Printable View
[QUOTE='Зайцев Олег;130460']Если он ничего шпионского в систему не устанавливает, и крутит рекламу / собирает данные о загруженные файлах только в рамках своего процесса - то его классификация в качестве spyware спорная. А вот если вылезет за пределы - другое дело.[/QUOTE]В настройках программы это не отключается и пользователя ни кто не предупреждает.
[QUOTE='Зайцев Олег;130460']и его можно очень просто отключить небольшим хакерским приемом[/QUOTE]Шаманство с HOST? :)
[QUOTE='Maxim;130457']А как же будет запускаться Касперской? Или я чего-то не понимаю? [/QUOTE]
А какая взаимосвязь между запуском файлов autorun.inf и KAV ?!
F:\WINNT\Downloaded Program Files\popcaploader.dll >>>>> Downloader.PopCapLoader удаление запрещено настройкой
7. Эвристичеcкая проверка системы
>>> F:\WINNT\Downloaded Program Files\popcaploader.dll ЭПС: подозрение на Downloader.PopCapLoader (высокая степень вероятности)
Гм, какое тут подозрение, если AVZ его ЯВНО распознал? :)
Но я сам понимаю, что придираюсь,ибо эти блоки программы между собой мало связаны..
[quote=Maxim;130462]В настройках программы это не отключается и пользователя ни кто не предупреждает.
Шаманство с HOST? :)[/quote]
И не только. Любой продвинутый Firewall позволяет отфильтровать обмен с заданным хостом, а статистика идет на четко известный статический адрес. Кроме того, он или в настройках хранится, или в EXE файле - можно немножко подправить и все :)
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[quote=Jef239;130464]F:\WINNT\Downloaded Program Files\popcaploader.dll >>>>> Downloader.PopCapLoader удаление запрещено настройкой
7. Эвристичеcкая проверка системы
>>> F:\WINNT\Downloaded Program Files\popcaploader.dll ЭПС: подозрение на Downloader.PopCapLoader (высокая степень вероятности)
Гм, какое тут подозрение, если AVZ его ЯВНО распознал? :)
Но я сам понимаю, что придираюсь,ибо эти блоки программы между собой мало связаны..[/quote]
Совершенно верно - в первом случае идет сигнатурный детект, во втором - анализ ЭПС. Это две независимые системы (т.е. можно отрубить ЭПС и оставить файловый сканер и наоборот), отсюда и дублирование. Со временем я думаю совместить это как-то (например, в ЭПС приделать проверку по базе зверей или наоборот, блокировать для ЭПС файлы, которые уже продетектились сигнатурным сканером). Аналогичное дублирование кстати будет в случае перехват+ЭПС, подозрение+ЭПС
[QUOTE='Зайцев Олег;130463']А какая взаимосвязь между запуском файлов autorun.inf и KAV ?![/QUOTE]Мы же говорим об автозапуске? KAV автоматом стартует с Windows...
[quote=Зайцев Олег;130460]с RICHED20.dll странно, нужно проверить. [/quote]
В списке внедрённых dll он чёрный. Видимо потому. что у меня win2k, а не XP.
[quote]С локальной базой подумаю, в принципе можно и привернуть.[/quote]
А вот это ОЧЕНЬ хочется. Потому как процесс с присылкой чистых идёт МЕДЛЕННО. Запоминать, кто там старый чистый, а кто новый подозрительный - лень. А вот выделить ОДИН РАЗ всех старых чистых - вполне можно. А потом уже каждый "не зелёный" становится подозрительным ВТРОЙНЕ.
[quote=Maxim;130468]Мы же говорим об автозапуске? KAV автоматом стартует с Windows...[/quote]
Мы говорим об "Автозапуске с CDROM", т.е. обработке файлов autorun.inf на дисках. Это с другими видами автозапуска совершенно никаким образом не связано
[QUOTE='Зайцев Олег;130471']Мы говорим об "Автозапуске с CDROM"[/QUOTE]Тогда причём диск C? Это HDD...
переложите плиз прогу на другой файлоотстойник.
rapidshare.ru перегружен наглухо !!! дошло до 40 % и повисло
[quote=Maxim;130473]Тогда причём диск C? Это HDD...[/quote]
А вот системе до этого не всегда есть дело. И зловреды этим пользуются (причем HDD еще не мобилен особенно, а вот флешка - мобильна и является отличным транспортом). Ближайший пример с autorun.inf: [URL]http://forum.kaspersky.com/index.php?showtopic=26907&st=40[/URL], у нас тут "слушались дела" с его наличием в корне HDD
Так как отключить автозапуск, чтобы не задеть Касперского?
[quote=Maxim;130480]Так как отключить автозапуск, чтобы не задеть Касперского?[/quote]
Блокировать автозапуск с CD + c жестких дисков. именно автозапуск в плане autorun.inf - и это никого не затронет
* Очень здорово, что в новой версии в "ПРосмотр протокола" всякие klif.sys-ы пишутся только ОДИН раз. Респект!
* В справке нет описания "Поиск потенциальных уязвимостей". Например, пишет ">>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX". В "Свойствах обозревателя" ActiveX отключен во всех пунктах. А как отключить это? Может, нужна возможность отключения данных уязвимостей из окна AVZ?
[quote=mayas;130475]переложите плиз прогу на другой файлоотстойник.
rapidshare.ru перегружен наглухо !!! дошло до 40 % и повисло[/quote]
[url]http://slil.ru/24796770[/url]
Олег
посмотри этот топик пожалуйста: чего-то он безопасные файлы в карантин кидает?
[url]http://virusinfo.info/showpost.php?p=130470&postcount=9[/url]
[QUOTE='Зайцев Олег;130481']Блокировать автозапуск с CD + c жестких дисков. именно автозапуск в плане autorun.inf - и это никого не затронет[/QUOTE]Как это сделать?
Олег, не забудь пожалуйста изменить на своём сайте в правом верхнем углу данные версии, там до сих пор 4.25.
Поставил, из интересного :)
[QUOTE]>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
>> Безопасность: разрешен автоматический вход в систему[/QUOTE]
Поподробнее можно по каждому пункту ? :)
Кстати удалённый помошник отключён как служба, непонятно откуда она это взяла.
[QUOTE=Maxim;130491]Как это сделать?[/QUOTE]
У тебя утилита была. С помощью ее или новыми командами AVZ.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[QUOTE=Surfer;130502]
Поподробнее можно по каждому пункту ? :)
Кстати удалённый помошник отключён как служба, непонятно откуда она это взяла.[/QUOTE]
Олег обещал чуть позже это сделать.
P.S. [URL="http://ifolder.ru/3171071"]Список служб в Windows XP[/URL]
А кто подскажет, как в висте отключить планировщик?
[QUOTE][B]>> разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)[/B]
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя[/QUOTE]
Через консоль управления службами не выходит, т.к. нужные поля по изменению типа запуска или по остановке сервиса попросту неактивны.
UPD: сам догадался. Autoruns Русиновича выручила ;)