да ми препоръчате защитна стена с ХИПС.Нека препоръките ви се определят не само от ресурсоемкоста.Благодаря.(сега съм с Комодо но искам да пробвам друга поради мои подозрения към нея) Цитирай Link to comment Сподели другаде More sharing options...
Гост tnn Публикувано Октомври 30, 2009 Report Share Публикувано Октомври 30, 2009 Здравейте.Водейки се все пак от заглавието на темата моля да ми препоръчате защитна стена с ХИПС.Нека препоръките ви се определят не само от ресурсоемкоста.Благодаря.(сега съм с Комодо но искам да пробвам друга поради мои подозрения към нея)Не я ползвам заради същото. За мен за момента най-доброто е http://www.privacyware.com/personal_firewall.html Поздрави Цитирай Link to comment Сподели другаде More sharing options...
-TEN4O- Публикувано Октомври 30, 2009 Report Share Публикувано Октомври 30, 2009 Privatefirewall честно казано бях я свалил преди да пиша тук но се чудя още. А под подозрения имам предвид че много гадно ми замръзва системата.И по-преди ми е предлагал да се изгаври с explorer.exe сега на нова инсталация ми замръзва.При стартиране на ново за него приложение кликнах върху линка който е на самия прозорец с неговият алерт и ПС-то замръзна..та така не съм решил още... Цитирай Link to comment Сподели другаде More sharing options...
mihnev_sz Публикувано Октомври 30, 2009 Report Share Публикувано Октомври 30, 2009 А под подозрения имам предвид че много гадно ми замръзва системата.И по-преди ми е предлагал да се изгаври с explorer.exe сега на нова инсталация ми замръзва.При стартиране на ново за него приложение кликнах върху линка който е на самия прозорец с неговият алерт и ПС-то замръзна..та така не съм решил още...Проблема не е в Comodo според мен.Предполагам сте с последната версия на продукта."Замръзването" най-често се дължи при евентуален конфликт м/у защитен софт, проблем с драйвър на видеокарта или рязко покачване на натоварването на процесора и той в случая не може да обработи навреме заявките и командите.Но, така или иначе и двете предложени до тук защитни стени, са едни от най-леките и са сравнително добре бих казал перфектно уравновесени,относно заемани ресурси,добра съвместимост с повечето от известните програми в защита,бъговете са сведени почти до 0 и предлаганата защита е на сравнително добро ниво. Цитирай Link to comment Сподели другаде More sharing options...
tanganika Публикувано Октомври 30, 2009 Author Report Share Публикувано Октомври 30, 2009 Здравейте.Водейки се все пак от заглавието на темата моля да ми препоръчате защитна стена с ХИПС.Нека препоръките ви се определят не само от ресурсоемкоста.Благодаря.(сега съм с Комодо но искам да пробвам друга поради мои подозрения към нея)Online Armor Free изключително лесна за ползване като лично според мен е нужно поставянето на 3 отметки в настройките. Цитирай Link to comment Сподели другаде More sharing options...
The Graverobber Публикувано Октомври 30, 2009 Report Share Публикувано Октомври 30, 2009 да но в последните версии е доста бъгава. например на 5.0.0.32 не успях да си стартирам уиндоуса поради ерор при логина и се наложи през сейф мод да я махна. често ми се появяват и сини екрани поради незнайна причина. предишните версии обаче бяха определено по-стабилни. за мен пс туулс е най-добра, не защото има 99% на матошек, ами поради простия си интефейс и своята автоматизираност. Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Октомври 31, 2009 Report Share Публикувано Октомври 31, 2009 Най-смислените и същевременно безплатни защитни стени с HIPS са Comodo Internet Security, Online Armor Free, PC Tools Firewall Plus, Outpost Firewall Free и Privatefirewall. Всяка си има предимства и недостатъци и всяка една от тях е достатъчно надеждна, за да се ползва. Цитирай Link to comment Сподели другаде More sharing options...
Препоръчан пост
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.