09.12.2013, 06:56 | #231 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
|
26.04.2014, 22:59 | #232 (permalink) |
Member
Регистрация: 29.10.2011
Сообщений: 5,543
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 554
|
http://pchelpforum.ru/f26/t137301/
Как найти BitCoinMiner ? ------------- Его не надо искать - он Вас сам найдёт ------------- А если серьёзно: 1) Сейчас BitCoinMiner маскируется под легальные программы. Например под: CHROME.EXE GOOGLEUPD.EXE и т.д. Основное отличие этих файлов/объектов от легальных программ в отсутствии цифровой подписи. Как проверить ц.подпись ? Выбрать файл > Хлопнуть правой лапой зверя ( мыши ) по файлу откроется: _СВОЙСТВА_ Посмотрите вкладку Цифровая подпись - есть она или нет... ----- В программе uVS также можно произвести проверку. Запускаем uVS > выбираем файл в списке > Хлопнуть правой лапой зверя > Зайти в ИНФОРМАЦИЯ > Проверить ц. подпись файла. ( на некоторых системах проверка подписи не работает ) Можно проверит подпись разом у всех файлов: Запускаем uVS > Жмём F6 > ждём ( желательно чтобы был доступ к сети ) --------- ИТАК: 1) У файла нет подписи. 2) Файл ( или один из файлов КАТАЛОГА ) в автозапуске. ( чего быть не должно ) Запускаем uVS > выбираем файл в списке > Хлопнуть правой лапой зверя > Зайти в ИНФОРМАЦИЯ. И смотрим в автозапуске он или нет... 3) Проверяем файл на онлайн сканере - например на virusscan.jotti Хлопнуть правой лапой зверя по файлу > В меню выбрать virusscan.jotti - и тип проверки... Смотрим результат. 4) Обращаем внимание на сетевую активность файла. 5) Если уверены - что это зверь, удаляем. т.е. Поиск осуществятся по ряду параметров и их сочетанию. |
26.04.2014, 23:21 | #234 (permalink) |
Member
Регистрация: 29.10.2011
Сообщений: 5,543
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 554
|
Ark
Да. ------ Смотрим категорию сетевая активность. Смотрим/проверяем объекты Автозапуска. Работаем с базой проверенных файлов ( Позволяет на порядок сократить список проверки ) Базу скачиваем здесь:http://dsrt.dyndns.org/files/MAIN.zip ( прямая ссылка ) Скачивать _ТОЛЬКО_ через менеджер загрузок ( типа Download Master ) После чего создаём папку/каталог рядом с start.exe и называем её SHA И в эту папку распаковываем базу... Для проверке списка ( это работает, как фильтр на отсев проверенных ) ( чистый файл, если он есть в базе проходит проверку и пропадает из видимого списка ) Жмём F4. После F4 Жмём F6. А всё оставшееся проверяем сами... Прежде всего обращаем внимание на всякие аномалии. Размер/вес файла слишком большой или наоборот слишком мелкий... Вдруг оказался в автозапуске... ------ Также в uVS есть фильтр по дате/времени - т.е. можно задействовать фильтр и посмотреть какие НОВЫЕ файлы появились в системе... ( некоторые вирусы маскируются - они могут изменить информацию/данные время своего создания изменения ) Обращаем внимание, если в одной папке/каталоге файлы нескольких типов: .EXE и .DLL т.е. программа + дополнительный функционал. Обращаем внимание на имя/наименование каталога. На его путь/директорию. Известный/ные или нет. ----- При работе с онлайн сканерами обращаем внимание на время первой и крайней проверки. ( например файл впервые проверили 3 дня назад... ) Или же файл первый раз проверили 3 года назад. Смотрим на вердикт... Следует доверять результатам проверки ТОЛЬКО известным антивирусам. Таким как: Dr.Web ESET Kaspersky |
02.05.2014, 04:12 | #235 (permalink) |
Helper
Регистрация: 28.10.2013
Адрес: Москва
Сообщений: 678
Сказал(а) спасибо: 1
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 5469
|
При майнере почти всегда можно найти такие задания:
Код:
C:\Windows\system32\Tasks\GoogleUpdateTaskUserS-1-5-21-1970835742GUI C:\Windows\system32\Tasks\UpCH |
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
08.05.2014, 04:55 | #236 (permalink) |
Helper
Регистрация: 28.10.2013
Адрес: Москва
Сообщений: 678
Сказал(а) спасибо: 1
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 5469
|
Для расшифровки файлов воспользуйтесь этой http://support.kaspersky.ru/viruses/disinfection/8547 утилитой. Вчера только добавили расшифровку. Важно! Для расшифровки необходимо указать утилите путь к паре файлов (незашифрованный и соответствующий зашифрованный).
Подробный разбор шифратора тут. |
14.05.2014, 15:18 | #237 (permalink) | |
Helper
Регистрация: 28.10.2013
Адрес: Москва
Сообщений: 678
Сказал(а) спасибо: 1
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 5469
|
А можно поинтересоваться почему здесь в каждой теме используют эту команду?
Цитата:
|
|
14.05.2014, 15:39 | #238 (permalink) |
Member
Регистрация: 14.04.2012
Сообщений: 5,384
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 2982
|
mike 1, Встречный вопрос: А почему вы не используйте в каждой теме команду "delnfr", чем он вам не угодил? Почистить все ключи в реестре, которые оставили после себя вирусы/программы/утилиты , это может как-то вредить Операционной системе, кроме ускорение работы системы?
|
14.05.2014, 16:09 | #240 (permalink) |
Member
Регистрация: 14.04.2012
Сообщений: 5,384
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 2982
|
|
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
Опции темы | |
Опции просмотра | |
|
|