CIS 8: Антивирус Comodo

Параметры антивируса Comodo Internet Security 8, проблема оповещений, виды исключений, доступ к блокируемым файлам, запланированные задания

Основные параметры антивируса

В окне настройки Comodo Internet Security за работу антивируса отвечает опция «Производить сканирование в реальном времени» на вкладке «Антивирусный мониторинг». Когда данная опция отмечена, возможны два режима работы антивируса: «Кумулятивное сканирование» и «Сканирование по доступу».

Согласно официальному руководству, при кумулятивном сканировании используются различные приемы для повышения производительности и снижения потребления ресурсов, такие как фоновое сканирование. Этот режим включается опцией «Оптимизировать процесс сканирования». Если эта опция отключена — антивирус работает в режиме сканирования по доступу.

Антивирус Comodo в режиме кумулятивного сканирования

Опция «Формировать кэш, если компьютер в режиме ожидания» разрешает производить во время простоя компьютера работы по оптимизации сканирования в реальном времени. Она включает задание «COMODO Cache Builder» в системном планировщике заданий.

Согласно официальному руководству, опция «Уровень эвристического анализа» отвечает за выявление программ, содержащих характерный для вирусов код. Повышение этого уровня увеличивает вероятность и обнаружения неизвестных вирусов, и ложных срабатываний. Рекомендуется оставить «Низкий».

На вкладке «Рейтинг файлов» > «Настройка рейтинга файлов» есть опция «Выявлять потенциально нежелательные приложения». Обычно в указанную категорию попадают различные средства обхода лицензионной защиты и leak-тесты. Хотя, согласно официальному руководству, подразумеваются приложения, которые работают скрыто от пользователя или имеют скрытую функцию: наподобие браузерных панелей, которые устанавливаются одновременно с другим ПО и выполняют слежение за интернет-активностью пользователя. Данная опция определяет поведение одновременно и антивируса, и облачного обнаружения вредоносных файлов. Если ее отключить, то приложения из категории «потенциально нежелательных» не будут считаться вредоносными и снизится число ложных срабатываний антивируса.

Не выявлять потенциально нежелательные приложения

Как уже говорилось в статье о рейтинге файлов, опция «Максимальный размер файла» на вкладке «Антивирусный мониторинг» влияет не только на работу антивируса, но и на прочие компоненты защиты: это максимальный размер неподписанного файла, для которого проверяется рейтинг. Там же было объяснено, почему опасно увеличивать это значение. Добавлю, что данная опция не влияет на максимальный размер сканируемых составных объектов: он остается равным 40 МБ. Даже если создать самораспаковывающийся архив, запускающий вирусы, — он не будет просканирован при превышении именно 40 МБ.

Чтобы отключить антивирус через окно настройки, следует отключить опцию «Производить сканирование в реальном времени». Можно сделать отключение временным, чтобы антивирус возвращался в прежний режим по истечении 15, 30 или 60 минут: для этого следует отключить его через главное окно или через контекстное меню значка на панели задач. Даже если до истечения выбранного времени произвести перезагрузку — антивирус останется выключенным и включится именно в положенный момент. Напомню, что отключение антивируса еще не ведет к отключению облачного выявления вредоносных файлов и возможности их удаления.

Временное отключение антивируса

Оповещения антивируса

Если оповещения антивируса не отключены, то при обнаружении вредоносного файла пользователю будет предложено удалить этот файл в карантин, добавить в исключенные пути или проигнорировать.

Оповещение антивируса

Проблема в том, что фактически можно будет выбрать либо удаление, либо помещение в исключения: при выборе варианта «игнорировать» оповещение будет возникать снова и снова. Поэтому рекомендую отметить на вкладке «Антивирусный мониторинг» опцию «Не показывать оповещения». Очевидно, если указать при этом вариант «Направлять в карантин», то из-за ложных срабатываний антивируса могут пострадать безопасные файлы. Так что рекомендуемый режим — «Не показывать оповещения: Блокировать угрозы». В этом случае пользователь увидит всплывающее уведомление без возможности выбора действия, причем лишь при первом обнаружении угрозы. Можно отказаться от получения и этих уведомлений, отключив опцию «Показывать информационные сообщения» на вкладке «Интерфейс».

Уведомление о блокировке файла антивирусом

Обращаю внимание: оповещения облачного выявления вредоносных файлов похожи на оповещения антивируса, но настраиваются отдельно. О них рассказано в статье о рейтинге файлов.

При обнаружении вредоносного ПО обычно появляется окно с предложением платной техподдержки GeekBuddy. Показ этого окна не всегда удается отключить через интерфейс CIS. Решение проблемы: в каждом разделе реестра вида HKLM\SYSTEM\Software\COMODO\Firewall Pro\Configurations\?\Settings (здесь на место знака ? подставляются номера 0, 1 и т.д.) задать dword-параметрам ShowGeekBuddyOffer, ShowGeekBuddyOfferSandbox и ShowGeekBuddyOfferRealTime значение 0, а затем выполнить перезагрузку.

Как отключить рекламу GeekBuddy при обнаружении вируса

Исключения из антивирусного сканирования

Антивирус не проверяет доверенные файлы. В то же время на вкладке настройки антивируса есть отдельный список исключений для файлов и папок («Антивирус» > «Исключения» > «Исключенные пути»). Как следует из названия этого списка, в нем учитываются именно пути и имена, в отличие от списка доверенных, основанном на контрольных суммах содержимого файлов. В случае уверенности в безопасности блокируемого антивирусом файла предпочитительнее добавить его в список доверенных, а не в «Исключенные пути».

На вкладку «Исключенные пути» имеет смысл добавлять файлы, которые нежелательно делать доверенными. Удобно сделать исключенным какой-либо отдельный каталог, чтобы хранить в нем подозрительные файлы. Также можно добавлять в исключения шаблоны путей.

Отмечу, что добавление файла в доверенные или в «Исключенные пути» исключает его не только из сканирования антивирусом, но и из облачного определения вредоносных программ.

Доступ к заблокированным файлам

Если антивирус блокирует файл, то запрещаются любые операции с ним, включая чтение и копирование (разрешается удаление и перемещение в пределах диска). Однако можно разрешить чтение и копирование таких файлов определенным программам: следует занести такие программы в список «исключенных приложений» («Антивирус» > «Исключения» > «Исключенные приложения»). Например, для онлайн-проверки файлов полезно установить программу VirusTotal Uploader. Чтобы она могла работать с файлами, которые блокирует антивирус Comodo, занесем ее в указанный список.

Отправка файла на VirusTotal

Также предлагаю добавить в контекстное меню проводника специальный пункт для копирования заблокированных антивирусом файлов. Например, таким способом можно будет скопировать подозрительный файл в каталог, исключенный из сканирования. Для этого будет использоваться программа, которая просто копирует файл, указанный в командной строке, в заданное место. Эту программу следует добавить в список «исключенных приложений» и в «доверенные». Также понадобится внести изменения в реестр для создания нового пункта контекстного меню. Чтобы не загромождать контекстное меню, новый пункт будет скрытым: понадобится удерживать клавишу Shift, чтобы его увидеть. Все необходимые материалы: исполняемый файл, исходный код, данные реестра и инструкция — в архиве.

Копирование заблокированного антивирусом файла

Важно знать, что программам, занесенным в «исключенные приложения», антивирус разрешает не только чтение, но и запуск вредоносных файлов. Если при попытке запуска произойдет блокировка или даже удаление такого файла — это результат работы облачного анализа или проактивной защиты, но не самого антивируса.

Сканирование и обновление по расписанию

На вкладке «Виды сканирования» можно задавать различные задачи антивируса и заносить их в расписание.

По умолчанию в расписание внесено регулярное полное сканирование компьютера, что, на мой взгляд, не оправдано: при необходимости таких проверок лучше подходит Dr.Web CureIt! (только для домашнего использования) или Kaspersky Virus Removal Tool и т.п. Эту задачу можно исключить из расписания, открыв раздел «График» в окне ее параметров.

Отключение запланированного сканирования

О способах обновления антивируса было рассказано в статье об установке. Добавлю здесь, что можно задать обновление антивирусной базы по своему расписанию: для этого понадобится создать профиль сканирования, в качестве объекта выбрать что-нибудь пустое, включить опцию «Перед сканированием автоматически обновлять антивирусную базу» и выбрать график. Затем можно будет открыть системный планировщик заданий, найти в разделе COMODO свое «сканирование» и задать условия запуска более тонко. Отмечу, что процедура обновления относительно ресурсоемкая.

Комментарии и отзывы

Нашли ошибку?

Новое на сайте