[Greyman]

Цитата Vadikan:

Есть еще любопытный список http://www.spywarewarrior.com/rogue_anti-spyware.htm это подозрительные борцы с адваре или вообще оборотни (типа борются, но сами только ставят свое адваре). Вот уже точно для ИБ...

[hasherfrog]

Интересный момент: я много-часто дёргал гугль в поисках чего-то-там-уже-не-помню, в результате гугль меня заподозрил в гадостях и отослал на свою страничку, посвященную antivirus'ам и адаварям. Первым в списке убийц стоит Ad-Aware SE Personal edition, for free. Кто юзал? Или это такой рекламный ход?

[Greyman]

hasherfrog

Цитата:

Первым в списке убийц стоит Ad-Aware SE Personal edition, for free. Кто юзал? Или это такой рекламный ход?

Нормальная вещь, от коммерческой отличается отсутствием возможности мониторить изменения в реальном времне. Самая распространенная в Инете, а поэтому наверное и попала на 1-ое место. На самом деле, это не идеальный вариант. Если по качеству, то найденная Вадом ссылка (я уидал 2-мя постами выше) наглядно демонстрирует качество подобных программ. Странно, что туда не попал еще одна очень распространенная прога - WinPatrol. Ну сами такие сравнения - не постоянны. От версии к версии лидеры могут легко меняться, однако это в очередной раз доказывает, что самое распространенное - далеко не значит, что самое лучшее... Кто догадался, в чей камень огород, тому - пирожек...

Привет.
сразу вопрос - а почему не задевают антиспайварьный софт самого Билла?
там есть встроенный монитор
А вообще вопрос в другом: есть ли там закладки, посылающие инфу на microsoft.com, и можно ли от них избавится?




Извините, что не вовремя, но интересно

[Greyman]

Shamil

Цитата:

сразу вопрос - а почему не задевают антиспайварьный софт самого Билла?

Не задевают где? Если про форум - то в новостях ПО тема довольно давно появилась...

Цитата:

А вообще вопрос в другом: есть ли там закладки, посылающие инфу на microsoft.com, и можно ли от них избавится?

Как только появилось, то сразу попала в шпионскую базу DrWeb'ба, т.к. проявляла активность, свойственную шпионам - осуществление обмена с сетью даже при оключении соответствующих настроек (новости, обновления и т.п.). Стандартное решение защиты (есть-нет - вопрос спорный, но маздаю точно не лишне) - персональный сетевой экран (аутпост, кейро, зоне-аларм и т. д. и т. п.).

[das]

Очень хорошая бесплатная программа Олега Зайцева, на мой взгляд гораздо лучше Ad-aware и Спубота

http://z-oleg.com/secur/avz.htm

Антивирусная утилита AVZ предназначена для обнаружения и удаления:

* SpyWare и AdWare модулей - это основное назначение утилиты
* Dialer (Trojan.Dialer)
* Троянских программ
* BackDoor модулей
* Сетевых и почтовых червей
* TrojanSpy, TrojanDownloader, TrojanDropper

Утилита является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление SpyWare и троянских программ.
Особенностями утилиты AVZ (помимо типового сигнатурного сканера) является:

* Обновляемая база безопасных файлов. В нее входят цифровые подписи десятков тысяч системных файлов и файлов известных безопасных процессов. База подключена ко всем системам AVZ и работает по принципу "свой/чужой" - безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений, база используется антируткитом, системой поиска файлов, различными анализаторами. В частности, встроенный диспетчер процессов выделяет безопасные процессы и сервисы цветом, поиск файлов на диске может исключать из поиска известные файлы (что очень полезно при поиске на диске троянских программ);
* Встроенная система обнаружения Rootkit. Поиск RootKit идет без применения сигнатур на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только обнаруживать RootKit, но и производить корректную блокировку работы RootKit для своего процесса. Противодействие RootKit распространяется на все сервисные функции AVZ, в результате сканер AVZ может обнаруживать маскируемые процессы, система поиска в реестре "видит" маскируемые ключи и т.п. Антируткит снабжен анализатором, который проводит обнаружение процессов и сервисов, маскируемых RootKit. Одной из главных на мой взгляд особенностей системы противодействия RootKit является ее работоспособность в Win9X (распространеннное мнение об отсуствии RootKit, работающих на платформе Win9X глубоко ошибочно - известны сотни троянских программ, перехватывающих API функции для маскировки своего присутствия, для искажения работы API функций или слежения за их использованием).
* Детектор клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger и троянских DLL ведется на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать заранее неизвестные троянские DLL и Keylogger;
* Нейроанализатор. Помино сигнатурного анализатора AVZ содержит нейроэмулятор, который позволяет производить исследование подозрителных файлов при помощи нейросети. В настоящее время нейросеть применяется в детекторе кейлоггеров
* Встроенный анализатор Winsock SPI/LSP настроек. Позволяет проанализировать настройки, диагностировать возможные ошибки в настройке и произвести автоматическое лечение. Возможность автоматической диагностики и лечения полезна для начинающих пользователей (в утилитах типа LSPFix автоматическое лечение отсутствует). Для исследования SPI/LSP вручную в программе имеется специальный менеджер настроек LSP/SPI. На работу анализатора Winsock SPI/LSP распространяется действие антируткита;
* Встроенный диспетчер процессов, сервисов и драйверов. Предназначен для изучения запущенных процессов и загруженных библиотек, запущенных сервисов и драйверов. На работу диспетчера процессов распространяется действие антируткита (как следствие - он "видит" маскируемые руткитом процессы). Диспетчер процессов связан с базой безопасных файлов AVZ, опознанные безопасные и системные файлы выделяются цветом;
* Встроенная утилита для поиска файлов на диске. Позволяет искать файл по различным критериям, возможности системы поиска превосходят возможности системного поиска. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом файлы и может удалить их), фильтр позволяет исключать из результатов поиска файлы, опознанные AVZ как безопасные. Результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно пометить группу файлов для последующего удаления или помещения в карантин
* Встроенная утилита для поиска данных в реестре. Позволяет искать ключи и параметры по заданному образцу, результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно отметить несколько ключей для их экспорта или удаления. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом ключи реестра и может удалить их)
* Встроенный анализатор открытых портов TCP/UDP. На него распространяется действие антируткита, в Windows XP для каждого порта отображается использующий порт процесс. Анализатор опирается на обновляемую базу портов известных троянских/Backdoor программ и известных системных сервисов. Поиск портов троянских программ включен в основной алгоритм проверки системы - при обнаружении подозрительных портов в протокол выволятся предупреждения с указанием, каким троянских программам свойственно использование данного порта
* Встроенный (и защищенный антируткитом) анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов. Работает в Win9X и в Nt/W2K/XP.

[Greyman]

Статья по обсуждаемой теме от того же автора, что и программа, упомянутая das'ом - SpyWare, Trojan, Backdoor ... - угроза безопасности вашего ПК

[Erekle]

AVZ понравился, даже очень. Например, нашел TrojanDownloader.Win32.INService.i и TrojanDownloader.Win32.Small.aao, один из них - в файле ietcom.dll, который в свое время прозевали NAV (хотя и ликвидировал вторичный файл этого йетком-а - dmstwe.exe) и множество anty-spyware программ.

Отмечу это: "...что позволяет достаточно уверенно детектировать заранее неизвестные троянские DLL и Keylogger" - да, действительно нюхает хорошо, убедил несколькими примерами!

Но то же время он пропустил Trojan dropper в Downloaded Program Files\#.exe, которого, расшевеленного от спячки сканированием AVZ, мигом стащил у него и сожрал NAV. Это в который раз подтверждает, что для более-менее спокойной жизни надо иметь парочку антивирусов и пол-дюжины антишпионов. Другое дело, что тогда половину времены надо отвести на обслуживание всего этого софтяка.

[Кстати, не по теме, но к слову - а может, косвенно и по теме - если станете бить мою голову на метод полного просмотра и доступа ко всему содержимому фолдера Downloaded Program Files, буду признателен!]

[Greyman]

Есть еще 2-ва класса программ, предоставляющими профилактическую защиту от различны вредоносных воздействий:
1. Драйвера-"песочницы" системных процессов, осуществляющие жесткий контроль за всеми процессами происходящими в системе. Один ин представителей такого ПО является "DiamondCS ProcessGuard"

2. Программы, автоматически восстанавливающие первоначальное состояние системы после перезагрузки, независимо от произошедших перед перезагрузкой изменений в вистеме. Примерами такого ПО могут служить "Deep Freeze" и "ShadowUser" (обсуждение велось в этой теме).

Я здесь (в инете) новичок,если кто поможет,буду благодарен.
Суть: При работе в windows xp sp2 после подключении к интернету (диал ап) и во все ввремя подключения с периодичностью в 3-5 минут выскакивает сообшение:

---

Цитата:

Проблема Появляется окно службы сообщений с рекламным объявлением из Интернета. Причина Такое поведение наблюдается в случае приема сообщения net send от пользователя службы сообщений Windows. Эта служба предназначена для передачи между клиентскими компьютерами и серверами сообщений net send и сообщений службы оповещений. Например, с ее помощью пользователям сети рассылаются административные оповещения. Кроме того, служба сообщений используется самой операционной системой и другими программами. Например, Windows использует ее для отправки сообщения о выполнении задания печати или отключении электричества и переходе в режим питания от ИБП. В некоторых случаях с помощью службы сообщений передаются уведомления антивирусной программы. Служба сообщений не имеет отношения к веб-обозревателю, программе электронной почты, Windows Messenger или MSN Messenger. Подобное поведение возможно в случае выполнения следующих условий. • Запущена служба сообщений. • Запущена служба удаленного вызова процедуры. • Для данного подключения к Интернету разрешена пересылка входящих широковещательных пакетов NetBIOS (NetBIOS по TCP/IP) и UDP. Решение Для устранения этой неполадки следует установить или включить межсетевой экран, который блокирует входящие широковещательные пакеты NetBIOS и UDP. Необходимые действия зависят от используемой операционной системы и типа подключения к Интернету. Ниже рассмотрены возможные варианты конфигурации и соответствующие методы решения проблемы. Непосредственное подключение к Интернету Если компьютер подключен к Интернету напрямую (с помощью высокоскоростного модема, DSL-модема или удаленного доступа), то следует установить межсетевой экран и блокировать с его помощью входящие широковещательные пакеты NetBIOS и UDP. На компьютере под управлением Windows XP Если на компьютере установлена ОС Windows XP и используется прямое подключение к Интернету (с помощью высокоскоростного модема, DSL-модема или удаленного доступа), установите пакет обновления 1 (SP1) для Windows XP и включите брандмауэр подключения к Интернету (ICF). После установки пакета обновления 1 (SP1) для Windows XP брандмауэр подключения к Интернету способен блокировать весь входящий трафик (одноадресный, многоадресный и широковещательный). После установки пакета обновления 2 (SP2) для Windows XP брандмауэр Windows включается по умолчанию. Временное решение В качестве временного решения проблемы можно отключить службу сообщений. Для этого выполните следующие действия. 1. Нажмите кнопку Пуск и выберите пункт Панель управления (или Настройки, а затем – Панель управления). 2. Дважды щелкните значок Администрирование. 3. Дважды щелкните значок Службы. 4. Дважды щелкните запись Служба сообщений. 5. В поле Тип запуска выберите значение Отключено. 6. Нажмите кнопку Стоп, а затем – ОК. Примечание. После остановки службы сообщений уведомления службы оповещений (например, антивирусного программного обеспечения) передаваться не будут. Кроме того, не запускаются службы, которые зависят непосредственно от службы сообщений, и в журнале системных событий регистрируется соответствующее сообщение об ошибке. Исходя из этих соображений, корпорация Майкрософт рекомендует вместо отключения службы сообщений установить межсетевой экран и заблокировать входящий трафик NetBIOS и RPC. Источник: KB330904