Технический форум
Вернуться   Технический форум > Компьютерный форум > Форум по вирусам и антивирусам > Безопасность


Ответ
 
Опции темы Опции просмотра
Старый 09.12.2013, 06:56   #231 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

Цитата:
Сообщение от NIK196 Посмотреть сообщение
спасибо, буду обучаться, еще вопрос, а системный администратор это все должен знать или это только для избранных?
если вы системный администратор, то вам и решать, что в первую очередь надо знать и уметь для поддержания работы вашей сети. Умение пользоваться утилитками uVS, avz пригодится в работе.
safety вне форума   Ответить с цитированием
Старый 26.04.2014, 22:59   #232 (permalink)
RP55.RP55
Member
 
Регистрация: 29.10.2011
Сообщений: 5,543
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 554
По умолчанию

http://pchelpforum.ru/f26/t137301/

Как найти BitCoinMiner ?
-------------
Его не надо искать - он Вас сам найдёт
-------------
А если серьёзно:
1) Сейчас BitCoinMiner маскируется под легальные программы.
Например под:
CHROME.EXE
GOOGLEUPD.EXE
и т.д.
Основное отличие этих файлов/объектов от легальных программ в отсутствии цифровой подписи.
Как проверить ц.подпись ?
Выбрать файл > Хлопнуть правой лапой зверя ( мыши ) по файлу откроется: _СВОЙСТВА_
Посмотрите вкладку Цифровая подпись - есть она или нет...
-----
В программе uVS также можно произвести проверку.
Запускаем uVS > выбираем файл в списке > Хлопнуть правой лапой зверя > Зайти в ИНФОРМАЦИЯ > Проверить
ц. подпись файла. ( на некоторых системах проверка подписи не работает )
Можно проверит подпись разом у всех файлов:
Запускаем uVS > Жмём F6 > ждём ( желательно чтобы был доступ к сети )

---------
ИТАК:
1) У файла нет подписи.
2) Файл ( или один из файлов КАТАЛОГА ) в автозапуске. ( чего быть не должно )
Запускаем uVS > выбираем файл в списке > Хлопнуть правой лапой зверя > Зайти в ИНФОРМАЦИЯ.
И смотрим в автозапуске он или нет...
3) Проверяем файл на онлайн сканере - например на virusscan.jotti
Хлопнуть правой лапой зверя по файлу > В меню выбрать virusscan.jotti - и тип проверки...
Смотрим результат.
4) Обращаем внимание на сетевую активность файла.
5) Если уверены - что это зверь, удаляем.
т.е. Поиск осуществятся по ряду параметров и их сочетанию.
RP55.RP55 вне форума   Ответить с цитированием
Старый 26.04.2014, 23:04   #233 (permalink)
Аркалык
Member
 
Регистрация: 14.04.2012
Сообщений: 5,384
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 2982
По умолчанию

RP55.RP55, Еще один момент, по быстрому нахождению Майнера, это заглянуть в раздел "Сетевая активность" в uVS
Аркалык вне форума   Ответить с цитированием
Старый 26.04.2014, 23:21   #234 (permalink)
RP55.RP55
Member
 
Регистрация: 29.10.2011
Сообщений: 5,543
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 554
По умолчанию

Ark
Да.
------
Смотрим категорию сетевая активность.
Смотрим/проверяем объекты Автозапуска.
Работаем с базой проверенных файлов ( Позволяет на порядок сократить список проверки )
Базу скачиваем здесь:http://dsrt.dyndns.org/files/MAIN.zip ( прямая ссылка )
Скачивать _ТОЛЬКО_ через менеджер загрузок ( типа Download Master )
После чего создаём папку/каталог рядом с start.exe и называем её SHA
И в эту папку распаковываем базу...
Для проверке списка ( это работает, как фильтр на отсев проверенных ) ( чистый файл, если он есть в базе проходит проверку и пропадает из видимого списка )
Жмём F4.
После F4
Жмём F6.
А всё оставшееся проверяем сами...
Прежде всего обращаем внимание на всякие аномалии.
Размер/вес файла слишком большой или наоборот слишком мелкий...
Вдруг оказался в автозапуске...
------
Также в uVS есть фильтр по дате/времени - т.е. можно задействовать фильтр и посмотреть какие НОВЫЕ файлы
появились в системе... ( некоторые вирусы маскируются - они могут изменить информацию/данные время своего
создания изменения )
Обращаем внимание, если в одной папке/каталоге файлы нескольких типов: .EXE и .DLL
т.е. программа + дополнительный функционал.
Обращаем внимание на имя/наименование каталога.
На его путь/директорию.
Известный/ные или нет.
-----
При работе с онлайн сканерами обращаем внимание на время первой и крайней проверки.
( например файл впервые проверили 3 дня назад... )
Или же файл первый раз проверили 3 года назад.
Смотрим на вердикт...
Следует доверять результатам проверки ТОЛЬКО известным антивирусам.
Таким как:
Dr.Web
ESET
Kaspersky
RP55.RP55 вне форума   Ответить с цитированием
Старый 02.05.2014, 04:12   #235 (permalink)
mike 1
Helper
 
Аватар для mike 1
 
Регистрация: 28.10.2013
Адрес: Москва
Сообщений: 678
Сказал(а) спасибо: 1
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 5469
По умолчанию

При майнере почти всегда можно найти такие задания:

Код:
C:\Windows\system32\Tasks\GoogleUpdateTaskUserS-1-5-21-1970835742GUI
C:\Windows\system32\Tasks\UpCH
mike 1 вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Старый 08.05.2014, 04:55   #236 (permalink)
mike 1
Helper
 
Аватар для mike 1
 
Регистрация: 28.10.2013
Адрес: Москва
Сообщений: 678
Сказал(а) спасибо: 1
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 5469
По умолчанию

Для расшифровки файлов воспользуйтесь этой http://support.kaspersky.ru/viruses/disinfection/8547 утилитой. Вчера только добавили расшифровку. Важно! Для расшифровки необходимо указать утилите путь к паре файлов (незашифрованный и соответствующий зашифрованный).

Подробный разбор шифратора тут.
mike 1 вне форума   Ответить с цитированием
Старый 14.05.2014, 15:18   #237 (permalink)
mike 1
Helper
 
Аватар для mike 1
 
Регистрация: 28.10.2013
Адрес: Москва
Сообщений: 678
Сказал(а) спасибо: 1
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 5469
По умолчанию

А можно поинтересоваться почему здесь в каждой теме используют эту команду?

Цитата:
delnfr
Разве без использования этой команды нельзя решить проблему пользователя?
mike 1 вне форума   Ответить с цитированием
Старый 14.05.2014, 15:39   #238 (permalink)
Аркалык
Member
 
Регистрация: 14.04.2012
Сообщений: 5,384
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 2982
По умолчанию

mike 1, Встречный вопрос: А почему вы не используйте в каждой теме команду "delnfr", чем он вам не угодил? Почистить все ключи в реестре, которые оставили после себя вирусы/программы/утилиты , это может как-то вредить Операционной системе, кроме ускорение работы системы?
Аркалык вне форума   Ответить с цитированием
Старый 14.05.2014, 15:59   #239 (permalink)
mike 1
Helper
 
Аватар для mike 1
 
Регистрация: 28.10.2013
Адрес: Москва
Сообщений: 678
Сказал(а) спасибо: 1
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 5469
По умолчанию

А я вопрос задал первым. Давайте вы сначала ответите на мой вопрос, а я потом отвечу на ваш вопрос.
mike 1 вне форума   Ответить с цитированием
Старый 14.05.2014, 16:09   #240 (permalink)
Аркалык
Member
 
Регистрация: 14.04.2012
Сообщений: 5,384
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 2982
По умолчанию

mike 1, Я же ответил:
Цитата:
Сообщение от Arkalik Посмотреть сообщение
Почистить все ключи в реестре, которые оставили после себя вирусы/программы/утилиты , это может как-то вредить Операционной системе, кроме ускорение работы системы?
Аркалык вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Выкл.




Часовой пояс GMT +4, время: 10:51.

Powered by vBulletin® Version 6.2.5.
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.