DrWeb как всегда отличился не в лучшую сторону =(

[Stronger412]

Вчера на клиентской машине нашли вирус, который пропускали все кроме Каспера.

 

Решил сделать доброе дело - разослать по техподдержкам антивирусных продуктов. Наш "любимый" и "ненаглядный" ДрВеб успел и здесь выделиться - от всех получил письма с благодарностью в течение 4х часов. Быстрее всех среагировала кстати техподдержка НОД32, а вот письмо от дрвеба:

 

"Ваш запрос был обработан Автоматической Системой. Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует."

 

а дальше комментарий из серии сам-дурак:

"Если на Вашем компьютере сканер Dr.Web не обнаруживает эту угрозу, пожалуйста, убедитесь, что:

1) вирусная база Dr.Web на Вашем компьютере обновлена;

2) дополнение вирусной базы Dr.Web с добавленной записью уже выпущено.

Обычно дополнение выходит в течение часа после добавления записи. Вы можете отследить выход дополнений на сайтах http://updates.drweb.com и http://live.drweb.com

Если после этого сканер Dr.Web по-прежнему не обнаруживает угрозу либо обнаруживает и устраняет угрозу, но через некоторое время она появляется вновь, пожалуйста, обратитесь в службу технической поддержки ООО "Доктор Веб"."

 

Последний раз при подобной ситуации (обнаружение вируса который ни онлайн сканер ни локальный не ловили) общение с тп затянулось почти на НЕДЕЛЮ! Меня попросили установить модуль сведений о системе, потом через 2-3 суток начали говорить что у меня на компьютере обнаружен SpyBot, который "мешает антивируснику корректно работать", и все это вместо того чтобы просто признать что вируса небыло в базе =/...

 

Вобщем, устав от бесперспективного общения когда я должен доказывать что это не я совершил ошибку я закрыл запрос. Теперь вот такой поворот с новым вирусом....

 

Походу они в конец уже совесть потеряли, кстати, не удержусь и выложу еще кое что про наш "любимый" и "замечательный" "антивирусник"

 

Выдержки некоторых пунктов из лицензионного соглашения... Я конечно понимаю что никто его не читает но.... зря. Потратьте пожалуйста пару минут и прочитайте следующие ниже пункты, напомню только что продук является ПЛАТНЫМ.

 

"3. Имущественные права на лицензируемое по данному Договору ПО остаются у Правообладателя. Вам предоставляется право сделать такое число копий лицензионного ключевого файла, которое необходимо для установки ПО на обозначенное в ключевом файле количество компьютеров (серверов либо рабочих станций). Дополнительно Вы можете хранить не более двух резервных копий лицензионного ключевого файла. Вы не имеете права передавать эти копии третьим лицам либо помещать их на носители, доступные третьим лицам, а также размещать их в сети Интернет или ином открытом доступе. В случае обнаружения лицензионных ключевых файлов с не истекшим сроком действия в открытом доступе, Правообладатель имеет право в одностороннем порядке прекратить действие настоящего Договора. В случае порчи или потери законно приобретенного лицензионного ключевого файла, Правообладатель может принять меры для повторного предоставления Вам этого ключа, однако Правообладатель оставляет за собой право руководствоваться при этом коммерческой целесообразностью.

Вам также запрещено осуществлять распространение ПО, то есть, предоставлять прямой или косвенный доступ к ПО (или его компонентам), воспроизведенному в любой материальной форме и любым способом, в том числе, сетевыми или иными способами, а также путем продажи, сдачи в наем, предоставлении взаймы, включая импорт для любой из этих целей, или при оказании любого рода услуг (выполнении работ) по договорам с третьими лицами с прямым или косвенным использованием ПО.

6. ПО и сопутствующая ему документация предоставляются Вам "КАК ЕСТЬ" ("AS IS"), в соответствии с общепринятым в международной практике принципом. Это означает, что за проблемы, возникающие в процессе установки, обновления, поддержки и эксплуатации ПО (в том числе: проблемы совместимости с другими программными продуктами (пакетами, драйверами и др.), проблемы, возникающие из-за неоднозначного толкования сопроводительной документации, несоответствия результатов использования ПО Вашим ожиданиям и т.п.), Правообладатель ответственности не несет.

Любое лицо, юридическое или физическое, использующее данное ПО на законных основаниях, должно понимать, что несет полную ответственность за возможные негативные последствия, вызванные несовместимостью или конфликтами ПО с другими программными продуктами, установленными на компьютере этого лица. ПО не предназначено и не может быть использовано в информационных системах, работающих в опасных средах либо обслуживающих системы жизнеобеспечения, в которых сбой в работе ПО может создать угрозу жизни людей или повлечь большие материальные убытки.

7. Договор вступает в силу с момента получения Вами лицензионного ключевого файла. Срок действия Договора отражается в лицензионном ключевом файле и соответствует выбранному варианту права по использованию ПО. Договор может быть прекращен Правообладателем в одностороннем порядке в случае нарушения Вами любого из положений настоящего Договора."

 

Особенно радут пункт 6.... Я все больше и больше проникаюсь уважением к этому продукту....

[KelVin]

мда, тоже неоднократно посылал им вирусы, которые не видит вебер.

[MOZG]

Как проявился этот вирус и что он делает?

[MOZG]

Вопрос к тому что не все антивирусники работают корректно. Если антивирусник нашол вирус, то это совсем не значит что это вирус и есть. Когда пользовался Симантиком, он часто проги для кряка пиратских программ принимал за неизлечимо инфицированных и удалял. Приходилось отключать чтобы крякнуть прогу.

[striker]

проги для кряка пиратских программ принимал за неизлечимо инфицированных и удалял. Приходилось отключать чтобы крякнуть прогу.

 

угу, тока в них трояны почти в каждой обычно )) причем не сразу проявляющие себя а потом на ботнет работать

[buffik]

это же winlock помоему, который тупо в run прописывается и в appdata сидит?

[Stronger412]

Вопрос к тому что не все антивирусники работают корректно. Если антивирусник нашол вирус, то это совсем не значит что это вирус и есть. Когда пользовался Симантиком, он часто проги для кряка пиратских программ принимал за неизлечимо инфицированных и удалял. Приходилось отключать чтобы крякнуть прогу.

 

Симантек хороший антивирусник, а кряки по определению являются угрозами, так что надо просто корректней работать с исключениями.

 

это же winlock помоему, который тупо в run прописывается и в appdata сидит?

 

В том то и дело что да.... И это самое грустное.... Могу вывалить в архиве

[Stronger412]

После общения с дрвебом нарыл еще один замечательный документ:

http://vms.drweb.com/virus/?i=741165

На всякий случай текст

Trojan.Winlock.3300

 

Добавлен в вирусную базу Dr.Web: 2011-06-07

 

Техническая информация

Для обеспечения автозапуска и распространения:

Модифицирует следующие ключи реестра:

[<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = '%ALLUSERSPROFILE%\Application Data\22CC6C32.exe'

Заражает следующие исполняемые системные файлы:

<SYSTEM32>\taskmgr.exe

<SYSTEM32>\userinit.exe

Вредоносные функции:

Завершает или пытается завершить

следующие системные процессы:

%WINDIR%\Explorer.EXE

Изменения в файловой системе:

Создает следующие файлы:

<SYSTEM32>\dllcache\userinit.exe

<SYSTEM32>\dllcache\taskmgr.exe

%ALLUSERSPROFILE%\Application Data\22CC6C32.exe

<SYSTEM32>\03014D3F.exe

 

А теперь сверяем даты и числа со скрином онлайн проверки =)))))

 

И да, мой косяк, цитат из их ответного поста:

"Угроза: Trojan.Winlock.3300

Спасибо за сотрудничество."

 

Доктор Веб - самый ЛУЧШИЙ из антивирусников! Я вот раньше на Аваст ругался, но они то хоть деньги не берут.... А тепреь даже не знаю...

[Dimkasan]

Дружище, но 22CC6C32.exe - это не вирус это просто программа, которая выдает окно вместо эксплорера.

[PALACH]

Самый лучший антивирус это выключатель на сетевом фильтре.

Пока он выкл. ни один вирус не заразит Ваш компьютер

Изменено 2 ноября, 2011 пользователем PALACH

[BSB]

Stronger412, пользуйтесь Avira Antivir - самый лучший антивирус, убежден в этом уже много лет. Бесплатный и с обновлениями. И забудьте про коммерческие! У них проблема в них самих - если не будет обновлений, не будет и прибыли.

[Влад]

Stronger412, пользуйтесь Avira Antivir - самый лучший антивирус, убежден в этом уже много лет. Бесплатный и с обновлениями. И забудьте про коммерческие! У них проблема в них самих - если не будет обновлений, не будет и прибыли.

 

Я есть продавец Avira в г. Че, так вот, против платной, бесплатный очень слаб, у нас например ещё остались годовые лицензии на Avira Premium Security Suite по цене прошедшей акции, т.е. по 500 рублей. Изменено 2 ноября, 2011 пользователем Влад

[BSB]

Влад, у меня уже несколько лет стоит бесплатная версия Avira Antivir с максимальной эвристикой, и ни разу ни одного вируса не пропустил. Есть ли смысл-то?

[Влад]

Влад, у меня уже несколько лет стоит бесплатная версия Avira Antivir с максимальной эвристикой, и ни разу ни одного вируса не пропустил. Есть ли смысл-то?

 

Я очень рад за Вас, видимо круг посещаемых Вами сайтов в инете очень правильный. Я тоже очень осторожен, но даже на КК пролезают вражины. Хотя у меня самого стоит обычнная Avira AntiVir Premium + Outpost Firewall Pro, а вот у дочери стоит конечно Avira Premium Security Suite, у неё всякие Контакты и пр. социальщина и фиг знает что ещё. Ругани в отчётах там просто до мама не горюй!

[Grax]

у неё всякие Контакты и пр. социальщина и фиг знает что ещё. Ругани в отчётах там просто до мама не горюй!

 

Закрыть доступ ко всей этой хрени и получить тройной профит в виде свободного времени, отсутствия вирусни и экономии денег.

[Влад]

Закрыть доступ ко всей этой хрени и получить тройной профит в виде свободного времени, отсутствия вирусни и экономии денег.

 

Спасибо за советы, но: она уже взрослая студентка, своим временем сама распоряжается, вирусня не проходит, а тариф безлимитный, на обоих через рутер. Только время и жалко, но это её время.

[BSB]

Влад, спасибо за лестные слова в мой адрес, но и у меня социалок всяких полно.

Ругани в отчётах там просто до мама не горюй!

 

Я к тому, что и у меня в бесплатной версии полно срабатываний.

А сын (тоже Classic-версия) так вообще на всякие онлайн-игры ведется, и результат такой же. Но платной версией (а точнее Workstation) пользовался давно, не исключаю, что она лучше.

[Влад]

Я к тому, что и у меня в бесплатной версии полно срабатываний.

А сын (тоже Classic-версия) так вообще на всякие онлайн-игры ведется, и результат такой же. Но платной версией (а точнее Workstation) пользовался давно, не исключаю, что она лучше.

 

Ну на этом и порешим, что Авира неплохой антивирь, даже бесплатная версия!

[Grax]

А сын (тоже Classic-версия) так вообще на всякие онлайн-игры ведется, и результат такой же. Но платной версией (а точнее Workstation) пользовался давно, не исключаю, что она лучше.

 

"Сын, версия Classic"

[Stronger412]

Дружище, но 22CC6C32.exe - это не вирус это просто программа, которая выдает окно вместо эксплорера.

 

А так же программа которая подменяет еще пару файлов в систем32, и вносит некоторые изменения в реестр... Подумаешь... =)

[Stronger412]

Stronger412, пользуйтесь Avira Antivir - самый лучший антивирус, убежден в этом уже много лет. Бесплатный и с обновлениями. И забудьте про коммерческие! У них проблема в них самих - если не будет обновлений, не будет и прибыли.

 

Для домашнего компа возможно, а для корпоративной сети Авира бесплатная, извините, Г полное. Как показывает практика бывают удачливые люди, которые годами сидят без антивирусника, активно серфят и при этом не ловят ни одного вируса...

Но стоит установить антивирусник компов эдак на 20-30, и тут же становится ясно что он из себя представляет. Мы и так достаточно лояльно относимся к ошибкам. Как говорится "Хороший антивирусник иногда пропускает, плохой - иногда ловит...."

 

Я думаю не стоит советовать ни один бесплатный продукт любому, у кого на компе есть хоть что-то ценное. Но если вы можете в любой момент отформатировать жесткий и по новой установить систему, тогда да... =) Нод 32, Авира и Аваст (ну и там панды всякие и прочее г...) - это для вас =)

 

PS Нод32 не зря попал под раздачу, как то из-за нода (ежедневно обновляемого в максимальном режиме защиты) легла одна достаточно крупная контора. Наш филиал подняли за сутки, Екатеринбург за двое подняли местные админы (головное предприятие там было). Мы поднимали DrWebом... На каждой машине из 27 от 20 до 200 вирусов. Как то после такого Nod32 как серьезный антивирусный продукт очень неочень позиционируется

[BSB]

одно иогу сказать точно: выбор на Avira Antivir пал после серии случаев, когда ни Касперский, ни DrWeb, ни NOD32 с последними обновлениями ничего не нашли. Даже у AVZ никаких подозрений не возникало в таких случаях.

Но деньги-то шальные, похоже, пользуйтесь

[Stronger412]

Еще раз подчеркну что речь идет не о личной, а о корпоративной защите. Их определяет именно статистика, а дома, это извините, разовые ситуации. Вот так и получается что кто-то нод32 хвалит, кто-то аваст, кто-то авиру,....

Но стоит собрать тестовый зал машин на 50 и годик помониторить, как все сразу встает на свои места.

А если говорить об изначальном топике а не обсуждении АВпрограмм, то как видно из первого скрина прикрепленного к теме данную угрозу пропустили ВСЕ, кроме Касперского...

Изменено 7 ноября, 2011 пользователем Stronger412

[Abatt]

Еще раз подчеркну что речь идет не о личной, а о корпоративной защите. Их определяет именно статистика, а дома, это извините, разовые ситуации. Вот так и получается что кто-то нод32 хвалит, кто-то аваст, кто-то авиру,....

Но стоит собрать тестовый зал машин на 50 и годик помониторить, как все сразу встает на свои места.

А если говорить об изначальном топике а не обсуждении АВпрограмм, то как видно из первого скрина прикрепленного к теме данную угрозу пропустили ВСЕ, кроме Касперского...

 

я нарочно молчал всю тему Прикольно как народ ругает DrWeb, и чему то удивляется

ибо.. на 5 предприятиях у нас был бардак. И на всех предприятиях, и в разных отделах стояли разные АВ. В т.ч. и НОД32, АВира, ДрВеб.. .итд итп.

Всякого насмотрелись.

Когда пришли к единому знаменателю, и начали ставить единый АВ на все тачки.. удивлялись, сколько вирусов он вылавливал на тачках - где стояли модные АВ

Рекорд.. это 14 разновидностей и 134 тела вируса на одной тачки с NOD32 с последним апдейтом

Ну и еще один критерий АВ - безглючность работы софта. Когда ставили допустим Комодо - половина софта вообще не хотело работать как надо. Дома можно поднастроить .. придумать, на работе в масштабе 5-10-50-100 компов - уже гемор.

[Design_Nick]

Abatt, прочитал 2 раза и не понял. Так что используешь-то? Dr.WEB?