Microsoft Security Essentials

[Dann]

Microsoft представила новую версию антивируса Security Essentials. Программа доступна для скачивания бесплатно (но для установки на компьютере должна работать подлинная копия Windows).

По сравнению с предыдущей версией, антивирус Microsoft Security Essentials получил ряд усовершенствований, среди которых выделяют более упрощенный интерфейс, повышенную производительность движка, а также новый функционал, позволяющий программе удалять вредоносное ПО автоматически.

[Viper]

Около полугода пользуюсь этим антивирусником. Не грузит систему, заразу ловит исправно, настройки элементарные, бесплатный для лицензионной Винды - что еще надо?

[akoK]

Для базовой защиты самое оно.. особенно если не отключать встроенный фаерволл, тогда это довольно весомая защита компьютера "за бесплатно".

[Timba]

Случилось так, что устанавливал лицензионные продукты. Ну и раз уж такое, ставил MS Security Essentials.

Нормальный адекватный антивирус. Настроек мало, обновляется с WindowsUpdate, проверяет лицензионность,

но вполне выполняет свои функции. Ставить что-либо другое просто не имело смысла. Это "пять копеек".

[mikemet]

Полностью согласен с Timba - продукт действительно эффективен, ненавязчив, малозаметен при работе, нетребователен.

Имею "правильную" Windows 7 на домашней машине. Время от времени ставлю другие антивирусные продукты ( ну интересно же поробовать ;) ), но затем снова возвращаюсь к MS Security Essentials.

Программа честно делает свое дело и не "напрягает".

Включаю любые игрушки и даже не думаю обо всяких "игровых режимах". "Пять".

[Matias]

Выяснилось, что MSE при установке без предупреждения сбрасывает настройки автоматического обновления на стандартные, а также меняет источник обновлений с WU на MU. Кроме того, антивирус зачем-то загружает WGA Notifications, хотя у него есть собственный валидатор.

Изменено 19 июня, 2012 пользователем Matias

[Matias]

Возникла неожиданная проблема. MSE почему-то не хочет обновляться автоматически. При попытке обновления вручную обновляется нормально. Решил проблему, настроив обновление из командной строки.

Следует иметь в виду, что в четвертой версии изменилась папка установки MSE, теперь она называется Microsoft Security Client. Следовательно команда обновления антивирусных баз MSE должна выглядеть так

"%ProgramFiles%\Microsoft Security Client\MpCmdRun.exe" -SignatureUpdate

Изменено 7 мая, 2012 пользователем Matias

[Matias]

Еще один вопрос по MSE. Когда я его поставил, то первая проверка длилась 56 минут. А сегодня запланированная проверка заняла всего 30 минут, притом что никакие настройки MSE не менялись (я только добавил несколько папок в исключения). Значит ли это, что антивирус каждый раз проверяет только новые файлы? Вот выдержка из журнала событий Windows

Тип события: Уведомление

Источник события: Microsoft Antimalware

Категория события: Отсутствует

Код события: 1001

Дата: 10.05.2012

Время: 19:47:36

Пользователь: Н/Д

Компьютер: HOMECOMP

Описание:

Сканирование Microsoft Antimalware завершено.

ИД сканирования: {DE921D14-D52B-4E3A-A522-A95211C20978}

Тип сканирования: Antimalware

Параметры сканирования: Полное сканирование

Пользователь: NT AUTHORITY\NETWORK SERVICE

Время сканирования: 0:30:23

Тип события: Уведомление

Источник события: Microsoft Antimalware

Категория события: Отсутствует

Код события: 1001

Дата: 07.05.2012

Время: 17:14:43

Пользователь: Н/Д

Компьютер: HOMECOMP

Описание:

Сканирование Microsoft Antimalware завершено.

ИД сканирования: {698B7DFF-1E50-4A20-B0A7-E97D4165B196}

Тип сканирования: Antimalware

Параметры сканирования: Полное сканирование

Пользователь: HOMECOMP\Matias

Время сканирования: 0:56:19

Изменено 10 мая, 2012 пользователем Matias

[kvazimoda]

Значит ли это, что антивирус каждый раз проверяет только новые файлы?

Нет, это значит, что

я только добавил несколько папок в исключения

[edde]

Вообще антивирусы для ускорения работы помечают проверенные файлы, и не проверяют повторно если они не были изменены. В чем проблема-то, что беспокоит?

[kvazimoda]

Вообще антивирусы для ускорения работы помечают проверенные файлы, и не проверяют повторно если они не были изменены. В чем проблема-то, что беспокоит?

Ну, если бы в данном случае антивирь помечал бы файлы, то сканирование заняло бы не 30 минут, а минут 5-10. Поэтому я склоняюсь больше к тому, что причиной сокращения времени сканирования послужило исключение некоторых файлов из списка проверки. Но надо не забывать, что на время сканирования влияет не только количество проверяемых файлов, но и общая загруженность системы. Учитывая то, что @Matias не сформулировал точно свой вопрос и не предоставил подробных сведений о настройке антивируса, то можно только догадываться, что послужило такому разбросу во временах сканирований.

[Matias]

Поэтому я склоняюсь больше к тому, что причиной сокращения времени сканирования послужило исключение некоторых файлов из списка проверки. Но надо не забывать, что на время сканирования влияет не только количество проверяемых файлов, но и общая загруженность системы.

Из проверки были исключены следующие папки:

1. Папка установки MBAM

2. Папка установки SAS

3. Папка программы WSUS Offline Update

4. Папка установки Cobian Backup

5. Папка, в которую был загружен установочный файл LibreOffice

На момент начала сканирования и до его завершения система находилась в состоянии бездействия. Что касается настроек антивируса, то я изменил только одну - время запланированной проверки.

В чем проблема-то, что беспокоит?

Никаких проблем нет, меня удивило столь резкое сокращение времени проверки

Изменено 10 мая, 2012 пользователем Matias

[kvazimoda]

А каков суммарный объём исключённых папок? Каков объём всех остальных файлов?

[Matias]

А каков суммарный объём исключённых папок?

Исключенные папки можно вообще не учитывать, поскольку во время первого сканирования они отсутствовали.

[kvazimoda]

Исключенные папки можно вообще не учитывать, поскольку во время первого сканирования они отсутствовали.

Тогда остаётся только два варианта, либо антивирус действительно не проверяет старые файлы, но тогда непонятно, чего он так долго проверял второй раз. Неужели так много зименений было. Либо во время первого сканирования были какие-то другие файлы, которые потом удалились.

Проверить помечает ли антивирус файлы довольно просто. Надо взять какую-нибудь папку с файлами, которую антивирь раньше не проверял, проверить её один раз, засеч время, перезагрузиться (чтобы выкинуть файлы из кеша) и проверить повторно. Если время будет различаться в несколько раз, то значит антивирь помечает файлы.

[edde]

Ну, если бы в данном случае антивирь помечал бы файлы, то сканирование заняло бы не 30 минут, а минут 5-10.

:) Из каких данных расчеты?

Когда новые вирусы начали появляться почти ежедневно, эксперты задумались, как это остановить. В результате были созданы две технологии: эвристический анализатор и поведенческие блокираторы. В настоящее время появился термин проактивная защита, который объединяет эти понятия.

В процессе работы эвристический анализатор проверяет код приложений, макросов и сценариев и пытается найти в них подозрительные команды или действия. Если количество последних превысит некий барьер, можно сделать вывод об их вирусном происхождении.

Наиболее эффективны динамические анализаторы, запускающие приложение посредством эмуляции. Подобным образом действуют поведенческие блокираторы, только вместо эмуляции запуска программ они работают в реальной среде, анализируя последовательность операций приложения.

Сегодняшний антивирус состоит из нескольких компонентов, каждый из которых отвечает за обнаружение вирусов на определенном участке работы.

• Первый и основной антивирусный компонент – сканер (On-Demand Scanner). Задачей сканера является проверка по требованию пользователя файлов, памяти и загрузочных секторов на наличие вирусов. Сканер необходимо периодически запускать для проверки имеющихся файлов и при получении новых.

• Пользователи часто забывают проверять принесенные дискеты и диски. Именно по этой причине был разработан страховочный компонент антивируса – монитор(On-Access Scanner).

В отличие от сканера, монитор постоянно находится в оперативной памяти и автоматически проверяет файлы в реальном времени. Когда пользователь пытается запустить программу, монитор перехватывает запрос, проверяет файл на наличие вирусов и, если он чист, разрешает дальнейшее выполнение. Одни мониторы контролируют файлы только в процессе запуска, другие проверяют все, с чем работает пользователь, а также изменяемые и закрываемые файлы.

Монитор предоставляет пользователю большую безопасность и очень удобен, так как предупреждает пользователя только когда сталкивается с проблемой, а все проверки происходят незаметно. Однако именно монитор нагружает систему, часто вызывая раздражение пользователя, и становится причиной отключения антивируса, чтобы он не мешал работе. Работа монитора часто является определяющей при выборе антивируса, так как в различных решениях он по-разному нагружает систему.

• Еще один компонент антивируса – ревизор изменений. Его задача – отслеживать изменения в важных системных файлах. Если охраняемый файл изменился, это может означать, что в системе не все в порядке, о чем антивирус предупреждает пользователя. Если монитор загружен, а пользователь не изменял системные файлы, такая ситуация может означать, что компьютер заражен неизвестным вирусом, и первое, что необходимо сделать, – это обновить антивирусные базы и проверить систему.

отсюда и скорость работы, потому что нет смысла постоянно нагружать ресурсы системы полной проверкой.

[Matias]

либо антивирус действительно не проверяет старые файлы

Похоже, так оно и есть. Очередная плановая полная проверка заняла всего 23 минуты.

Изменено 19 мая, 2012 пользователем Matias

[Matias]

Похоже, MS несправедливо ругали за MSE. Вчера выполнил проверку системы ESET Online Scanner, тот ничего не обнаружил. Правда, я достаточно осторожен при работе за компьютером. Лично меня в MSE не устраивает только отсутствие нормальных логов (антивирус записывает данные непосредственно в журнал событий Windows). Но поскольку продукт бесплатен, этим можно пренебречь.

Изменено 23 мая, 2012 пользователем Matias

[Matias]

Сегодня обратил внимание, что значок MSE в трее вдруг стал желтым. Открыв главное окно, чтобы узнать причину, увидел надпись, что компьютер давно не проверялся, и это может быть опасно. Странность в том, что последняя плановая полная проверка была выполнена два дня назад.

Изменено 19 июня, 2012 пользователем Matias

[Matias]

Владимир Безмалый оказался прав. MSE автоматически выполняет проверку подлинности Windows каждые сутки, о чем честно пишет в логе

MpCmdRun: Command Line: "C:\Program Files\Microsoft Security Client\MpCmdRun.exe" -GenuineCheck -RestrictPrivilegesStart Time: ‎Пт ‎июн ‎08 ‎2012 14:56:38MpCmdRun: End Time: ‎Пт ‎июн ‎08 ‎2012 14:56:38

Все результаты проверки записываются в следующий файл

С:\Documents and Settings/All Users/Application Data/Windows Genuine Advantage/Data/data dat

Кстати, в этот же файл записывают результаты проверки и остальные валидаторы (KB892130, KB905474, WMP11). Вышеуказанная информация применима к Windows XP.

Изменено 3 июля, 2012 пользователем Matias

[Matias]

Нашел обзор второй версии MSE по результатам которого антивирус получил довольно низкую оценку (3.4 из 5). Я начал использовать MSE лишь с четвертой версии. Неужели вторая была настолько плоха?

[Yezhishe]

А что в том удивительного? Первый блин - комом, как известно, второй - немногим лучше... Сплошь да рядом встречается, тем более - в такой специфической области.

[Matias]

Первый блин - комом, как известно, второй - немногим лучше

Так ведь MSE - это не первый антивирус Microsoft. У них ведь давно был (да и сейчас есть) Microsoft Forefront Security.

[Matias]

Странное дело. Похоже, MSE почему-то не обращает внимания на список исключений. Вот какую запись антивирус сделал в журнале событий Windows (выделение мое)

Тип события: Уведомление

Источник события: Microsoft Antimalware

Категория события: Отсутствует

Код события: 1015

Дата: 21.06.2012

Время: 18:36:04

Пользователь: Н/Д

Компьютер: HOMECOMP

Описание:

Программа Microsoft Antimalware обнаружила подозрительное поведение.

Дополнительные сведения:

http://go.microsoft.com/fwlink/?linkid=158117&threatid=4294967289

Имя: Informational:Behavior/ModifiedKernel

ИД: 1049896408

Серьезность: Низкий

Категория: Подозрительное поведение

Путь: process:_0

Исходный объект обнаружения: Неизвестно

Тип обнаружения: Подозрительный

Источник обнаружения: Защита в режиме реального времени

Состояние: Выполняется

Пользователь: Unknown\Unknown

Имя процесса: Unknown

ИД сигнатуры: 717259538435

Версия сигнатур: AV: 1.129.208.0, AS: 1.129.208.0

Версия ядра: 1.1.8502.0

Метка точности: Средний

Имя целевого файла: c:\windows\system32\drivers\cmdguard.sys

Заподозренный файл - это драйвер Comodo, который был внесен в список исключений MSE сразу после установки файрвола.

[edde]

C:\Windows\system32\drivers\cmdguard.sys - COMODO Internet Security Sandbox Driver - что беспокоит то?