Есть еще любопытный список http://www.spywarewarrior.com/rogue_anti-spyware.htm
это подозрительные борцы с адваре или вообще оборотни (типа борются, но сами только ставят свое адваре). Вот уже точно для ИБ...

Интересный момент: я много-часто дёргал гугль в поисках чего-то-там-уже-не-помню, в результате гугль меня заподозрил в гадостях :) и отослал на свою страничку, посвященную antivirus'ам и адаварям. Первым в списке убийц стоит Ad-Aware SE Personal edition, for free. Кто юзал? Или это такой рекламный ход?

hasherfrogПервым в списке убийц стоит Ad-Aware SE Personal edition, for free. Кто юзал? Или это такой рекламный ход?Нормальная вещь, от коммерческой отличается отсутствием возможности мониторить изменения в реальном времне. Самая распространенная в Инете, а поэтому наверное и попала на 1-ое место. На самом деле, это не идеальный вариант. Если по качеству, то найденная Вадом ссылка (я уидал 2-мя постами выше) наглядно демонстрирует качество подобных программ. Странно, что туда не попал еще одна очень распространенная прога - WinPatrol. Ну сами такие сравнения - не постоянны. От версии к версии лидеры могут легко меняться, однако это в очередной раз доказывает, что самое распространенное - далеко не значит, что самое лучшее... Кто догадался, в чей камень огород, тому - пирожек...:)

Привет.
сразу вопрос - а почему не задевают антиспайварьный софт самого Билла?
там есть встроенный монитор
А вообще вопрос в другом: есть ли там закладки, посылающие инфу на microsoft.com, и можно ли от них избавится?




Извините, что не вовремя, но интересно

Shamil
сразу вопрос - а почему не задевают антиспайварьный софт самого Билла?Не задевают где? Если про форум - то в новостях ПО тема (http://forum.oszone.net/showthread.php?t=43453) довольно давно появилась...
А вообще вопрос в другом: есть ли там закладки, посылающие инфу на microsoft.com, и можно ли от них избавится?Как только появилось, то сразу попала в шпионскую базу DrWeb'ба, т.к. проявляла активность, свойственную шпионам - осуществление обмена с сетью даже при оключении соответствующих настроек (новости, обновления и т.п.). Стандартное решение защиты (есть-нет - вопрос спорный, но маздаю точно не лишне) - персональный сетевой экран (аутпост, кейро, зоне-аларм и т. д. и т. п.).

Очень хорошая бесплатная программа Олега Зайцева, на мой взгляд гораздо лучше Ad-aware и Спубота

http://z-oleg.com/secur/avz.htm

Антивирусная утилита AVZ предназначена для обнаружения и удаления:

* SpyWare и AdWare модулей - это основное назначение утилиты
* Dialer (Trojan.Dialer)
* Троянских программ
* BackDoor модулей
* Сетевых и почтовых червей
* TrojanSpy, TrojanDownloader, TrojanDropper

Утилита является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление SpyWare и троянских программ.
Особенностями утилиты AVZ (помимо типового сигнатурного сканера) является:

* Обновляемая база безопасных файлов. В нее входят цифровые подписи десятков тысяч системных файлов и файлов известных безопасных процессов. База подключена ко всем системам AVZ и работает по принципу "свой/чужой" - безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений, база используется антируткитом, системой поиска файлов, различными анализаторами. В частности, встроенный диспетчер процессов выделяет безопасные процессы и сервисы цветом, поиск файлов на диске может исключать из поиска известные файлы (что очень полезно при поиске на диске троянских программ);
* Встроенная система обнаружения Rootkit. Поиск RootKit идет без применения сигнатур на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только обнаруживать RootKit, но и производить корректную блокировку работы RootKit для своего процесса. Противодействие RootKit распространяется на все сервисные функции AVZ, в результате сканер AVZ может обнаруживать маскируемые процессы, система поиска в реестре "видит" маскируемые ключи и т.п. Антируткит снабжен анализатором, который проводит обнаружение процессов и сервисов, маскируемых RootKit. Одной из главных на мой взгляд особенностей системы противодействия RootKit является ее работоспособность в Win9X (распространеннное мнение об отсуствии RootKit, работающих на платформе Win9X глубоко ошибочно - известны сотни троянских программ, перехватывающих API функции для маскировки своего присутствия, для искажения работы API функций или слежения за их использованием).
* Детектор клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger и троянских DLL ведется на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать заранее неизвестные троянские DLL и Keylogger;
* Нейроанализатор. Помино сигнатурного анализатора AVZ содержит нейроэмулятор, который позволяет производить исследование подозрителных файлов при помощи нейросети. В настоящее время нейросеть применяется в детекторе кейлоггеров
* Встроенный анализатор Winsock SPI/LSP настроек. Позволяет проанализировать настройки, диагностировать возможные ошибки в настройке и произвести автоматическое лечение. Возможность автоматической диагностики и лечения полезна для начинающих пользователей (в утилитах типа LSPFix автоматическое лечение отсутствует). Для исследования SPI/LSP вручную в программе имеется специальный менеджер настроек LSP/SPI. На работу анализатора Winsock SPI/LSP распространяется действие антируткита;
* Встроенный диспетчер процессов, сервисов и драйверов. Предназначен для изучения запущенных процессов и загруженных библиотек, запущенных сервисов и драйверов. На работу диспетчера процессов распространяется действие антируткита (как следствие - он "видит" маскируемые руткитом процессы). Диспетчер процессов связан с базой безопасных файлов AVZ, опознанные безопасные и системные файлы выделяются цветом;
* Встроенная утилита для поиска файлов на диске. Позволяет искать файл по различным критериям, возможности системы поиска превосходят возможности системного поиска. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом файлы и может удалить их), фильтр позволяет исключать из результатов поиска файлы, опознанные AVZ как безопасные. Результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно пометить группу файлов для последующего удаления или помещения в карантин
* Встроенная утилита для поиска данных в реестре. Позволяет искать ключи и параметры по заданному образцу, результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно отметить несколько ключей для их экспорта или удаления. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом ключи реестра и может удалить их)
* Встроенный анализатор открытых портов TCP/UDP. На него распространяется действие антируткита, в Windows XP для каждого порта отображается использующий порт процесс. Анализатор опирается на обновляемую базу портов известных троянских/Backdoor программ и известных системных сервисов. Поиск портов троянских программ включен в основной алгоритм проверки системы - при обнаружении подозрительных портов в протокол выволятся предупреждения с указанием, каким троянских программам свойственно использование данного порта
* Встроенный (и защищенный антируткитом) анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов. Работает в Win9X и в Nt/W2K/XP.

Статья по обсуждаемой теме от того же автора, что и программа, упомянутая das'ом - SpyWare, Trojan, Backdoor ... - угроза безопасности вашего ПК (http://z-oleg.com/secur/nets-spy.htm)

AVZ понравился, даже очень. Например, нашел TrojanDownloader.Win32.INService.i и TrojanDownloader.Win32.Small.aao, один из них - в файле ietcom.dll, который в свое время прозевали NAV (хотя и ликвидировал вторичный файл этого йетком-а - dmstwe.exe) и множество anty-spyware программ.

Отмечу это: "...что позволяет достаточно уверенно детектировать заранее неизвестные троянские DLL и Keylogger" - да, действительно нюхает хорошо, убедил несколькими примерами!

Но то же время он пропустил Trojan dropper в Downloaded Program Files\#.exe, которого, расшевеленного от спячки сканированием AVZ, мигом стащил у него и сожрал NAV. :tongue: Это в который раз подтверждает, что для более-менее спокойной жизни надо иметь парочку антивирусов и пол-дюжины антишпионов. Другое дело, что тогда половину времены надо отвести на обслуживание всего этого софтяка.

[Кстати, не по теме, но к слову - а может, косвенно и по теме - если станете бить мою голову на метод полного просмотра и доступа ко всему содержимому фолдера Downloaded Program Files, буду признателен!]

Есть еще 2-ва класса программ, предоставляющими профилактическую защиту от различны вредоносных воздействий:
1. Драйвера-"песочницы" системных процессов, осуществляющие жесткий контроль за всеми процессами происходящими в системе. Один ин представителей такого ПО является "DiamondCS ProcessGuard" (http://forum.oszone.net/showthread.php?t=53584)

2. Программы, автоматически восстанавливающие первоначальное состояние системы после перезагрузки, независимо от произошедших перед перезагрузкой изменений в вистеме. Примерами такого ПО могут служить "Deep Freeze" и "ShadowUser" (обсуждение велось в этой теме (http://forum.oszone.net/showthread.php?t=48453)).

Я здесь (в инете) новичок,если кто поможет,буду благодарен.
Суть: При работе в windows xp sp2 после подключении к интернету (диал ап) и во все ввремя подключения с периодичностью в 3-5 минут выскакивает сообшение:
[hr]Проблема

Появляется окно службы сообщений с рекламным объявлением из Интернета.

http://www.andyrathbone.com/tips/images/netsend.jpg

Причина

Такое поведение наблюдается в случае приема сообщения net send от пользователя службы сообщений Windows. Эта служба предназначена для передачи между клиентскими компьютерами и серверами сообщений net send и сообщений службы оповещений. Например, с ее помощью пользователям сети рассылаются административные оповещения. Кроме того, служба сообщений используется самой операционной системой и другими программами. Например, Windows использует ее для отправки сообщения о выполнении задания печати или отключении электричества и переходе в режим питания от ИБП. В некоторых случаях с помощью службы сообщений передаются уведомления антивирусной программы. Служба сообщений не имеет отношения к веб-обозревателю, программе электронной почты, Windows Messenger или MSN Messenger. Подобное поведение возможно в случае выполнения следующих условий.
• Запущена служба сообщений.
• Запущена служба удаленного вызова процедуры.
• Для данного подключения к Интернету разрешена пересылка входящих широковещательных пакетов NetBIOS (NetBIOS по TCP/IP) и UDP.

Решение

Для устранения этой неполадки следует установить или включить межсетевой экран, который блокирует входящие широковещательные пакеты NetBIOS и UDP. Необходимые действия зависят от используемой операционной системы и типа подключения к Интернету. Ниже рассмотрены возможные варианты конфигурации и соответствующие методы решения проблемы.

Непосредственное подключение к Интернету
Если компьютер подключен к Интернету напрямую (с помощью высокоскоростного модема, DSL-модема или удаленного доступа), то следует установить межсетевой экран и блокировать с его помощью входящие широковещательные пакеты NetBIOS и UDP.

На компьютере под управлением Windows XP
Если на компьютере установлена ОС Windows XP и используется прямое подключение к Интернету (с помощью высокоскоростного модема, DSL-модема или удаленного доступа), установите пакет обновления 1 (SP1) для Windows XP и включите брандмауэр подключения к Интернету (ICF). После установки пакета обновления 1 (SP1) для Windows XP брандмауэр подключения к Интернету способен блокировать весь входящий трафик (одноадресный, многоадресный и широковещательный). После установки пакета обновления 2 (SP2) для Windows XP брандмауэр Windows включается по умолчанию.

Временное решение

В качестве временного решения проблемы можно отключить службу сообщений. Для этого выполните следующие действия.
1. Нажмите кнопку Пуск и выберите пункт Панель управления (или Настройки, а затем – Панель управления).
2. Дважды щелкните значок Администрирование.
3. Дважды щелкните значок Службы.
4. Дважды щелкните запись Служба сообщений.
5. В поле Тип запуска выберите значение Отключено.
6. Нажмите кнопку Стоп, а затем – ОК.

Примечание. После остановки службы сообщений уведомления службы оповещений (например, антивирусного программного обеспечения) передаваться не будут. Кроме того, не запускаются службы, которые зависят непосредственно от службы сообщений, и в журнале системных событий регистрируется соответствующее сообщение об ошибке. Исходя из этих соображений, корпорация Майкрософт рекомендует вместо отключения службы сообщений установить межсетевой экран и заблокировать входящий трафик NetBIOS и RPC.
Источник: KB330904 (http://support.microsoft.com/kb/330904/ru)

kurgan
это не троян, это разновидность спама приходящего через службу сообщений
подробнее здесь:

In english:

Messenger Service window that contains an Internet advertisement appears (http://support.microsoft.com/kb/330904/en-us)

[hr]
На русском:

Появляется окно службы сообщений с рекламным объявлением из Интернета (http://support.microsoft.com/kb/330904/ru)

т.е мне просто нагло предлагают скачать и установить их программный продукт???? Спамеры???? Это, мягко говря, наглость.

Это, мягко говря, наглость. а спамеры и не попадают в категорию приличных людей, мягко говоря :)

спасибо, щас попробую отрубить брандмауэром

kurgan
Если речь о домашнем ящике, то как по мне проще отрубить вобще службу сообщений, так как дома по диал-апу ты все равно не сможешь получать востребованные сообщения (IP ведь динамический), да и в офисе я, например, крайне редко использую net send, тем паче что отключение службы сообщений повлечет за собой лишь невозможность получать сообщения через net send, но позволит отправлять сообщения.

Также все время работы активны подозрительные процессы smss.exe, csrss.exe, коих раньше я, кажется не замечал. Диспетчер задач считает их критическими и завершать наотрез отказывается. Поиск по их названиям и удаление записей ор ни-х из реестра ничего не дало ну перегибать-то не стОит :)
1) smss.exe is a process which is a part of the Microsoft Windows Operating System. It is called the Session Manager SubSystem and is responsible for handling sessions on your system. This program is important for the stable and secure running of your computer and should not be terminated.
2) csrss.exe is the main executable for the Microsoft Client/Server Runtime Server Subsystem. This process manages most graphical commands in Windows. This program is important for the stable and secure running of your computer and should not be terminated.

так что не стОило убивать упоминания об этих файлах в реестре, надеюсь бэкап сделан был до того как?

Я здесь (в инете) новичок,если кто поможет,буду благодарен.Суть: При работе в windows xp sp2 после подключении к интернету (диал ап) и во все ввремя подключения с периодичностью в 3-5 минут выскакивает сообшение:

О, опять дерь#о спамят -

Пуск/выполнить пишем 2 команды
sc stop messenger
sc config messenger start= disabled

и радуемся жизни, а ещё лучше ставим фаервол.

Привет всем!
Такая штуковина, рассказываю: надо было мне залесть сюда (http://www.crackz.ws), ну надо и все!!! Но оттуда вдруг повалило такое!!!! само стало прописываться на автозапуск всюду, лезть в системные папки винды, и главное даже не спрашивает ничего, прет и прет, фриц паршивый. :-((((( Я запретил писать в системные папки винды, так оно на мой профиль в десктоп записалось, сволочь. И главное все ехе-шники и длл-ки. В експлорере настройки безопасности по умолчанию, перед заходом на сайт никакой троян не сидел, сеть рутит ИСА сервак, я за его стеной. Винда ХР СП2+ апдайты. Ну не лох я вроди бы,а вот это никак понять не могу, каким макаром Интернет експлорер пропускает ехе-шники в систему, позволяет прописаться в реестре и вообче сделать с виндой все, что угодно. Таким же макаром можна и вирусы пихать, а это уж очень и очень!!!! ПОМОГИТЕ, ЛЮДИ ДОБРЫЕ, УМНЫМ СОВЕТОМ, как мне этот беспредел остановить (не лазить туда и прочее на эту тему не предлагать, вопрос здесь ставиться не этического содержания, а чисто профессионального)!!!

сеть рутит ИСА сервак, я за его стеной

Это еще не показатель. А про такие прописные истины как антивирус и фаервол на локальной машине никогда не надо забывать. Береженного бог бережет. Теперь будешь долго лечиться.
Желаю успехов.

О, опять дерь#о спамят -
Спасибо друг, все получилось!
До новых встреч в эфире!!! :biggrin: