Антивирус в COMODO Internet Security 10-12

Параметры антивируса Comodo, оповещения, виды исключений, доступ к блокируемым файлам, обновление, запланированные задания

Основные параметры антивируса

В окне настройки Comodo Internet Security за работу антивируса отвечает опция Производить сканирование в реальном времени на вкладке Антивирусный мониторинг. Когда данная опция отмечена, возможны два режима работы антивируса: Кумулятивное сканирование и Сканирование по доступу.

Согласно официальному руководству, при кумулятивном сканировании используются различные приемы для повышения производительности и снижения потребления ресурсов, такие как фоновое сканирование. Этот режим включается опцией Оптимизировать процесс сканирования. Если эта опция отключена — антивирус работает в режиме сканирования по доступу.

Антивирус Comodo в режиме кумулятивного сканирования

Согласно официальному руководству, опция Уровень эвристического анализа отвечает за выявление программ, содержащих характерный для вирусов код. Повышение этого уровня увеличивает вероятность и обнаружения неизвестных вирусов, и ложных срабатываний. Рекомендую оставить Низкий.

Опция Выявлять потенциально нежелательные приложения, расположенная на вкладке Рейтинг файлов → Настройка, влияет на работу как облачной проверки, так и антивируса. Когда она включена, программы определенной категории считаются вредоносными: ПО для скрытого сбора данных, средства удаленного доступа, средства обхода лицензионной защиты и т.д. Также, что несколько странно, в эту категорию входят программы для тестирования защиты. Если отключить эту опцию, то соответствующие приложения не будут считаться вредоносными и снизится число ложных срабатываний антивируса.

Относительно опции Максимальный размер файла на вкладке Антивирусный мониторинг отмечу, что она не влияет на максимальный размер сканируемых составных объектов: он остается равным 40 МБ. Так, антивирус не блокирует самораспаковывающийся архив, запускающий вирусы, если его размер превышает 40 МБ.

Чтобы отключить антивирус через окно настройки, следует отключить опцию «Производить сканирование в реальном времени». Можно сделать отключение временным, чтобы антивирус возвращался в прежний режим по истечении 15, 30 или 60 минут: для этого следует отключить его через главное окно или через контекстное меню значка на панели задач. Даже если до истечения выбранного времени произвести перезагрузку — антивирус останется выключенным и включится именно в положенный момент. При отключенном антивирусе облачная проверка все еще будет выявлять вредоносные программы, а Auto-Containment удалять их, в зависимости от настройки.

Версия CIS 12 может автоматически сканировать съемные носители при подключении. По умолчанию установлен режим Не показывать оповещения автоматического сканирования: Игнорировать, что означает не выполнять сканирование и не предлагать его. При желании можно сменить режим на «Сканировать», чтобы автоматическое сканирование запускалось без вопросов. Но пожалуй, наиболее целесообразный вариант — отключить эту опцию, чтобы при каждом подсоединении устройства выводилось предложение просканировать его.

Антивирусное сканирование съемных носителей в COMODO Internet Security

Исключения из антивирусного сканирования

Антивирус имеет список исключений Усиленная защита → Исключения сканирования → Исключенные пути, состоящий из путей к файлам, их шаблонов (с символами * и ?) и групп файлов. Как следует из названия, файлы, добавленные в этот список, исключаются из антивирусной проверки на основе своего расположения. Такие файлы будут обрабатываться как обычные неопознанные. Например, можно завести специальный каталог C:\Exclusions для хранения подозрительных файлов и добавить его в этот список.

Но если имеет место ложноположительное срабатывание, то исключать файл по расположению — плохое решение. Вместо этого лучше добавить файл в доверенные (Рейтинг файлов → Список файлов) — и антивирус не будет реагировать ни на этот файл, ни на его копии. Доверенные файлы антивирус считает чистыми. Как вариант, можно добавить в доверенные поставщика программы, на которую реагирует антивирус: тогда он сочтет чистыми и другие версии этой программы.

Отмечу, что добавление файла в доверенные или в «Исключенные пути» исключает его не только из сканирования антивирусом, но и из облачного определения вредоносных программ.

Оповещения антивируса

Если оповещения антивируса не отключены, то при обнаружении вредоносного файла будут предложены варианты:

  • Обезвредить: файл удалится в карантин;
  • Игнорировать в этот раз: на мгновение файл будет доступен для чтения;
  • Игнорировать и добавить в исключения: файл добавится в Исключенные пути;
  • Игнорировать и сообщить о ложном срабатывании: файл добавится в доверенные.

Оповещение антивируса

Проблема в том, что фактически можно будет выбрать либо удаление, либо добавление в исключения, либо добавление в доверенные: при выборе варианта Игнорировать в этот раз оповещение будет возникать снова и снова. Поэтому рекомендую отметить на вкладке Антивирусный мониторинг опцию Не показывать оповещения. Очевидно, если указать при этом вариант Направлять в карантин, то из-за ложных срабатываний антивируса могут пострадать безопасные файлы. Так что рекомендуемый режим — Не показывать оповещения: Блокировать угрозы. В этом случае просто заблокируется чтение вредоносного файла. Также при этом всплывет уведомление без возможности выбора действия, но лишь при первом обнаружении угрозы. Можно отказаться и от этих уведомлений, отключив показ «информационных сообщений» на вкладке Интерфейс.

Оповещения облачного выявления вредоносных файлов похожи на оповещения антивируса, но настраиваются отдельно, на вкладке Рейтинг файлов → Настройка.

В версии CIS 10 и ниже при обнаружении вредоносного ПО обычно появляется окно с предложением платной техподдержки GeekBuddy. От дальнейшего показа этого предложения можно отказаться соответствующей опцией в том же окне; это придется делать по отдельности для разных способов обнаружения угрозы. Однако редактированием реестра можно отказаться сразу от всей подобной рекламы, не дожидаясь ее появления: в каждом разделе реестра вида HKLM\SYSTEM\Software\COMODO\Firewall Pro\Configurations\?\Settings (здесь на место знака ? подставляются номера 0, 1 и т.д.) задать dword-параметрам вида ShowGeekBuddyOffer* значение 0, а затем выполнить перезагрузку.

Как отключить рекламу GeekBuddy при обнаружении вируса

Доступ к заблокированным файлам

Если антивирус блокирует файл, то запрещаются любые операции с ним, включая чтение и копирование (разрешается удаление и перемещение в пределах диска). Однако можно разрешить чтение и копирование таких файлов определенным программам: следует занести эти программы в список Усиленная защита → Исключения сканирования → Исключенные приложения. Например, для онлайн-проверки файлов полезно установить программу VirusTotal Uploader. Чтобы она могла работать с файлами, которые блокирует антивирус Comodo, добавим ее в Исключенные приложения.

Также предлагаю добавить в контекстное меню проводника специальный пункт для копирования заблокированных антивирусом файлов. Например, таким способом можно будет скопировать подозрительный файл в специальную папку, исключенную из сканирования, чтобы исследовать его там или просто заархивировать. Для этого будет использоваться простейшая программа, копирующая в заданное место файл, указанный в командной строке. Понадобится скачать архив с программой (пароль cis), поместить программу в любое удобное место и добавить ее в доверенные и в Исключенные приложения. После запуска она предложит добавить в контекстное меню проводника пункт «COMODO: сохранить файл...»; его удаление выполняется повторным запуском. Чтобы не загромождать контекстное меню, новый пункт будет скрытым: доступным, только если при вызове контекстного меню удерживать клавишу Shift. Программа написана на AutoIt3, в папке source прилагается исходный код и конвертер: в случае сомнений вы можете сгенерировать аналогичную программу, проверив ее код и подпись конвертера.

Копирование заблокированного антивирусом файла

Важно знать, что программам, занесенным в Исключенные приложения, антивирус разрешает не только чтение, но и запуск вредоносных файлов. Если при попытке запуска произойдет блокировка или даже удаление такого файла — это результат работы облачного анализа или проактивной защиты, но не самого антивируса.

Профили сканирования. Облачное определение рейтинга

На вкладке Антивирус → Виды сканирования можно задавать различные задачи антивируса и заносить их в расписание. По умолчанию в расписание внесено регулярное полное сканирование компьютера, что, на мой взгляд, не оправдано. Эту задачу можно исключить из расписания, открыв раздел График в окне ее параметров.

Отключение запланированного сканирования

Специальный профиль «Ручное сканирование» определяет параметры сканирования, которое запускается через контекстное меню проводника.

Профиль ручного сканирования

В настройке каждого профиля имеется опция При сканировании использовать возможности облачного сканирования. Если она включена, выполняется облачное определение рейтинга исполняемых (Portable Executable) файлов. В результате все такие просканированные файлы попадают на вкладку Рейтинг файлов → Список файлов.

В профиле «Ручное сканирование» эта опция включена по умолчанию, что дает удобный способ сделать доверенными все исполняемые файлы в определенной папке: просканировать эту папку, на вкладке Список файлов применить фильтр по времени обнаружения, выделить все записи и через контекстное меню задать рейтинг.

Обновление антивируса. Запланированные задания

Автоматическое обновление антивирусной базы настраивается на вкладке Общая настройка → Обновления.

На той же вкладке настраивается обновления самого комплекса, однако за исключением критических исправлений, его обновление не происходит автоматически: требуется подтверждение пользователя. При обновлении программы необходимо обращать внимание на все параметры аналогично первоначальной установке.

Для ручного офлайн-обновления антивируса следует в главном окне CIS нажать значок справки, выбрать пункт О программе, затем Импортировать антивирусную базу и указать путь к файлу с базой. Этот файл можно скачать непосредственно или скачать в архиве по ссылке на странице официального форума.

Обновление вручную офлайн

Можно задать обновление антивирусной базы по своему расписанию: создать профиль сканирования, в качестве объекта выбрать что-либо пустое, включить опцию Перед сканированием автоматически обновлять антивирусную базу и выбрать график. Затем можно будет открыть системный планировщик заданий, найти в разделе COMODO свое «сканирование» и задать условия запуска более тонко.

Подписаться на: Сообщения (Atom)