Про экран поведения

Здравствуйте. Эксперментируя с данным экарном, возникли вопросы

  1. Если стоит “разрешить” - то как я понял, всплывающего окна нет, что было совершено такое то действие ? Почему не всплывает ? Если стоит “блокировать” - есть всплывающее окно.
  2. Если стоит “спрашивать” - то окно может появиться у любой программы, даже если у неё хорошая репутация, действительная цифровая подпись ?
  3. Когда появляется окно ( программа пытается изменить защищенный ресурс ) - то как правильно поступить (если настроено “спрашивать”) ? Часто при запрете программа начинает некорректно работать, или перестает работать, а если разрешить, то есть вероятность, что заразишься.

Здравствуйте, Anmawe и добро пожаловать на форум!

1. Если стоит "разрешить" - то как я понял, всплывающего окна нет, что было совершено такое то действие ? Почему не всплывает ? Если стоит "блокировать" - есть всплывающее окно.
Всё абсолютно правильно. Если Вы разрешили запуск всех программ и процессов, то зачем Вам всплывающее окно? Для контроля? Так какой может быть контроль, если Вы разрешили ВСЕ действия, что практически означает: "я уверен в своей системе и поэтому разрешаю ей все необходимые действия"? А если Вы выбрали блокировку, то появление окна тоже понятно - сообщить пользователю, что запускаемая программа "повисла" или не "пошла" из-за блокировки того или иного процесса/файла.
2. Если стоит "спрашивать" - то окно может появиться у любой программы, даже если у неё хорошая репутация, действительная цифровая подпись ?
Что значит "хорошая репутация у программы"? Антивирусы не читают пресс-обзоры, они эвристически или по вирусным базам анализируют уровень угрозы, который могут представлять различные файлы и процессы. Заказная статья где-нибудь в "Компьютерре" не разжалобит антивирус, он поручит принять решение Вам.
3. Когда появляется окно ( программа пытается изменить защищенный ресурс ) - то как правильно поступить (если настроено "спрашивать") ? Часто при запрете программа начинает некорректно работать, или перестает работать, а если разрешить, то есть вероятность, что заразишься.
Как поступить зависит от многих причин: от Вашей уверенности в происхождении программы; от надёжности ресурса, откуда Вы её скачали; от того, знаете ли Вы что программа делает и зачем; и т.д. и т.п. Решение принимать следует индивидуально и обосновано. Как говорят, учите матчасть. Или спросите у специалиста.

Вот конректный пример, какие алерты у меня были

  1. Программа - shell32.dll
    Ресурс - настройка сети
    Запрос передан через - iexplorer.exe

2.Программа - AVZ
Ресурс - Системные службы и драйверы
Целевой объект - \Registry\Machine\System\CurrentControlSet\Services\

  1. Программа - Акронис
    Ресурс - настройки автоматичеки запускаемых программ (оболочка)
    Целевой объект - \REGISTRY…CurrentVersion\Policies\System\

  2. Программа - 7z920.exe
    Ресурс - настройки автоматичеки запускаемых программ

  3. При установке Firefox 16.0.2
    Программа - с:\DOCUME~1\Admin\LOCALS~1\Temp\nsg155.tmp\ns156.tmp
    Ресурс - системные служжбы и драйверы
    Запрос передан через - system32\services.exe

  4. Daemon Tools lite 4461-0327
    Ресурс - настройки автоматичеки запускаемых программ (терминальные службы)
    Запрос передан через - shell32.dll

  5. При установке iTunesSetup.exe
    Программа - shell32.dll
    Ресурс - Системные службы и драйверы
    Запрос передан через - system32\services.exe

  6. При установке Word
    Программа C:\WINDOWS\Installer\MSI1F0.tmp
    Ресурс - настройка сети
    Запрос передан через - С:\WINDOWS\system32\MsiExec.exe

Программа - C:\WINDOWS\Installer\MSI173.tmp
Ресурс - настройки автоматичеки запускаемых программ
Запрос передан через system32\regsvr.exe

Программа - system32\userinit.exe
Ресурс - настройки автоматичеки запускаемых программ
Запрос передан через - DW20.EXE
Потом появилось
Запрос передан через - system32\RunDLL32.exe

  1. При установке Framework
    C:\WINDOWS\Installer\MSI2A9.tmp
    Ресурс - Системные службы и драйверы
    Запрос передан через - system32\services.exe

На каждую .tmp - алертов (окно десятки раз появлялось)
Алертов много вообще было

Алертов много, то ли вирусы это, то ли всё нормально. Учить матчасть ? Что конректно ?

Я не могу сказать почему, как Вы говорите, у Вас столько запросов от экрана поведения. Может у Вас не стандартная Виндоуз, а какая-нибудь сборка. Или ещё что-нибудь нестандартное в ОС или в “железе”. У меня за всё время использования Аваста (несколько лет) на лицензионной Висте набралось чуть больше десятка запросов от экрана поведения.

:slight_smile:

а вы в расширенных настройках экрана поведения в основных настройках поставьте везде галочки, действие выберите-спрашивать. Тогда и будут появляться такие же вопросы,о которых пишет топикстартер. Особенно часто вопросы появляются при установке программ. По дефолту это вроде отключено.(я у себя включил,дополнительная эвристика не помешает :wink: )

По дефолту (определять автоматически) он всё разрешает, а когда разрешают - то и защиты нет. Вирусам тоже почти всё разрешено.
Я не видел, чтоб в автоматическом режиме он запрещал.

:slight_smile:

Он не все разрешает просто не докапывается по пустякам.
Я себе в Авасте почти все по дефолту оставляю, только эвристику везде ставлю на максимум и архиваторы все. Остальное не трогаю.

:slight_smile:

У вас ложные срабатывания бывают, когда эвристика на максимуме ?
Можно ли узнать, какой детект был - сигнатурный или эвристический ?

У меня не только ложных у меня еще вообще срабатываний не было, я в сети варюсь слишком давно, меня не интересует поиск проблем на мою ()() а туда куда я лажу и что скачиваю давно проверено и перепроверено, плюс браузер сам по себе все ненужное блокирует)
Поэтому честно сказать мой аваст за все время работы даже не пискнул, только иногда при сканировании жалуется если архивы запаролены и их не возможно проверить.
Раньше я сидел на авире, вот там было легко понять сигнатурный детект или нет, просто нажимал на ссылку о нахождении зловреда, сразу перекидывало на страницу с описанием всякой заразы и если там был мой зловред значит это сигнатурный детект, если небыло значит эвристика заподозрила. Возможно в Авасте тоже самое, но проверить нет возможности)

Хотя повторяю лучше всего пользоваться доверенными сайтами и не взломанными прогами а если и взломанными то скаченными от того кому доверяете и все будет нормально шансы подцепить заразу будут минимальны. Хотя иногда и сам грешу взломанными прогами хотя очень редко, пожалуй за последнее время только Оффис 2013 заставил меня отойти от принципов и скачать взломанную версию уж очень мне было интересно как они там накрутили все приваривая это к виндовс 8 )))

Sergey888, я согласен, но настройка “спрашивать” ведь не просто так сделана ! К тому же мне нравится следить за тем, кто и что делает .

Есть справочник, где подробно написано про ?

Ресурс
Целевой объект
Запрос передан через

То ,что аваст выдает - мне мало о чем говорит . Каперский, например, подробнее пишет (контроль программ) .

А зачем Вам избыточная информация? Вы пишите программы или их испытываете? Или же Вы - обычный пользователь?

Иногда испытываю.

Хорошо добавить в этот экран такие функции, как защиту от перезаписи MBR, системных файлов (explorer, winlogon и т.д.), то, что легитимные программы редко делают, а вредоносные часто. Если программа работает с правами пользователя, то в такой защите нет надобности. Но бывает, что при запуске exe файла появляется надпись типа “войдите как администратор”, или “нет доступа на запись туда-то” . При запуске с правами админа появляется риск, что вредонос сломает всё или глубоко внедриться в систему, в отличие от запуска с правами пользователя.

Ну в таком случае, вспоминайте английский язык и пишите свои предложения в главном форуме.

Хорошо добавить в этот экран такие функции, как защиту от перезаписи MBR, системных файлов (explorer, winlogon и т.д.), то, что легитимные программы редко делают, а вредоносные часто.
это все есть. при ручных настройках можно увидеть подобные сообщения антивируса. где-то здесь на форуме есть тема в которой выкладывали тесты на запуск винлоков (обычных и mbr) и шифровальщиков, в большинстве случаев аваст с ними справляется (имею ввиду при запуске).

При ручных настройках будет лишнее появляться, как в третьем посте в этой теме. Запустил ты, вроде потеницально вредоносных действия нет. Добавил его в исключения .А винлок может активироваться через 12 часов, то есть не сразу. И ничего не сообщат. Или надо все время на эти таблички смотретть, потому что когда винлок или шифровальщик активируется - неизвестно. Может он через 3 дня появится. Они же внезапно появляются, ничего не запускал, и тут хоп - вылезло.
Есть примеры, когда например человек смотрел порно, а потом вдруг вылезло “Вы смотрели порно, надо заплатить за просмотром”. Например, при включении компа.

При ручных настройках будет лишнее появляться
при использовании безопасных приложений, или просто при серфинге в инете, никаких лишних сообщений не появляется. Все правила создаются при первой настройки аваста и запуска программ, дальше тишина и сообщения только на подозрительную активность в системе.
А винлок может активироваться через 12 часов, то есть не сразу.
я об этом и говорю, не важно когда, но при активации зловреда, будет сообщение от антивируса.