4834
Как обнаружить вредоносные программы
369 Комментариев  
Данный пост является копипастой комментария пользователя @Ashcraft, из поста http://pikabu.ru/story/_3718870. Некоторые пользователи выразили желание увидеть этот комментарий в отдельном посте. Комментарии для минусов присутствуют.

Сам комментарий:


Парень, все кто советует тебе антивирусы - полные ламеры, которые ни одного вируса в своей жизни не убили.

Для начала ставь Process Explorer - замена стандартному, убогому "диспетчеру задач".

Да, да, эта штука на столько серьезна, что её выкупила империя зла и разместила на своём официальном сайте.
В списке программ наглядно видно какая программа запустила какую и кому принадлежит.

В первую очередь обрати внимание на столбец "Company Name". В большинстве случаев будет Microsoft Corporation и другие известные компании - например программки производителя ноутбука или драйверы от видеокарт. Увидишь что-то незнакомое - лови наркомана.

Во вторую очередь обрати внимание на столбец "Description" (описание по русски) - у _всех_ приличных программ есть хоть какое-то описание из нескольких слов. Иногда даже вполне внятное. Исключения в данный момент составляют только стандартные программы из комплекта windows10 (калькулятор, смотрелка изображений и тд). Увидишь что-то еще без описания (description) - лови наркомана.

В третью очередь обрати внимание где лежат исполняемые файлы программ. Для этого попросту наведи мышкой на программу в списке и всплывающая подсказка тебе быстро покажет путь до файла программы. Хорошие программы могут лежать _только_ в папках:
C:Windows
C:Program Files
C:Program Files (x86)
и ни в каких других! Увидишь программу, которая лежит в каком-то другом месте, особенно в каком-нибудь "Temp" или где-то в "AppData" - лови наркомана.

С некоторым опыт на автомате запомнишь все куски системы и сразу будешь видеть лишнее - когда некоторые вредные программы маскируются под запчасти Microsoft Corporation и подобное и уже чуть ли не на автопилоте будешь видеть и ловить наркоманов.

Далее ставишь Autoruns.
Авторы программы те же, точно так же выкуплено M$.

Там по вкладкам:
Logon - то что загружается при входе пользователя, смотрим - всё ли нам знакомо - к незнакомым программам приглядываемся, проверяем где они лежат. Нашли что-то подозрительное - отключаем, проверяем, если что не так - ловим наркомана.

Explorer - расширения рабочего стола. Например, там часто прописываются дополнительные меню при нажатии правой кнопкой мыши или вирусня. Точно так же проверяем и ловим если что.

Internet Explorer - расширения ослика ИЕ. Шерстим, ловим.

Sheduled Tasks - задания встроенного системного планировщика windows. Там тоже очень часто вирусня заседает. Очень уж удобный инструмент. Задания можно настроить на выполнение по разным событиям. Например - убил ты вирус, задание тут же (или завтра или при следующей перезагрузке или еще как-то) запускается и ставит вирус по новой. Так что это дерьмо следует тщательно проверить. Всё незнакомое и/или подозрительное выключить. Благо если ошибёмся - можно включить обратно любой пункт в Autoruns.

Services - те же самые Службы что можно проверить и в windows, но тут с преферансом и мадемуазелями.

"Boot Executable" и "Image Hijacks" - в идеале должны быть пустыми.

Теперь немножко о способах ловли наркомана.
Видите наркомана в Process Explorer? В первую очередь не надо пытаться его убить. Любой сносный вирус это поймёт и начнёт противодействовать - например как минимум запускаться снова. Вместо убийства, нажмите правой кнопкой мыши и выберите Suspend (приостановить - по русски). Процесс окажется как бы запущен но на паузе и соответственно ничего не сможет сделать. Далее открываем его свойства (Properties) через ПКМ или двойной щелчок. Смотрим: где эта сволочь живёт и от чьего имени запущена (система, пользователь или еще чего) (закладка Image) и куда он лезет в сети (закладка TCP/IP). С этой информацией мы уже практически оседлали бяку.

Далее можно запретить обращения к адресам куда лезет вирусня и навести геноцид в папке его обитания на вашем компе. Если папка не какая-то рандомная, а вирус всегда появляется в одной и тоже папке, то можно её не удалять. Вместо удаления папки, удаляем её содержимое, потом в свойствах папки делаем "только чтение ". А теперь нам нужна информация - от чьего имени был запущен вирус, например от имени "СИСТЕМА" (системный суперпользователь). В настройках прав доступа к папке, запрещаем пользователю СИСТЕМА любые действия с папкой как-то запись или чтение. На себя любимого эти права на всякий случай оставляем. PROFIT. Даже если вирус запустится - он не сможет себя сохранить в привычном месте и жестоко обломится.

В общем устал я писать, и так более чем достаточное руководство расписал. Удачи в поисках наркоманов!
+314
astrobeglec отправил

Пост - фигня. Актуальность на уровне максимум 2007-2008 года, а с тех пор очень много воды утекло.


Во-первых такой "способ обнаружения" не учитывает многие современные приложения (которые как раз в AppData лезут), например свежие версии Яндекс.Браузера, Хрома, Тандерберда могут сидеть в AppData.

Во-вторых многие программы "садятся" либо в корень диска (python, dev-cpp, plone, некоторые ERP), либо вообще в "свое" место.

В-третьих очень много (больше половины) вирусов используют метод внедрения в "чистую" программу и поэтому не обнаруживаются указанными алгоритмами.


Будет время - напишу как правильно вычислять вирусы.

+112
 Ashcraft отправил
Да как бы это вообще было в топике где парень ловил неведомую приблуду, которая инжектит рекламу ему в браузер. Вполне естественно что это самые первые, самые базовые приёмы для осмотра системы, ни в коей мере не являющиеся полноценным анализом. Для уровня предполагаемой в том посте проблемы, этих шагов скорей всего более чем достаточно. Собственно этих шагов достаточно при подавляющем большинстве проблем обычных windows-пользователей. Те же пресловутые блокировщики экрана в лёгкую обнаруживаются таким способом, с поправкой на выполнение этого добра в безопасном режиме.


И да, у обычных смертных на win машине не будет стоять пачка компиляторов и сред разработки. А Хром в win штатно лежит по адресу: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe", причем это в новейшей win10. Да и вообще, программы прописывающиеся не по кошерному адресу - зло. Всё-равно что вы вместо /usr/bin начнете всё прописывать в / или какой-нибудь там /etc. Ну бред же.


В любом случае, логика простая - сначала найди что-то подозрительное, а уже потом разбирайся что к чему.

+20
 livepool отправил
Я б не был категоричным в утверждении где лежит хром
раскрыть ветвь 8
0
vladtovkach отправлено
Голодною ох
0
 Shamont отправил

Объясните мне, простому ламеру, несколько вещей, если это вас не затруднит. Process Explorer, с ним есть несколько траблов. Первый - я не все таки не вижу путь у программе при наведении на процесс. Второй - какой я не пытался убить процесс, все одно: "Отказано в доступе". А иногда и: "Параметр задан неверно". Вы, как я посмотрю, человек во многом грамотнее в этом вопросе, так что прошу ваше поддержки :3

0
 realnightelf отправил

эй а что антивирус по такому алгоритму работать не может?

раскрыть ветвь 25
+16
akelot отправил

Поддерживаю! Особенно забавно было читать "Парень, все кто советует тебе антивирусы - полные ламеры, которые ни одного вируса в своей жизни не убили.", такое ощущение, будто кроме резидентной гадости, ничего больше нет. Ну ок, с резидентными можно так справиться, а как быть с остальными? Антивирус нужен не только для лечения, но и предотвращения заражения, причем нужен не сам антивирус, а его проактивная защита, которая не позволит вирусу внедрение своего кода в полезные программы, в которых его не получится увидеть подобным образом. Кто сталкивался с Sality или так называемыми шифровальщиками (хотя это тоже резидентный вирус, но от этого, он не становится менее вредным и способ описанный в статье, не поможет излечить систему), тот знает, что без антивируса нельзя (если за компом сидит человек, не понимающий, что стоит запускать, а что нет), лечение - это уже крайняя мера, главное - недопущение заражения.

+1
 Ashcraft отправил
Цитата вырвана из контекста, так что можете смело выбросить свои выводы и деферамбы антивирусному ПО.


В контексте парню наперебой всякие ламеры предлагали сменить антивирус на свой любимый, чтобы найти инжектор рекламы, существование которого вообще было сомнительным. И именно в этом контексте я сказал ту фразу. А какой-то мудлан решил покармодрочить на моих советах, вручил обезьянам гранату и вызвал нехилые бурления, которые обратили на кого? Не на дебильного кармодрочера же...

раскрыть ветвь 2
+20
 udavf отправлено

Можно еще апач, мускул и меркуриал добавить в список к питону, они все по любому пригодятся каждой уважающей себя домохозяйке


_В первую очередь обрати внимание на столбец "Company Name". В большинстве случаев будет Microsoft Corporation и другие известные компании__

+7
Whistler отправил

ну, автор коммента не настаивал на тотальном выпиливании программ из appdata, а только тех, которые не знакомы и вызывают подозрения

раскрыть ветвь 3
+2
astrobeglec отправил
Python часто ставиться с программами написанными на нем. Бизнес-программы тоже почему-то корень любят (Гарант, Консультант, если не ошибаюсь и 1С).
раскрыть ветвь 2
+1
 moremaid отправлено
Вот как раз для домохозяек хотелось бы попроще и подробнее)
раскрыть ветвь 2
+15
 alexls отправлено

даже банальный торрент живет в /appdata/

+5
 Ashcraft отправил
Руководство мягко говоря базовое, про это я уже написал. Ну и клиент uTorrent, который вы очевидно имеете ввиду - явно не пример хорошей программы с их то отношением к пользователю.
раскрыть ветвь 30
+3
astrobeglec отправил
+3
 Bmw1 отправила

Найдите пожалуйста время. Иначе "пикабу", будет считать Вас, просто болтливым человеком. 

+1
astrobeglec отправил
+1
baizet отправлено

Извините что под топовым, но не мог не написать. Только что удалил этим способом угрозу HTML/ScrInject.B.Gen которая не давала мне зайти на Пикабу и ряд других сайтов(угрозу обнаружил Нод32, но не мог удалить её источник, не находил тупо), так я вспомнил этот пост и "поймал наркомана", вирус как назывался сейчас уже не упоминаю(начинался на букву "Z" типа "Zipon" что ли), располагался в папке "ProgrammData" так вот, успешно удалил его)

+1
kralja отправлено

дорогие мои! спасите домохозяек! вся надежда на Вас!!! Майлру совсем засрала все интернеты, предлагаю объявить ей войну и обструкцию!

+1
Dmncl2213 отправил

пиши, ждём

+2
astrobeglec отправил
+1
 4onados отправил

напиши пост, ждемс)

а вообще при всём этом ничего не мешает оставить антивирус, лишний раз проверить всё вебовской утилитой, ADWcleaner-ом, да и программы с автозапуска можно убивать клинмастером. А лучший способ - комп по мощнее и виртуальная машина, правда мозги вы8888 себе

+1
cheburen отправлено

поправьте меня, но вроде как уже довольно давно распространение вирусов, которые внедряются в тело программы, пресекается технологией Enhanced Virus Protection (EVP) и чем-то еще подобным, а обезопасить себя от нежелательного софта можно просто оставив включенной функцию DEP в виндах, только его бешеная табличка может достать не иллюзорно, когда часто софт ставишь

+2
wrathinmind отправлено

Бред. Dep включен по умолчанию начиная с висты. И как запрет на исполнение кожа на стеке тебя защитит от сплойтов, 100 лет использующих rop цепочки?

раскрыть ветвь 2
+1
timrei отправлено
Я подписался на тебя, я слежу за тобой!
+2
 Efed отправил
Ничтожество!
+1
 andater31 отправлено

эээ чувак как а? а все ниже увидел. спасибо.

+1
 SlonidZze отправил

такое ощущения, что пост про "антивирус" Бабушкина

+1
 SoloHana отправил

это ФСКН так работает?

0
 GrafVecher отправил
Ну я серьёзно.
0
 GrafVecher отправил

написал, нет еще? а то маил ру ебучий не могу нормально удалить

0
 denskii отправлено

подписываюсь тогда на тебя

0
 Rhod отправлено
Не подскажите - в лисе постоянно прописывается url для автоматической настройки прокси, нахожу данный урл в реестре, чищу, после чистки восстанавливается. В автозагрузке уже вычистил всё, чем можно отследить процесс, который изменяет нужную ветку в реестре?
0
astrobeglec отправил

https://technet.microsoft.com/ru-ru/sysinternals/bb896645.as... Программа отслеживает все.

0
 timsoid отправил
0
 korlit отправлено

Ребята подскажите пожалуйста, такая ситуация стоит windows 10, видеокарта в простое не грузится, частоты она снижает,  но когда запускается opera 32, то у видеокарты прыгает загрузка вплоть гп до 75 процентов и греется вплоть до 50 градусов,видеокарта gtx 960,при этом все процессы смотрел,наркоман обнаружен не был, spyhunter проверял, вот и думаю может майнер как то зашит в опере или так и должно быть, просто у меня в играх температура видеокарты даже меньше чем в опере. 

0
GunfighterN7 отправил

подписался - пили пост) подожду

0
Me4taIdiota отправил

Подписался, надеюсь на скорейший пост, т.к. в компе профан, а чистить его все таки надо.

0
astrobeglec отправил
0
easter отправлено

Да ладно вам. Вполне годный псто в плане ликбеза для безграмотных масс. Хотя бы станет некоторым понятно, что такое процесс и виндовый автозапуск.

Откровенно деструктивных советов данный пост не содержит.

0
 RinaSolve отправила
Частенько ещё в диспетчере задач надо ловить svchost, Cams.exe, Смотреть на наличие в парках темп или downloads файлы с расширениями .cmd .js .bat. Если они там есть то это точно поймали дропера.
0
 usertim отправил

Не забудьте написать о вирусах, которые прячутся под драйвера и работают как хост-процессы.

Недавно охотился за таким зловредом. Удалось найти все его файлы только запустив поиск по описанию плагином тоталкоммандера. Autoruns'а не было под рукой и без инета сидел. :D

0
Nikoltor отправлено

Я недавно нашел решение всех проблем - sandboxie, нереально шикарная программа, через неё запускаешь любую программу и вообще забываешь о вирусах, запускаешь любую программу через sandboxie, и если это вирус, то компу ничего не грозит, а если не вирус, то можно спокойно запускать просто в системе.

0
 dmjoker отправлено
я даж не знаю, смеяться или плакать...
+23
kinkybook отправлено
Довольно забавно видеть комментарий в стиле, что софт выкупила империя зла. Руссинович был один из немногих внешних экспертов, настолько глубоко вовлеченный в разработку, что он почти работал в МС :)
+5
calabonga отправлено

Я тоже посмеивался с этой глупости. Точно не уверен, но он вроде таки работает в M$.

-2
morali отправлено

он свалил давно, когда компания скатилась совсем в уг

раскрыть ветвь 1
+2
ur4in отправлено
"18 июля 2006 года Руссинович объявил в своём блоге о том, что Microsoft купила Winternals Software, а сам он поступает на службу в их подразделение платформ и служб"
0
kinkybook отправлено
Угу, но я говорил о том, что Руссинович настолько тесно был связан с МС, что он почти там работал :)
+30
dim0v отправил

В общем-то все правильно и полезно для борьбы с незамысловатыми зловредами, но я бы еще несколько замечаний внес)

Во-первых - слишком много категоричности:

у _всех_ приличных программ есть хоть какое-то описание из нескольких слов

Сам же чуть ниже пишешь примеры вполне приличных программ, которые не подпадают под это правило. Вполне могут быть "приличные" программы и без описания. Особенно если это не основной экзешник программы, а какая-то вспомогательная приблуда. Но к таким, конечно, в любом случае стоит повнимательнее приглядеться.


Хорошие программы могут лежать _только_ в папках:
C:Windows
C:Program Files
C:Program Files (x86)
и ни в каких других!

Тут уж совсем бред, простите. Очень многие программы ставятся локально для каждого юзера, а не в систему. И, соответственно, живут в папках этого юзера, а не в системных. Например, хром не так давно ставился в AppData\Local. Сейчас уже по дефолту в Program Files, но если в запросе UAC при установке нажать "нет", то современный хром тоже поставит себя в AppData.

В общем каждый случай нужно рассматривать индивидуально. Эти пункты, безусловно, могут служить признаками того, что стоит присмотреться повнимательнее в программке, но не более того. Не нужно обзывать хром наркоманом и ловить его только за то, что он поздоровался только со своей бабушкой, а не со всеми установился для одного пользователя, а не для всех)


И во-вторых, еще 5 копеек вставлю по вот-этому:

А теперь нам нужна информация - от чьего имени был запущен вирус, например от имени "СИСТЕМА" (системный суперпользователь). В настройках прав доступа к папке, запрещаем пользователю СИСТЕМА любые действия с папкой как-то запись или чтение.

SYSTEM - это суперпользователь с неограниченными правами. Аналог рута в Юниксе. Соответственно, если вирус уже работает от имени системы, то тебя уже ничего не спасет и самое простое и действенное - это переустановка винды. Ибо от имени системы можно запросто прятаться от любых диспетчеров задач, прятать свои файлы от любых процессов и т.п.

+13
 Boojum отправлено

А вот сейчас спасибо. Мне по ряду причин лениво развёрнуто комментировать, я по поводу развода пью , меня просто пообщаться в кои-то веки потянуло. Но здесь ты вполне верно расписал, спасибо, хотя пачка софта от Майка ОЧЕНЬ часто используется знакомыми, до сих пор в IT-индустрии работающими. Правда, для несколько других целей. Искать вирей sysinternal-ом - это примерно как мясорубкой бабочек ловить. Можно и получается, но ЗАЧЕМ?!

+7
 Ashcraft отправил
это примерно как мясорубкой бабочек ловить. Можно и получается, но ЗАЧЕМ?!
Во славу сотоны конечно же! :D
раскрыть ветвь 10
+3
slavanap отправил
Вообще-то, даже с правами системы нельзя загрузить не подписанный Майкрософтом драйвер в ядро. А внутри Process Explorer'а (или Process Monitor'a - сейчас не могу посмотреть точно, т.к. далеко от компа) как раз сидит такой драйвер, который загружается при старте. Так что чтобы скрыться ото всех и вся, вирусу нужно инжектится прямо в эти утилиты и менять информацию внутри них, да так, чтобы они не упали. Честно говоря, сомневаюсь, что большинство вирусописателей будет этим заниматься. Также не исключаю переключение системы в режим разработчика, чтобы можно было загружать само-подписанные драйвера, но начиная с win8, это усложнили. Вирусы, которые всё это используют, предназначены для шпионажа, и стараются максимально спрятаться от пользователя. Да так, что и опытный пользователь ничего не заметит. Им невыгодно привлекать к себе внимание, поэтому они не вмешиваются в работу системы, а только собирают информацию. Да и вообще, в ПО с закрытым исходным кодом не поймёшь, что оно на самом деле делает. Взять, например, телеметрию win10,
+2
Inkos отправил
о, словили, как только про телеметрию стал писать =)
раскрыть ветвь 1
+1
 Llaann отправлено
Привет, адекватный комментарий.
Прибавлю свою копейку - у меня некоторая вирусня лезла даже в программные файлы.
0
 Ashcraft отправил
Ну, например, на днях работавшую от имени системы приблуду как раз описанным способом прибил. Приблуда была (официально) частью какой-то там анти-чит системы в одной он-лайн игрушке, однако вызвала у меня нездоровые подозрения и была замочена как террорист в сортире по всем канонам дяди Вовы. Штука просто не могла больше проставиться из-за ограничений прав на её директорию обитания.


Но, если бы это был какой-нибудь серьезный вирус, то да - всё было бы очень плохо.

+5
 Xedfor отправил

не Thorn от GameNet в комплекте с Black Desert Online? Очень уж наглый античит, наглее чем фрост от инновы. располагается на компе как у себя дома :)

раскрыть ветвь 1
+2
dim0v отправил

Ну понятно, что если автор зловреда не особо заморачивался, то засуспендить процесс и удалить экзешник - уже достаточно.
Но проблема еще в том, что если вирусня имеет привилегии SYSTEM, то у нее есть безграничные возможности для скрытия своего существования. И то, что ты не видишь ее процесса и ее файлов совсем не значит, что их нет и что они не сливают сейчас список твоих любимых порносайтов автору вируса. Ну и права на любую папку такой вирус, соответственно, тоже может поменять без проблем как ему вздумается (если, конечно, автор это предусмотрел).

раскрыть ветвь 4
-1
ur4in отправлено
С переустановкой ОС ты явно погорячился. Да и "ничего не спасет" - смешно читать :)

"Слишком много категоричности" в этих словах :)))

На самом деле в этой ситуации с вирусами без проблем можно бороться.

0
dim0v отправил

Я написал, что переустановка - это самое простое решение. Ясен пень, оно не единственное. Можно бороться и по-другому. С установкой ЖД в другой ПК/загрузкой из лайвСД, сверкой контрольных сумм системных файлов, проверкой всех конфигов глазами и т.п. Но геморроя так намного больше, чем от переустановки винды и накатывания необходимого софта. А если это в организации произошло - то там должен иметься образ чистой системы, готовой к работе. В таком случае переустановка - дело 20-30 минут. А если "без проблем бороться", то можно запросто проебать весь 8-часовой рабочий день и все равно пропустить заразу где-то.

+7
axerzaman отправлено
Ох уж эти "мегаспецы" не отичающие вирус от хайджекера и адвари, а все туда же "выкиньте антивирусы".
+23
Butcher1 отправлено

После слов : "Парень, все кто советует тебе антивирусы - полные ламеры, которые ни одного вируса в своей жизни не убили." - можно не читать. )

Антивирус экономит много времени и ненужных действий. Я то могу сам найти вирус, но это как сказать "если у тебя хороший уролог, можно не использовать презервативы".

И еще закрывать не понравившиеся процессы через Process Explorer это точно уже по-ламерски. Есть программка AVZ, ее и используют профессионалы для написания скиптов под лечение любого вируса. Ну и файрвол обязателен, при серфинге по неизвестным сайтам. )

0
 Ashcraft отправил
+13
viplvolkov отправлено

Mail.ru и прочая шушера в applocal и иже с ними папках сидят) Лови наркомана)))

+4
EvilShut отправлено

Вот именно. Отловить и уничтожить сраный мейл!

+3
 zhekachel отправил
+18
 grdesigner отправил

Расскажу и про свой опыт.

Не сочтите за рекламу, но я пару месяцев мучался с рекламным вирусом. Суть заключалась в том, что иногда в браузерах появлялся прозрачный фрейм на весь экран, при клике на который открывалась вкладка с рекламным сайтом. Особо не беспокоила, т.к. в течении суток всплывала раз 10-15, но раздражала.

По умолчанию у меня стоит НОД, но пришлось поставить и Др.Веб и Касперски, который на полном сканировании ничего не нашли. Параллельно ставились всевозможные программы по Adware, уже не вспомню все названия, но брались из гугла, на первых 2-3 страницах. Никто ничего не находил. Все якобы чисто.


Как назло контрольная точка тоже оказалась с этой заразой. Переустанавливать систему было лень, потому что очень много рабочего софта установлено. И если винду переустановить, в районе 1-1,5 часа, то переустанавливать весь софт это на двое суток. Очень не хотелось.


Поэтому отчаявшись решил смириться с этим недугом и случайно наткнулся на форум Касперского.

https://forum.kasperskyclub.ru/index.php?showforum=26


В закрепленной теме, есть правила, как просканировать свой компьютер, чем и какими программами. Дальше заливаешь все на сайт, модераторы смотрят и дают тебе скрипт, который надо запустить в софтите AVZ. После перезагрузки все чинится. Модераторы работают очень быстро. Мне в выходной день, вечером в течении 2-3 часов все починили. И главное бесплатно.


ПС Я не дочь админа, где все неоднозначно. Говорю как есть, ребята очень помогли. За что им большое спасибо.

+5
 Destroyeer отправил

о, эта поебень жестоко мне выносила мозг. Починил тупо отключив разные хоть чуть-чуть подозрительные расширения в браузере.

+1
 DarkDeath отправил

это обычно не помогает... там херь сидит где-то или в автозагрузке, или в службах, или как dll-расширение - и фиг его найдёшь просто так

раскрыть ветвь 2
+4
 Unknown312 отправил
Была аналогичная проблема, ох намучился то.
Спустя недельку мозгового штурма с тп лаборатории К, ответ оказался настолько очевидным, что мое ЧСВ упало ниже плинтуса.
В настройках маршрутизатора, был прописан альтернативный dns-сервер в Нидерландах.
Т.е. система на ПК была действительно чистой, а причина была в уязвимости прошивки роутера.
+1
 Zhekka01 отправлено

О да, знакомая проблема. У моей сестры дома не работали одноклассники (при вводе логина и пароля, говорилось что заблокировано, отправьте смс на номер). На работе и в других местах работало все отлично, один из аккаунтов, правда, взломали. Файл hosts был пустым, полазив в интернете ничего дельного не нашёл. Но т.к. сайт не работал даже на андроид устройствах, подключенных через wifi, понял что дело в роутере, на котором чудесным образом был изменён стандартный пароль. Сбросив настройки на нём, всё заработало.

+2
alexkiller666 отправил

AVZ хорошая вещь. Еще есть такая штука UVS. функционал схож и тоже требует вдумчивого использования.

+1
overherz отправлено
обычно такая хрень лезет у тех, у кого ява в системе стоит. Это еще та дыра безопасности...
0
 grdesigner отправил

Да ява стоит (

+1
 fordiar отправил

AVZ очень часто скриптами вывозит всякий левый софт и сбив настроек, на которые ни сам касперский, ни нод, ни антималварь не реагируют вовсе с любыми настройками антивиря/брандмауэра.

0
easter отправлено

К своему удивлению обнаружил, что таки есть софтина, успешно борющая вредные свистоперделки (в основном ставящиеся с инсталляторами бесплатного ПО). Имя этой тулзе - AdwCleaner. Правда, по дефолту сносит вполне безобидные надстройки для хрома, например, но помогла мне снести парочку модификаторов браузера без лишних телодвижений в стиле тверкинг

0
 grdesigner отправил

Мне этот клинер не помог.

+4
 RealNoob отправил

Ссылка на комментарий @Ashcraft#comment_54685814

+11
 smerch112 отправлено
Боже, что за херню я сейчас прочитал?
1) Этот способ работал бы только в 90х и сейчас на "студенческих" вирусных
2) "Не ставить антивирус", что за херня? Что, существует вирусы только как отдельный файл, и нет тех, которые внедряются в другие программы?
3) Хорошие программы лежат только в:
C:Windows
C:Program Files
C:Program Files (x86)
Да сейчас чуть ли не все вирусы туда метят.
4) Существует продвинутые вирусы, целые программы, которые могут загружаться до загрузки системы, да и вообще селятся в прошивках жестких и в биосе - и х*уй ты увидешь их когда нибуть.
5) Как на счёт шифровальщиков? Один раз запустил и приплыли, тебе никуя не помогут потом эти методы "каменного века"века".



6) Ставьте хорошие антивирусы и не ведитесь на всякую х**уй*ню из интернета о "народных" методах "ловли наркомана", так как это вас "ловят"ловят", а не вы вирусы.
+3
 Jtalk отправил

Кстати, да, похоже на "народную медицину" очень: зачем нам врач и таблетки, мы подорожник к жопе прихуячим, и так поедем.

+3
wrathinmind отправлено

но подожди, это же БИСПЛАТНА!!!! А значит можно попросить студента Васю, внука бабы Клавы, вылечить тебе компьютер, а то что-то из-за баннеров и баров уже не видно экрана.
А Вася же весь день за компьютером сидит и побеждает каких-то раков - наверняка лучший хакер в районе.

На самом деле сейчас лицензия на антивирусы уже стоит копейки, предлагается как допуслуга провайдерами. Но https://lurkmore.to/нищеброд так не считают

+1
 Ashcraft отправил
еще один

#comment_54757274

0
 smerch112 отправлено

Ну, как минимум минус я автору поста поставил.

И да, автор поста полностью виноват, если из контекста выдрал, желтый журналюга!

0
 Rassver отправил

Да блядь, у меня нет никакого антивируса 5 лет. Я сижу на ёбанной Windows XP, и от этого факта постоянно бомбит у окружающих, мол "хватит труп носилавать!!11".

И знаешь в чём прикол? За 5 ёбаных лет не было вирусов у меня НИ РАЗУ. И я не боюсь говорить, что я без антивируса, потому что в наше время вирус можно получить, только если сам его скачаешь и запустишь.

К чему я это веду: нахуй нужны антивирусы, если есть мозги?

И, да, нужно быть конкретным долбоёбом, чтобы запустить в свой комп какую-то хуйню по типу шифровальщиков и прочих "сложнэх вирусафф", которые не лечатся описанными в посте способами.

0
 dmjoker отправлено
а кому XP не подходит, что делать? И почему XP, а чего не Win95? Или не DOS?
раскрыть ветвь 2
0
 smerch112 отправлено
Ох, а таких "умных" мне жалко.
Они даже не понимают что качать вообще ничего не надо, достаточно просто зайти и даже них*уя не делать на сайт гуг/яху/майкрософт/фейсбук/вк и другие якобы безопасные сайты, за вас сами всё сделают, и вы даже ничего не заметите, просто немного пинг увиличится, скорость интернета немного замедлится, комп станет намного прожорливей, но так, чтобы даже не будет бросаться в глаза, будете грешить на оператора и то что виндовоз уже старенький. Как? Да просто, достаточно взломать и внедрить код свой на эти сайты или де перехватить ваш запрос на сайт и предоставить точную копию, которая будет исправно функционировать и даже может в HTTPS.
.
Ох, а как это "новая" USB уязвимость, на аппаратном уровне существующая с первой версии, ммм... Даже блять никакой накуй антивирус не спасёт, достаточно просто вставить в зараженных комп даже не флешку, не жесткий, а простую мышку/клаву/блютуз/вайфай адаптер, даже не запуска ОС на зараженном компе, и потом вставить в "здоровый" пк и всё, он заражен, ни ОС, ни Антивирус даже знать не будут, да и вы тоже, ведь вся перефирия работает исправно же, да и никакие новые процессы не запустились и в автозагрузку никто не метится, у вас здоровая ОС, но вот материнка и вся USB периферия - уже нет.
раскрыть ветвь 4
0
 FortySeventh отправил
каспер антивир 2015 норм?
+3
 smerch112 отправлено
Лучше не KAV, а KIS, да и то вроде он стал как подписка, можно обновлять на свежую версию, был бы ключ (я так обновился c 2015 на 2016 KIS без оплаты и смс)
И если очень паникуете, то можно там включить в контроле программ только доверенные приложения (я точно не помню как это называетсяназывается), как итог он с "часик-другой" посканирует комп и попросит вроде перезагрузить, и посте вирус-не вирус, куй что то запустится без вашего личного разрешения на запуск, кроме как приложений с цифровой подписью и доверенных Касперским, ну и вы можете в "белый список" свои приложения вносить.
раскрыть ветвь 5
+10
 Turistes отправил
А что так сложно? Антивирусы нынче вообще не вывозят что ли?
+11
 Boojum отправлено

А видел браузер, в котором 2/3 окна занимают невынимаемые напрямую рекламные плашки? Просто потому, что оба основных пользователя браузера (женщина 38 лет с сыном 13 лет) не сняли галочки в нужных случаях. По сути дела - они согласились на установку этой дряни. В реальности подобного г*на на машине может быть до 3-5 Гб. И всё оно - не вирусы, б*

+1
 Traditore отправлено

правильно, никакой антивирус или софт не спасет, если человек не смотрит или не знает, что делает. UAC выключат, никакой текст при установке не читают - жмут "далее" до посинения, а потом: "А кто это сделал?"

0
Dmncl2213 отправил

Не всегда. И мэйл не всегда считается вредоносной, к сожалению.

-2
 Ashcraft отправил
А они когда-то вывозили? )


(вопрос чисто риторический, ответ известен - нет)

+7
 Noverion отправил
Странное заявление
раскрыть ветвь 13
+12
 m0rt3 отправлено
+7
Getofffrommonkey отправлено
От чайника чайникам про лечение "чайниковых" вирусов
+2
 oror отправил

в целях вышеуказанного анализа системы можно не сличать дескрипшены у процессов, а в Process Explorer дополнительно включить автоматическую проверку хешей всех запущенных процессов на virustotal.com (Options - VirusTotal.com - Check VirusTotal.com), если хеш чист покажет у каждого процесса, например, 0/56 (0 из 56 антивирусов опознали этот хеш), укажет у каких процессов хеш не найден в базе (можно сразу закачать проверить), у каких найден как вредоносный и сколько антивирусов это определили

+5
 Noverion отправил
Странно, что никто ещё не написал про то, что надо было ставить linux
+4
 Boojum отправлено

Прости, уже. Выше в этой же ветке. Чтоб не заморачиваться, для банальных задач разряда музон/видео/инет/контактик - вполне реально для ЛЮБОГО пользователя. Удобно для работы в некоторых сферах деятельности. Дальше - решать самостоятельно и конфигить под себя, благо система позволяет.

+2
 Noverion отправил
Да, тем более сейчас есть юзверь фрэндли дистрибутивы
А главное бесплатно
раскрыть ветвь 4
0
Sadrance отправлено

Linux тоже не идеален в плане безопасности.

-1
polearnik отправлено
Пользователи не перехоодят на линукс изза банальной лени и боязни нового Мне самомму было СТРАШНО переходить на убунту хотя я ее ставил на другой жесткий Да и потом было неудобно первое время А для того чтоб поставить домохозяйкам это слабо подходит потмоучто им будет неудобно и в очередной приход уже уидишь обратно завирусованную винду зверь сборки
0
elvis59 отправлено
хули там страшного? современные линухи еще проще винды, однако найдете мне зд макс фотошоп под линем? блендер и гимп не предлагать
раскрыть ветвь 10
-2
 LinkorRally отправил

Не из-за этого, а из-за малого количества доступных для Линукса игр и многих других специальных (а зачастую, и нишевых) программ. А сидеть с тормозами в Wine только для того, чтобы тешить себя мыслью "зато вирус не поймаю!!111" весьма глупо.

раскрыть ветвь 1
-3
 Ashcraft отправил
Да я об этом всё время пишу) У меня даже есть дежурная картинка с Солом Гудманом)

А вообще я еще там в комментах написал что не хочу это в отдельный пост и проще поставить Linux. Но... люди сами решают что и как они хотят, да здравствует свобода, всё такое и оп... мой коммент уже в отдельном посте и вызывает нешуточные бурления)

0
 BarsikNero отправил
Та же проблема, на остановку процесса
0
tempter отправлено

Когда пытаюсь офнуть процесс пишет что отказано в доступе,на исполняемый файл выйти и удалить анлокеромя не могу,путь не указан. Сори за ламерство, без прав запустил -_-

+4
 Melissa131 отправлено
Спасибо, сохраню себе и потом более внимательно почитаю. Есть у меня вечно запущенные неизвестные процессы, жрущие память и делающие из ноутбука тормозящего слоупока.
+6
Kenterberietz отправил

хорошо,что хоть кто-то дал точную пошаговую инструкцию ловли наркоманов,вместо тупо пиздежа

+16
calabonga отправлено

Инструкцию, устаревшую на 5-10 лет. Сейчас большинство подходов, описанных в посте не подойдут, а то и вовсе вредны будут.

0
Dmncl2213 отправил

просто надо включать мозг в парралель процесса. Суспенд таки годная функция

+3
 Evangelioner отправлено
Ламеры советуют антивирусы?
Бред сивой кобылы. Сейчас говно, прописывающееся в автозагрузку, уходит в прошлое. Нынче популярны работающие в ядре, службах или потоках другого процесса вирусы. Руками их не отловить.
Вывод - сам ламер.
+3
 DalekoNaSevere отправил

Плюс тебе! Все верно написал.
Для подавляющего количества дерьма это работает. 
Но ... встречалась мне неведомая х-ня, которая устанавливалась в систему как драйвер устройства.  И один раз, вирус меняющий нутро видеодрайвера ... вот  тут такая схема не сработает.  Но там, помогает дата файлов! 

+2
 gDaniCh отправил

Хм...Я админ и скажу такую вещь. Ставить надо б Process Hacker 2. Это некий мод из исходников Process Explorer. Но, без знаний бесполезно скорее всего. Так же куча AVZ со скриптами, но опять таки без знаний бесполезно. AdwCleaner (by Xplode) просто и понятно почистит, есть ещё "чистилка" (так в гугле прям можно и забить)

От вирусов же поможет любой кюр.кит от др.веба или каперыча.

Кстати, почему то удаляя всякий шлак, многие забывают, что в системе есть диспетчер заданий, куда можно прописать запуск любого задания в винде по любому интервалу и таймеру и при этом без всяких уведомлений. 

+1
 Xedfor отправил
AdwCleaner божественная прога, создателю пропуск в рай без очередей.
+1
 Boojum отправлено

Ещё б каждый пользователь помнил про журналы заданий - сказка бы была.

+2
 chlovekdozhdia отправил
Вот жил я без нормального антивируса пока не поймал nechto, который покасил добрую половину программ и файлов которые я открывал, поэтому дергаться уже было поздно, если бы стоял хороший антивирус, то такого бы не было
+2
Nikolayz отправлено

Да, а типа company name или description подделать нельзя у нас, да?

-2
 udavf отправлено

Обычно никто этим не заморачивается 

0
calabonga отправлено

Многие зловреды без стеснения пишут Microsoft Corporation. А особо умные в точности копируют описание мелкософтовых программ. 

0
Nikolayz отправлено
охохо, это все семечки. заморачиваются еще и не таким
раскрыть ветвь 1
+2
 lam8re отправил

Интересно, люди которые начнут ловить "наркоманов" и убившие свои системы не поленятся потом минусы поставить?


Автор типичный недоучка из IT, который уже "все знает". О сколько открытий чудных, готовит просвещения мир. Сам таким был.


p.s. winlogon.exe и dwm.exe не имеют указания производителя и описания! Лови наркомана! гггг))))))))

+6
 Ashcraft отправил
winlogon.exe и dwm.exe не имеют указания производителя и описания! Лови наркомана! гггг))))))))
О сколько открытий чудных, готовит просвещения мир. Сам таким был.

Я просто оставлю эту картинку здесь, чтобы указать что из нас двоих недоучка

+2
 Boojum отправлено

Но за нормальную картинку - спасибо, поскольку ProcExp уже давно вместо виндового работает. Вот прямо сейчас.

+1
 Boojum отправлено

Без перехода на личности. Колонки не отредактированы, так работать неудобно.

раскрыть ветвь 1
-1
 lam8re отправил

Наверное тот, кто сидит под админом? (Автор поста, как бы не указывает, что PE должен быть запущен с права администратора)

раскрыть ветвь 4
0
 Boojum отправлено

О_о КАКБЛЕАТЬ?! Откуда такой дистриб достать надо?!

+1
 mikeinike отправил

Такие два странных процесса... после закрытия открываются снова

0
 timsoid отправил
0
 mikeinike отправил

благодарю

+1
 Boojum отправлено

Поубивал бы... Sysinternals suite - софтовый пакет одного из бывших разрабов компании Microsoft Майка Руссиновича. Ссылка на весь пакет вот: https://technet.microsoft.com/en-us/sysinternals/bb842062.as...

НО! Пользоваться теми вещами, о которых нет представления - не только не нужно, но и опасно. Для компа в первую очередь.

+2
ur4in отправлено

Mark Eugene Russinovich (born c. 1966) is CTO of Microsoft Azure.

+1
 MaxAlly отправил

Я просто оставлю это здесь

Скачиваем отсюда https://toolslib.net/downloads/viewdownload/1-adwcleaner/

HOWTO для домохозяек http://virusinfo.info/showthread.php?t=146192


P.S. Говнософт от говномэйлру тоже весь by defalt умрёт, поэтому говноеды пользователи всяких там майлагентов могут снять галочки перед началом лечения :)

0
ooovniz отправлено

Для ловли всякого рода вирусни использую Universal Virus Sniffer (UVS). Выполняет все те же функции, что и программы из поста, работает с флешки, имеет свои базы (качаются с ее же сайта), есть возможность сравнения хешей с базами вирустотал и прочих. Возможностей и нее много. Счет гадостей, пойманных с ее помощью уже на несколько сотен идет, если не на тысячи, начиная от мелких рекламных пакостников, заканчивая блокировщиками. В разгар эпидемии блокировщиков всегда таскал с собой live-cd+UVS. За 5-10 минут (в зависимости от шустроты пациента) все исчезало.

0
artemaxa отправил

При наведении мыши на прогу в ProcessExplorer.Пишет Error opening process. Как узнать расположение этих файлов?

0
RayWilkins отправлено

Вопрос еще в том, где эти вирусы брать?


Способ разве что для выковыривания всякого мэйлру из системы.

0
amendanny отправлено

когда поймал наркомана

0
kap1ik отправил
как спец по компьютерной безопасности оставлю свои 5 копеек - это пост о том как не нужно делать)) автор полный бред написал(ну не полный, но всежебред) ни в коем случае не оставляйте свой комп без антивируса, да фаервол не помешает, да и в браузер на всякий аплет на безопасность поставить. детектить вирусы лучше конечно руками, но не всякий сможет, если оохото то вот - avz, hijackthis и malawary av. вот это достойные приложения для ручного детектирования. процесс эксплорер и авторанс - не для безопасности созданы
0
 dmjoker отправлено

автор там вон выше истерит. Очевидно, что он малограмотный эникей (а в лучшем случае, эникей, гордо именующий себя "системный администратором" - этож в его понимании лошарик за 20К, который винду юзерам ставит и чистит вот такими методами). Вот от таких "специалистов" и засраны винды кругами.


весь тред заминусил - все сидят с -1 - обида-боль-уныние, ему указали на его непрофпригодность =))

-1
 Ashcraft отправил
-2
 Hatsu отправил

да проблема в том, что люди сейчас начитаются посносят себе антивирусы, убьют половину нужных программ через процессы. В лучшем случае побегут плакаться ремонтникам, в худшем создадут пачку ботнетов.

-1
 Ashcraft отправил
0
goodwin32 отправлено

Чисто я ... переустановка с образа! Редко ... очень редко когда уж очень лень ... вылавливаю для опыта данными методами!

0
 lexxshmexx отправлено
Оставляю комент что бы не забыть
0
 Pendalfps отправил

Может кто подскажет, в windows 7 отключены все обновления но периодически процесс svchost.exe начинает поедать оперативку. С помощью Process Explorer выяснил, что ест оперативку процесс wuauserv(обновление виндоус). Приходится его отключать вручную. Можно как-то его "убить" навсегда?

0
ur4in отправлено
Отключить службу не вариант?
0
 Pendalfps отправил
Поясни пожалуйста каким образом? В центре обновлений все отключено, что не мешает данному процессу периодически всплывать
раскрыть ветвь 2
0
Dartes отправил
Несколько вопросов по этому. "запретить обращения к адресам куда лезет вирусня" - как это сделать?
В конце мы ограничивает доступ к папке, предварительно очистив ее от вируса, но "Даже если вирус запустится" - как найти место запуска этого вируса? получается он может остаться на компе постоянно пытаясь запустится?
0
Dartes отправил
Стала интересна тема ловли этих наркоманов. Подскажите, пожалуйста, какие-нибудь полезные актуальные статьи по этой теме.
0
Persh1ng отправлено
А как с вирусами и левыми программами на телефон? Мне очень помощь нужна с этим, у меня ленево к50т андроид соответственно. Купили в интернете из Китая и там с первого дня пиздец творится. Появляются ярлыки каких то приложений, выскакивает окошко с предложением что то там установить итд. Есть приложения которые с таким работают?
0
 Unknown312 отправил

Первым шагом, я бы проверил, "а браузер ли я запускаю".
Для начала не мешало бы проверить свойства объекта.

0
OwenMeany отправлено
Норм
0
 Kasak01 отправил

Ребята, подскажите. Не запускается Ccleaner? вернее перстал запускать, хоть тресни. Переустановка не помогает, это  меня  какой то ирус или что то не дает запуститься? И еще, каждый раз при включении Мозила сама заводится с какого то сайта, то Адблок не дает запустить его. Как его убить, где найти? НЕ особо силен в компах, потому буду благодарен за помощь и подсказки. Спасибо!


Паук от доктора Веба ничего не нашел, антивирус стоит СМАРТ 8

+1
 npblrck0k отправил
Репаки мгс5 или Макса ставил? Я в них такую хрень поймал, по-моему помогли ребята с киберфорума, там в три клика и два перезагруза лечится
0
 Kasak01 отправил

А как именно то? Можешь подсказать или кинуть ссылку? И да, я ставил какие то репаки))

раскрыть ветвь 2
0
 kingOo отправлено

https://youtu.be/3AsU0Qq2vB0

0
Portnoik отправлено

круто

0
 yarmroman отправил
А можно не ебаццо и поставить лицензированный антивирус который будет сам ловить наркоманов.