"Из грязи в князи" или первые впечатление от тестирования антивирусов
Ахтунг: много текста и картинок.
Небольшое предисловие
Приветствую вас тролли, лжецы и девственники. Я не тестировщик и в индустрии вирусов\антивирусов совсем не понимал, до этого момента. Потому не кидайтесь камнями, это мое первое тестирование. Если оно пойдет хорошо, может буду продолжать, оказалось что эта тема очень интересная и стоит внимания каждого технически подкованного куна. Начну пожалуй с того, как я вообще докатился до этого. Сижу на реакторе, как обычно, деградирую. Получаю сообщение от друга в скайп. Открыл, там оказалась статья (акция ко дню независимости от компании), которая и запалила во мне интерес. Оказывает в Украине делают антивирус. В итоге решил запостить сюда(http://polit.reactor.cc/post/2769889) и спросить мнение реакторчан, может кто и пользовался тут. По ходу событий я выяснил, что не только GridinSoft делает антивирусы у нас в Украине, есть другие представители - Zillya. Я решил посмотреть на продукты этих производителей и кто-то попросил запостить мои результаты. И вот собственно он. В этом посте я буду рассматривать GridinSoft Anti-Malware 3.0.53 и Zillya Internet Security 3.0.1949 (решил взять именно эти продукты компаний). Материал буду излагать в 3 частях, первые две будут про то, что я увидел в программах, а третяя будет сравнение и мои мысли по ним.
Поскольку меня, как бандеровца, привлекла акция с кодом "ПТН-ПНХ" - я решил вначале написать в саппорт GridinSoft и спросить почему они решили провести эту акцию именно так. Ответ был таков "Акция была введена в честь дня независимости Украины, поскольку Путин пытается посягать на наши территории - мы решили выразить свое недовольство к этому человеку таким образом." (перевел с укр. чтобы было понятнее)
Бандеровец во мне немного ликовал, но я решил оставить эмоции в стороне, делаем же серьезный обзор. Я попросил передать мое уважение директору, пошел качать их Anti-Malware и паралельно Zillya Internet Security.
Перед тем как делать обзор, я решил вооружиться какими-то знаниями в области и посмотрел кучу роликов\перечитал кучу статей и обзоров на антивирусные продукты и сформировал приблизительный план и критерии по которым стоит тестировать антивирусы. Для тестирования я решил использовать виртуальную машину на Hyper-V, к сожалению свободной реальной машины у меня нету, а свой засорят не очень хотелось. Пришлось выкручиваться, поставил Win7 виртуалку и сделал её полностью под анг юзера(языки\время). Приступим, надеюсь вам понравиться!
Часть 1. GridinSoft Anti-Malware
1. Первые впечатления
Что касается установки, то тут всё выглядит хорошо. Офф сайты выглядят норм, кастом инсталлер, простая установка, без всяких опций и наворотов.
Сразу после установки и запуска GridinSoft Anti-Malware мне показало окно что опция On-Run Protection(защита реального времени) доступна только для зарегистрированных пользователей. Можно закрыть окно и продолжать в бесплатной версии, а можно нажать на "Get a License" и купить у них лицензию. Я решил пойти третим путем и написать в саппорт, чтобы попросить у них ключ для тестирования. На мое удивление ключ мне дали почти сразу, сказали обращаться к ним, в случаи возникновения каких-либо вопросов. Попутно я спросил, чем отличаются платная версия от бесплатной. В ответ получил приблизительно следующее "В платной версии доступна функция On-Run Protection и возможность удаления всех обнаруженных угроз. В бесплатной вы можете удалить только 50% единожды".
Перед тем как я ввел ключ, я решил посмотреть на бесплатную версию. Сканирование в ней начинается по умолчанию через 5 секунд, можно отменить на усмотрение пользователя. Все сказанное мне в саппорте оказалось правдой. Отмечу так же, что все остальные функции, о которых не упомянули, доступны и в бесплатной версии.
2. Сканирование и обнаружение
Этот этап я буду проводить с помощю виртуальной машине, на которой есть 8 загруженных образцов вирусов, из которых 7 сами образцы и 1 архив с образцами. После чего просто установлю антивирус на свой домашний ПК и попробую запустить его, посмотреть найдет ли он что-то на моей машине(вроде чистая).
На выбор нам предлагает 4 типа сканирования: Quick scan, Full Scan, Custom scan, Removable Scan.
Попробуем быстрый скан, образцы лежат в директории "C:\Users\***\Downloads\Samples", 8 штук, смотрим, как прошло обнаружение:
Обнаружило 7 из 8 файлов, сканирование завершено за 01:03, проверило 4436 файлов, настройки скана были максимально жесткие. Для справки - на виртуалке сделал винт 130гб на один локальный диск, забито 26 гб, почти чистая винда. Архив оно не обнаружило.
3. Доболнительны плюхи
Полазив по вкладкам Settings, можно найти интересные настройки, касающие многих аспектов программы. Можно отметит настройки сканирования:
В подвкладке General (выше на скрине) есть опция Create Restore Point. Что она делает я понял, но вот когда она это делает, я так и не понял. В саппорте мне сказали, что эта опция создает рестор поинт перед тем, как пользователь начнет удалять файлы, а не помещать их в карантин. Выглядит как запасной план на случай, если антивирус удалит что-то не то. Разумно, но выглядит как велосипед.
Во вкладке Tools можно найти Reset Browser Settings с такими параметрами:
Можно выбрать браузеры, какие опции в них сбросить. Есть так же 3ая колонка, которая имеет 3 опции: соброс файла hosts, сброс настроек IE прокси и ДНС кэш. Довольно интересное решение, могу представить себе ситуации где это можно использовать (Привет Mail.ru).
Можно так же написать отправить в саппорт информацию по своей системе, если вы уверены, что она все еще заражена после сканирования.
4. Защита реального времени (On-Run protection)
Как и говорилось, в бесплатной версии нельзя использовать эту функицю. После ввода ключа я смог оценить эту защиту. Я сохранил семплы и решил их позапускать при включенной защите:
Это пример одного из них, что-то тут работает - уже хорошо. В итоге оно заблокировала все файлы, пока я их пытался запустить.
5. Цена
2пк\пол года - 200 грн.
2пк\1 год - 300 грн.
2пк Вип вечная - 1000 грн.
(такая информация на момент публикации поста)
По умолчанию я не нашел информации на сколько компьютеров у них лицензии, пришлось писать в саппорт и спрашивать там.
Переходим к другому представителю антивирусов из Украины
Часть 2. Zillya Internet Security
(все тесты проводил на той же виртуалке, предварительно откатив до начального состояния)
1. Первые впечатления
Офф сайты тоже хороши, кастом инсталлер, тоже быстрая установка.
К сожалению, уже на стадии запуска я столкнулся с проблемами:
Суть сей проблемы оказалось таковой - не показывались версия базы данных и количество сигнатур, такое впечатление что их просто нет. В этом состоянии я мог начать сканирование вообще никак, кнопка не работала. Немного поклацав и подумав, я понял почему так - программа уже обновлялась (в трее вертелся значек + процесс забирал %ЦП, вполне логичное предположение) и пока она не обновится, я не мог сделать ничего. Увы, после часу ожиданий ничего не происходило, наверное что-то где-то зависло. Закрыл прогу через диспетчер, отрклы снова - та же фигня. Решил перезагрузить виртуалку и алилуя - все работало, но первое впечатление уже испорчено. Возможно антивир просто плохо работает с виртуализацией, но утверждать не могу.
Примечение: Тут есть 15 дневный триал, потому лицензию просить не будем.
2. Сканирование и Обнаружение
Тут на выбор у нас есть 3 типа сканирования: Quick Scan, Full Scan, Custom Scan.
Попробуем быстрый скан при тех же условиях:
Обнаружило только 2 файла из 8. Архив так же не нашело. Сканирование завершено за 04:11, проверило 22295 файлов.
3. Дополнительные плюхи
Что касается дополнительного функционала, то тут хоть жопой жуй:
Сюда впихнули много полезных наворотов вроде "Optimizer", встроенного фаервола и виртуальных клавиатур и стирателя(File eraser).
Разберу значимые:
К примеру Optimizer это как портативный CCleaner или GlaryUtilities, только в более обрезанной форме. Может пригодиться.
Виртуальная клавиатура позволяет вводить пароли, без отправки сигналов с физической, таком образом делая невозможным отследить, какие клавиши нажимает пользователь. Может пригодиться, но лично я считаю ненужон.
Почтовые функции антиспама и Мейл протектора я не тестировал, ибо они работаю с почтовыми клиентами (насколько я понял).
Стиратель (File eraser) действительно полезная функция. Но при первом использовании у меня зависла программа, пришлось перезапускать. Заработало со второго раза. В итоге из 5 попыток зависло 2 раза, почему - не знаю.
Можно так же связаться с сапортов в случаи не решения своей проблемы.
4. Защита реального времени(Guard)
Тут сказать что-то сложно. В меню Guard показывает обнаружение 3х файлов, но в самой папке все файлы на месте. Почему не всплывалось никаких окошек, хотя в настройках стоит нотификейшен:
При запуске не обнаруженных файлов тоже никаких нотификейшенов и они загружались в память. Те 2 обнаруженных во время скана файла были заблокированы.
5. Цена
На офф сайте можно найти очень много вариаций лицензий со всеми данными, вот "топ предложения":
1 пк\1 год - 180 грн.
2 пк\1 год - 288 грн.
2 пк\2 год - 432 грн.
(такая информация на момент публикации поста)
Часть 3. "Есть два стула..."
Вот я и добрался до основной части, сравнение и выражение своих мысле по поводу двух антивирусов украинского производства - GridinSoft Anti-Malware и Zillya Internet Security.
Хочу сразу отметить несколько вещей:
1) Вы спросите почему так мало образцов (всего 8), а я отвечу - да ну нахуй. Никогда бы не подумал, что найти образец вируса в интернете даже с помощью гугла будет трудно. Нашел пару ресурсов которые предоставляют это без регистрации и СМС, но все же были ограничения. Идею с простым прокликиванием рекламы на сомнительных сайтах я отбросил, поскольку не знал бы точное количество вирусов, которых я мог подхватить.
2) Не стоит воспринимать этот пост как Обзор, я просто рандомный анон, который выкладывает результаты своих личных тестирований по просьбе другого анона, может кому еще будет интересно.
3) Пишите ваши мысли по этим продуктам и по качеству моего "обзора", если народу будет интересно, то поможет мне в будущем.
4) Как я уже и говорил, я не особо компетентен в этой сфере и мои мысли косаются только этих двух программ, не области в целом.
Теперь к главному. Если сравнивать в общем, то почему-то GridinSoft Anti-Malware мне понравился больше, чем Zillya Internet Security. Я бы отдал свое предпочтение именно этому продукту. Но давайте по порядку.
Уже на момент зависания Zillya я проникся не очень приятными чувствами к этому антивирусу. Но как я писал в начале, я тестировал на виртуалке и на реальной машине (которую не заражал, интересно было посмотреть обнаружет ли что-то). На реальной машине Зилля показало себя лучше, не зависла при первом запуске. Но есть такой момент:
При том, что система вся на Английском и время тоже - тут почему-то текст пишеться на Украинском. Может вычислили по айпи(не запускал впн), но почему тогда весь текст не Украинский? Сам факт зависания зилля я могу списать на недостаточно производительную виртуалку или Зилля плохо работает под виртуализацией. Открыв диспетчер задач я заметил что Зилля потребляет более 300мб оперативы и почему-то постоянно жрет ЦП (от 5 до 30% в общем, нестабильно, прога в состоянии простоя):
Это может быть результат того самого навороченого функционала.
Для сравнения результат GridinSoft Anti-Malware в состоянии простоя:
Еще один момент который меня немного раздразил:
Ввести капчу чтобы закрыть программу. Тут я немного пригорел, но эмоции в сторону. Для безопасности вполне логично, механиз самозащиты. Но капча, как по мне, это зашквар.
У GridinSoft тоже не все так радужно, но по крайней мере по функционалу я там не заметил косяков (детект в отдельную тему, есть где критиковать) и никаких зависаний (как на виртуалке, так и на реальной). Есть такой момент:
Предлагает твитнуть о том, что ты почистил систему с помощью GridinSoft. Но тут хотя бы по желанию, хочешь шкварься, а хочешь нет, закрывай окно и все. Потому тут не сильно пригорает.
Дизайн
Надо сказать пару слов о дизайне программ. Если бы не косяки в переводе Zillya и их неудобный интерфейс (меню закрывается если увести с него мышку, кнопка Бек ведет на хоум экран, а не обратно в меню, не интуитивные пункты меню), я бы отдал предпочтение их дизайну интерфейса, но увы.
Цена
По ценам продукт Zillya выходит дешевле своего конкурента, GridinSoft, хоть и разница небольшая. Кому-то может быть странно, почему так, если в Zillya больше потенциальных плюшек, чем в GridinSoft. Но тест выше показал, что возможно не все так хорошо с этими самыми плюшками. В какой-то момент, мне показалось что некоторые из них (usb-protection, mail protection, antispam, firewall, virtual keyboard, optimizer) ввели только для галочки, кажутся сырыми и недоделанными. Может со временем они и станут лучше.
Сканирование и Обнаружение
Вот тут, пожалуй, напишу развернуто, ибо похоже что именно эта часть интересует абсолютно всех пользователей больше всего. В моем прошлом посте, юзер пишет про странный детект GridinSoft Anti-Malware(http://polit.reactor.cc/post/2769889#comment12746268). Тут я понял, что все зависит от точки зрения пользователя.
1. Когда я запустил на реальной машине Zillya, то он нашел 1 результат в папке Темп:
Лаунчер для Max Payne 3, давно качал крякнутый.
2. Когда я запустил на реальной машине Гридинсофт, он нашел папку стим, перед этим заблокировав процесс Steam.exe:
Вначале я подумал что это ложное обнаружение, блокировать стим и удалять целую папку. Но вспомнив, что в индустрии антивирусов не все так просто, я начал гуглить этот самый Steam.ехе по пути c:\users\\appdata\roaming\steam\reversed, нашел много тем, в том числа и на стимкоммюнити(https://steamcommunity.com/discussions/forum/1/35221584425122691/?l=russian), о том, что это вирус CoinMiner и стоит удалить папку. В таком случаи все логично. Разберу по порядку.
Насчет Zillya. Наш менталитет таков, что мы любим халяву, кряки и т.д. Кому-то может нравиться то, что антивирус детектит кряки, кому-то нет. В СНГ странах таких не любят, но уже привыкли, потому не странно, что задетектило кряк (предполагаю что это крякнутый лаунчер, а не оригинальный).
Что же до обнаружений GridinSoft. По сути, вирусом является только один файл "Steam.exe", его антивирус и заблокировал (Zillya между прочем не показал его). Сама папка после этого не должна представлять угрозы, хотя и гридинсофт показал файлы как вирусы во время сканирования. Вот тут и вступает в действие разность во взглядах. Если скопировать файл из папки Anti-Malware в папку Reversed, он и этот файл посчитает вирусом. Можно предположить, что антивирус смотрит только на наличие папки и не смотрит, что внутри неё. По сути своей папка бесполезна и её удаление никак не скажеться на системе, только место занимает. Возможно есть другие обоснования этого подхода, возможно тут проблема не в обнаружении как таковом, а в том, как его поднесли пользователю (как вирусы, а не как нежелательные файлы). С одной стороны у нас папка, установленная уже удаленным вирусом и не представляет угрозы, с другой - показать пользователю, что такая папка у него есть и он был заражен тоже стоит (наверное). Тут уже кому как, решайте сами. Но я считаю, что в этом подходе что-то есть, попользуюсь и посмотрю что да как. Все же стоит отметить, что у пользователя с моего прошлого поста были и ложные обнаружения, безусловно минус. Хотя кому-то может и понравится такая жесткая политика.
Вот пример такого детекта (оригинал от пользователя Idler в первом посте):
По поводу сканирования могу отметить следующее - в Zillya быстрый скан просканировал 22295 файлов, в GridinSoft 4436 (тут и разница во времени), либо первый слишком много файлов берет для быстрого скана, либо второй берет мало. Но по скорости сканирования Zillya впереди - ~89файлов\сек. против GridinSoft - ~79ф.\с. Разница небольшая, но факт.
Вывод
Пока я писал весь этот текст, у меня еще паралельно был запущен Zillya, я решил открыть, попробовать другие типы сканов, но открыв его, напоролся на то же самое подвисание обновления, описанное в Части 2 пункт 1:
Кнопка Finish не работает, скан не начинается из за обновления. Вообщем ганьба, господа. Постоянную недоделанность чувствую в этом антивире, большой минус, хотя бы по этому я уже выбираю GridinSoft. Ну и на последок, как гражданин Украины я удивлен и действительно рад, что у нас есть такие продукты. Развиватесь и процветайте.
П.С. Напомню еще раз, оставляйте ваши комментарии, буду рад узнать ваши мысли по поводу поста и продуктов. Политота идет
Подробнее
Cl Scan Protect Update Ш © Tools Settings Help Your system is at risk! Scan completed in 1 minute(s) 3 sec. Files were scanned 4436 Last scan result 7 detected items Type: All Apply to all: Move to quarantine Ransom.Win32.Crypter.sh Move to quarantine Ж c:\us e г; о wnl о a d s\Sa m p 1 es\b bcrypt.exe Spy.Win32.Gen.cc c:\users'^^Bfcdownloads\Samples\ceed2021-54c6-lle6-3201-80e65024849a.exe Malware. Win32.Gen.cc c:\users\J^^downloads\Samples\e20361eb-54c6-lle6-aS78-S0e65024849a.exe Malware. Win32.Gen.cc c:\users^^J^downloads\Samples\e2ccd482-54c6-lle6-8a 8a-80e65024849a.exe Ransom. Win32.Crypter.sh c:\users'^^jB|do wnlo a d s\Sa m p I es\encrypted .exe Move to quarantine Move to quarantine Move to quarantine Move to quarantine Ignore Fix Now
Settings Ш General | О Scan options О Update ГЛ Language Щ Scheduled Scan П Ignore List SCAN & CLEAN 0jDeep scan (slow) 0 Potential Unwanted Programs and Riskware detection N Ignore incomplete files . Ignore files larger than 64MB 0 Terminate memory threats while scanning 0 Show scan errors 0 Use heuristics rules ----------;--------;-------;------0 MIN MAX LOGS j Don't save log files
(<) Reset browser settings Browsers Process Reset (restore to its defaults) 0 Internet Explorer 0 Shortcuts □ HOSTS file 0 Chrome 0 Start page 0 Internet Explorer proxy settings 0 Fi refox 0 Search engines 0 Addons 0 Cookies О History 0 Cache □ Policies 0 DNS cache This operation will close all instances of selected browsers. Any unsaved changes will be lost. Please save all work in progress before you continue. Reset
CD 0 |p«3-| .v ► Downloads ► Samples ▼ Search Samples P Organize ▼ Include in library ▼ Share with ▼ New folder i== - a ® T-V Favorites > Name Date modified Type Size E Desktop ["1 bbcrypt 8/28/2016 3:38 PM Application 3 KB 4 Downloads Z1 e2ccd482-54c6-lle6-8a8a-80e65024849a 7/28/2016 3:26 PM Application 716 KB ® Recent Places Ш 620361 eb-54сб-lle6-a878-80e65024849a 7/28/2016 3:26 PM Application 199 KB (77 encrypted 8/28/2016 3:38 PM Application 258 KB j Libraries Z)f4d5c426-54c7-lle6-9dac-80e65024849a 7/28/2016 3:34 PM Application 716 KB 13 Documents & filel 8/28/2016 3:38 PM Application 258 KB Music ST3 Samples 8/28/2016 9:41 AM FreeArc archive 1,176 KB fell Pictures 0j Videos *4 Homegroup U1- Computer & Local Disk (C:) S DVD Drive (D:) Integ % Network Ф GridinSoft Anti-Malware x A threat has been blocked! 7 items Object: ceed2021-54c6-lle6-8201-80e65024 Place: Local Disk (C:) Path: C:\Users'^^^^\Downl...\Samples Threat: Spy.Win32.Gen.cc Level: ■■■ Medium
с Zillyo Internet Security x <- Back Antivirus is updated Last update Antivirus databases Number of signatures 0 cjj Updates © Exclusions Program vercion Antivirus updates automatically, but you can run updates manually, as well Quarantine Update now
с Zillyo Internet Security x ft Quick scan Hpl Full Custom scan Quick scan Scanning is finished Number of scanned objects: 22295 Number of detected threats: 2 Close the report Visit card Total time: 00:04:11 View list il Троянська програма 1/2 Trojan.Papras.Win32.S029 1.Downloads\Sarnples\...21-54c6-lle6-3201-30e65024349a.exe C:\Users\| exe File Шкодлива програма, що без Вашого вщома встановлюеться в систему, краде конфнденщйн! дан1 та модифкуе дан1 на Bai виведення комп'ютера з ладу. 2> Zillyo Internet Security Quarantine Other action ■ 11 Троянська програма i/г Trojan. Papras. Win32. S029 Downloads\Sarn...c6-lle6-3201-30e65024349i C:\Users\ exe File Шюдлива програма, що без Вашого вщома встановлюеться в систему, краде конфнденц1йн1 дан1 та модифкуе дан1 на Вашому комп'ютерк Може приводити до виведення комп'ютера з ладу. Quarantine Other action .. i4 Ю:38АМ x ^ ’x 8/28/2016
с Zillyo Internet Security x Antivirus protection Guard Inspector USB protection Updates Exclusions Quarantine Net protection Firewall Internet protection Mail protection Antispam Tools Optimizer File eraser Virtual keyboard Scheduler Maintenance A Quick scan Scanning is finished Number of scanned objects: 22295 Total time: 00:04:11 Number of detected threats: 2 Close the report Visit card View list .il Троянська програма i/г Trojan. Papras. Win32. S029 C:\Users'^^^^,Downloads\Sarnples\...21-54c6-lle6-3201-30e65024349a.exe exe File Шкщлива програма, що без Вашого вщома естаноелюеться в систему, краде конфнденц1йн1 дан1 та модифкуе дан1 на Вашому комп'ютерг Може приводити до виведення комп'ютера з ладу. Quarantine Other action V
<- Back Guard U Guard ( •) Real-time protection Inspector (Detected threats: 3 Moved to quarantine: 0 Deleted threats: 0
= с «* Back ф. Scan Guard 6% Inspector USB-protection Ziilyo Internet Sect C •) Guard C •) Notifications (•) Cure (quarantine in case of failure) О Cure (ask the user in case of faiure) О Cure (delete in case of failure) О Ask the user О Quarantine О Delete О Ignore jrity
с Zillyo Internet Security x ft Quick scan Hpl Full Custom scan Quick scan Scanning is finished Number of scanned objects: 22295 Number of detected threats: 2 Close the report Visit card Total time: 00:04:11 View list il Троянська програма 1/2 Trojan.Papras.Win32.S029 1.Downloads\Sarnples\...21-54c6-lle6-3201-30e65024349a.exe C:\Users\| exe File / Шмдлива програма, що без Вашого вщома встановлюеться в систему, краде I конфнденщй^ дан1 та модифкуе дан1 на Bai Ч^иведення комп'ютера з ладу. 2. Zillyo Internet Security Quarantine Other action & e 11 Троянська програма i/г Trojan. Papras. Win32. S029 Downloads\Sarn...c6-lle6-3201-30e65024349i C:\Users\ exe File Шкщлива програма, що без Вашого вщома встановлюеться в систему, краде конфнденц1йн1 дан1 та модифкуе дан1 на Вашому комп'ютерк Може приводити до виведення комп'ютера з ладу. ■> Quarantine Other action - Гх S 'tx 10:38 AM 8/28/2016
taskhost.exe 00 3,248 К 9 Host Process tor Windows Tasks taskhost.exe 00 900 К 5 Host Process for Windows Tasks taskmgr.exe 00 1,448 К 6 Windows Task Manager UIODetect.exe 00 1,276 К 5 Interactive services detection VSSVC.exe 00 3,996 К 5 Microsoft® Volume Shadow Copy Service wininit.exe 00 724 К 3 Windows Start-Up Application winlogon.exe 00 1,388 К 3 Windows Logon Application wmpnetwk.exe 00 1,960 К 9 Windows Media Player Network Sharing Service ZIS.exe 00 51,952 К 18 Zillya Internet Security ZISAux.exe 02 2,800 К 28 Antivirus Auxiliary Service ZISCore.exe 25 293,932 К 29 Antivirus Core Service ZISHips.exe 00 1,776 К 22 Antivirus Hips Service ZISNet.exe 00 9,024 К 37 Antivirus Network Service ZISUpdater.exe 00 2,556 К 24 Antivirus Updater Service 0 Show processes from all users frocesses: 42 CPU Usage: 29% Physical Memory: 42%
image Name LrU Memory (... csrss.exe 00 976 К csrss.exe 00 1,020 К dwm.exe 00 372 К explorer.exe 00 27,524 К gsam.exe 00 188,512 К lsass.exe 00 2,404 К lsm.exe 00 956 К Searchlndexer.exe 00 6,364 К services.exe 00 3,476 К nn ЧЛО V i nreaas Description 8 Client Server Runtime Process 8 Client Server Runtime Process 3 Desktop Window Manager 37 Windows Explorer 18 GridinSoft Anti-Malware 6 Local Security Authority Process 10 Local Session Manager Service 11 Microsoft Windows Search Indexer 6 Services and Controller app
Are You sure You want to turn off Zillya Internet Security? In this case, You will have no antivirus protection. Run Zillya Internet Security, in: S minutes Please, enter the symbols from the image: mhdxt Yes Cancel
а GridinSoft Anti-Malware X ^^Congratulations! Your system is clean 4 out of 4 removed ..................... detected Share this result with your friends:
= с Zillyo Internet Security <r Back Quick scan Quick scan Hpl Full scan Custom scan C:\Users\ tppData\Roaming\Sk...339C41/4pimgpsh_fullsize_distr.jpg 22% Number of scanned objects: 45463 Number of detected threats: 1 Total time: 00:06:13 Visit card View list .il Завантажувач троянських програм Downloader.Upatre. Win32.58730 ppData\Local\Temp\MP3_Launcher_l_36_0_0.exe 1/ 1 C:\Users'' Unknown' Шюдлива програма, що завантажуе з Mepexi Троянсью програми та встановлюе !х на комп'ютер без Вашого вщома. Кожного дня такий Завантажувач може встановлювати нову вераю Троянсько! програми. A Zillyo Internet Security Added to the quarantine □ Turn off the PC after scanning ■ 11 Завантажувач троянських програм i/1 Downloader.Upatre. Win32.58730 ppData\Local\Temp\MP3_Launcher_l_36_0_0 C:\Users4 Unknown Шюдлива програма, що завантажуе з Mepexi Троянсью програми та встановлюе ix на комп'ютер без Вашого вщома. Кожного дня такий Завантажувач може встановлювати нову вераю Троянсько! програми. Error in moving to quarantine
С( Q © ЁЁЗ Ш © Scan Update Tools Settings Help Protect On-Run Protection SHIELD TRAFFIC: 10- 8- 6- 4- 2- o- ON I Stop Total scanned files: Total infected files: Last file scanned: 2710 1 C:\Windows\SysWOW64\Macromed\Flash\Flash.ocx Scanned files Infected files SHIELD DETECTION: |Time Name Target Action 114Ю1 j41 Trojan.Win32.CoinMiner__ CMJsers\^| ^AppData\Roaming\Steam\Reversed\Steam.exe blocked
GridinSoft Anti-Malware (64-bit) 3.0.53 - Scanning process ci Scan Protect Update Ш © Tools Settings Help ► Your system is at risk! Scan completed in 7 minute(s) 20 sec. Files were scanned 37703 Last scan result 11 detected items Apply to all: Move to quarantine Trojan.FPLCoinMiner.vl c:\user5^ee^3ppdata\roaming\steam\Reversed\ Trojan.FPLCoinMiner.vl .AconfigamI Trojan.FPLCoinMiner.vl ..\kernel\x11mod.cl Trojan.FPLCoinMiner.vl ..\libcurl.dll Trojan.FPLCoinMiner.vl Alibeay32.dll Delete Move to quarantine Move to quarantine Move to quarantine Move to quarantine Ignore Fix Now
а gsam.exe £) gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe £ gsam.exe 5928 jgjRegEnumKey 5928 ^RegEnumKey 5928 ^RegEnumKey 5928 ^RegEnumKey 5928 ^RegEnumKey 5928 ^RegEnumKey 5928 ^RegEnumKey 5928 ^CreateFile 5928 ^RegEnumKey 5928 ^RegEnumKey 5928 ^RegEnumKey 5928 ^RegEnumKey 5928 ^RegEnumKey 5928 ^RegEnumKey 5928 3^CreateFile 5928 ^RegEnumKey 5928 ^RegEnumKey 5928 ^RegEnumKey 5928 ^RegEnumKey 5928 ^RegEnumKey 5928 ^RegEnumKey 5928 ^CreateFile 5928 ^RegEnumKey 5928 ^RegEnumKey 5928 ^RegEnumKey 5928 ^RegEnumKey 5928 ^RegEnumKey 5928 ^RegEnumKey 5928 ^CreateFile 5928 ^RegEnumKey Редактор реестра Файjv Правка Вид Избранное Справка Styles Winamp > ■■ j Win AVI WinGluIxe Изменение параметра DWORD (32 бита) Параметр: M axS с ri ptState m e nts Значение: Система исчисления ® Шестнадцатеричная ©Десятичная OK Отмена III j»b] (По умолчанию) l$d] MaxScriptStatements in HKCU\S<j HKCR HKCR HKCR HKCR HKCR HKCU\S< C:\users\ HKCR HKCR HKCR HKCU\S6r HKCR HKCR C:\users HKCR HKCR в Manifestini □ 0 [Manifest] Version=2 length : 27 lines : 5 ppdata\local\Comc H КС U\S oftwa re\C I a s s e s HKCR HKCR HKCR C:\usersV HKCR H КС U\S oftwa re\C I a s s e s HKCR appdata\local\Com< HKCR HKCR HKCR C:\users HKCR appdata\local\Disca \Ш\ 22 Тип REG.SZ REG DWORD KoMnbraTep\HKEY_CURRENT_USER\Software\WebApp\Styles r ybdlll.tfAt: Rt:yi_iiuiiir\t:y £ GridinSoft Anti-Malware (64-bit) 3.0.51 - Сканирование Qv © Сканер Защита Обновление Инструменты Настройки Помощь Процесс сканирования c:\windows\temp . Ilulliililll, iiii.ii.ll. 12% О 23:22: О 23:22: Быстрое сканирование начато Процесс сканирования... О ф Файл: c:\user^JJ[^appdata\local\UnrealEngine\4.8\Saved\Config\WindowsNoEditor\Manifest.ini - Trojan.FPL.Coir jser: 56 Папка: c:\user«4^B^fceppdata\roaming\0penCandy\ “ Adware.FPL.OpenCandy.se Папка: cAusers^B^lkappdataMocalXPackageAwareX - Adware.FPL.Gen.vl 23:22: 23:22: 23:23: 23:23: 23:23: 23:23: 23:23: 23:23: 23:23: 23:23: 23:23: Реестр: HKCU\Software\WebApp - Adware.RPL.MultiPlug.vl Реестр: HKCU\Software\RegisteredApplicationsEx - Adware.RPL.MultiPlug.vl Реестр: HKCU\Software\AppDataLow\{12DA0E6F-5543-440C-BAA2-28BF01070AFA} - Adware.RPL.MultiPlug.vl Реестр: HKCR\TypeLib\{157BlAA6-3E5C-404A-9118-ClD91F537040} - Adware.RPL.MultiPlug.vl Реестр: HKCR\Interface\{3B3F3AAD-FB97-49FF-BFEE-D22869AC4326} - Adware.RPL.MultiPlug.vl Реестр: HKCR\TypeLib\{82351433-9094-llDl-A24B-00A0C932C7DF} - Adware.RPL.Gen.vl Реестр: HKCU\Software\Downloader - Adware.RPL.Downloader.vl 40 f Файл: c:\users\^^^tarimcheck-0.7.exe - Malware.MPL.Heur.vl
с Zillyo Internet Security x <r Back Q Guard 6b Inspector § USB-protection © Exclusions Quarantine
антивирусы,GridinSoft,Zillya,безопасность,длиннопост,тестирование,на самом деле нет,песочница
Теперь ближе к делу. Для среднестатистического анона пост интереса не вызывает, был бы я упоротым на софте гиком тогда заценил проделанную работу, но все то этого могу сказать только что то в стиле "И че теперь". Букв то много, посыл понятен, но я э сюда пришел деградировать. Пускай автор простит меня за мою безкультурщину, но псотец явно не для главное - не поржать, не поплакать так сказать. После прочтения просто словил себя на мысли что потерял 5 мин времени и ничего для себя не вынес.
Все это дело можно было и оформить аккуратнее и разбить все частями на более детальный анализ (возможно тогда интерес и проснулся), но получили кашу-масляную.
Все таки плюс он заслужил ибо проделанная работа для "новичка-аматора" заслуживает уважения. Надеюсь мои мысли в слух тебя как то подобью на новые попытки или продолжения старого.
Немножко ненавязчивой рекламы, которая ещё никого не убила(полагаю, в будущем будет навязчивой и множко, но пока - живём).