4844

Как обнаружить вредоносные программы

Данный пост является копипастой комментария пользователя @Ashcraft, из поста http://pikabu.ru/story/_3718870. Некоторые пользователи выразили желание увидеть этот комментарий в отдельном посте. Комментарии для минусов присутствуют.

Сам комментарий:


Парень, все кто советует тебе антивирусы - полные ламеры, которые ни одного вируса в своей жизни не убили.

Для начала ставь Process Explorer - замена стандартному, убогому "диспетчеру задач".

Да, да, эта штука на столько серьезна, что её выкупила империя зла и разместила на своём официальном сайте.
В списке программ наглядно видно какая программа запустила какую и кому принадлежит.

В первую очередь обрати внимание на столбец "Company Name". В большинстве случаев будет Microsoft Corporation и другие известные компании - например программки производителя ноутбука или драйверы от видеокарт. Увидишь что-то незнакомое - лови наркомана.

Во вторую очередь обрати внимание на столбец "Description" (описание по русски) - у _всех_ приличных программ есть хоть какое-то описание из нескольких слов. Иногда даже вполне внятное. Исключения в данный момент составляют только стандартные программы из комплекта windows10 (калькулятор, смотрелка изображений и тд). Увидишь что-то еще без описания (description) - лови наркомана.

В третью очередь обрати внимание где лежат исполняемые файлы программ. Для этого попросту наведи мышкой на программу в списке и всплывающая подсказка тебе быстро покажет путь до файла программы. Хорошие программы могут лежать _только_ в папках:
C:Windows
C:Program Files
C:Program Files (x86)
и ни в каких других! Увидишь программу, которая лежит в каком-то другом месте, особенно в каком-нибудь "Temp" или где-то в "AppData" - лови наркомана.

С некоторым опыт на автомате запомнишь все куски системы и сразу будешь видеть лишнее - когда некоторые вредные программы маскируются под запчасти Microsoft Corporation и подобное и уже чуть ли не на автопилоте будешь видеть и ловить наркоманов.

Далее ставишь Autoruns.
Авторы программы те же, точно так же выкуплено M$.

Там по вкладкам:
Logon - то что загружается при входе пользователя, смотрим - всё ли нам знакомо - к незнакомым программам приглядываемся, проверяем где они лежат. Нашли что-то подозрительное - отключаем, проверяем, если что не так - ловим наркомана.

Explorer - расширения рабочего стола. Например, там часто прописываются дополнительные меню при нажатии правой кнопкой мыши или вирусня. Точно так же проверяем и ловим если что.

Internet Explorer - расширения ослика ИЕ. Шерстим, ловим.

Sheduled Tasks - задания встроенного системного планировщика windows. Там тоже очень часто вирусня заседает. Очень уж удобный инструмент. Задания можно настроить на выполнение по разным событиям. Например - убил ты вирус, задание тут же (или завтра или при следующей перезагрузке или еще как-то) запускается и ставит вирус по новой. Так что это дерьмо следует тщательно проверить. Всё незнакомое и/или подозрительное выключить. Благо если ошибёмся - можно включить обратно любой пункт в Autoruns.

Services - те же самые Службы что можно проверить и в windows, но тут с преферансом и мадемуазелями.

"Boot Executable" и "Image Hijacks" - в идеале должны быть пустыми.

Теперь немножко о способах ловли наркомана.
Видите наркомана в Process Explorer? В первую очередь не надо пытаться его убить. Любой сносный вирус это поймёт и начнёт противодействовать - например как минимум запускаться снова. Вместо убийства, нажмите правой кнопкой мыши и выберите Suspend (приостановить - по русски). Процесс окажется как бы запущен но на паузе и соответственно ничего не сможет сделать. Далее открываем его свойства (Properties) через ПКМ или двойной щелчок. Смотрим: где эта сволочь живёт и от чьего имени запущена (система, пользователь или еще чего) (закладка Image) и куда он лезет в сети (закладка TCP/IP). С этой информацией мы уже практически оседлали бяку.

Далее можно запретить обращения к адресам куда лезет вирусня и навести геноцид в папке его обитания на вашем компе. Если папка не какая-то рандомная, а вирус всегда появляется в одной и тоже папке, то можно её не удалять. Вместо удаления папки, удаляем её содержимое, потом в свойствах папки делаем "только чтение ". А теперь нам нужна информация - от чьего имени был запущен вирус, например от имени "СИСТЕМА" (системный суперпользователь). В настройках прав доступа к папке, запрещаем пользователю СИСТЕМА любые действия с папкой как-то запись или чтение. На себя любимого эти права на всякий случай оставляем. PROFIT. Даже если вирус запустится - он не сможет себя сохранить в привычном месте и жестоко обломится.

В общем устал я писать, и так более чем достаточное руководство расписал. Удачи в поисках наркоманов!

Дубликаты не найдены

+318

Пост - фигня. Актуальность на уровне максимум 2007-2008 года, а с тех пор очень много воды утекло.


Во-первых такой "способ обнаружения" не учитывает многие современные приложения (которые как раз в AppData лезут), например свежие версии Яндекс.Браузера, Хрома, Тандерберда могут сидеть в AppData.

Во-вторых многие программы "садятся" либо в корень диска (python, dev-cpp, plone, некоторые ERP), либо вообще в "свое" место.

В-третьих очень много (больше половины) вирусов используют метод внедрения в "чистую" программу и поэтому не обнаруживаются указанными алгоритмами.


Будет время - напишу как правильно вычислять вирусы.

раскрыть ветку 117
+112
Да как бы это вообще было в топике где парень ловил неведомую приблуду, которая инжектит рекламу ему в браузер. Вполне естественно что это самые первые, самые базовые приёмы для осмотра системы, ни в коей мере не являющиеся полноценным анализом. Для уровня предполагаемой в том посте проблемы, этих шагов скорей всего более чем достаточно. Собственно этих шагов достаточно при подавляющем большинстве проблем обычных windows-пользователей. Те же пресловутые блокировщики экрана в лёгкую обнаруживаются таким способом, с поправкой на выполнение этого добра в безопасном режиме.


И да, у обычных смертных на win машине не будет стоять пачка компиляторов и сред разработки. А Хром в win штатно лежит по адресу: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe", причем это в новейшей win10. Да и вообще, программы прописывающиеся не по кошерному адресу - зло. Всё-равно что вы вместо /usr/bin начнете всё прописывать в / или какой-нибудь там /etc. Ну бред же.


В любом случае, логика простая - сначала найди что-то подозрительное, а уже потом разбирайся что к чему.

раскрыть ветку 37
+20
Я б не был категоричным в утверждении где лежит хром
раскрыть ветку 8
+1

Объясните мне, простому ламеру, несколько вещей, если это вас не затруднит. Process Explorer, с ним есть несколько траблов. Первый - я не все таки не вижу путь у программе при наведении на процесс. Второй - какой я не пытался убить процесс, все одно: "Отказано в доступе". А иногда и: "Параметр задан неверно". Вы, как я посмотрю, человек во многом грамотнее в этом вопросе, так что прошу ваше поддержки :3

0
Голодною ох
0

эй а что антивирус по такому алгоритму работать не может?

раскрыть ветку 25
+16

Поддерживаю! Особенно забавно было читать "Парень, все кто советует тебе антивирусы - полные ламеры, которые ни одного вируса в своей жизни не убили.", такое ощущение, будто кроме резидентной гадости, ничего больше нет. Ну ок, с резидентными можно так справиться, а как быть с остальными? Антивирус нужен не только для лечения, но и предотвращения заражения, причем нужен не сам антивирус, а его проактивная защита, которая не позволит вирусу внедрение своего кода в полезные программы, в которых его не получится увидеть подобным образом. Кто сталкивался с Sality или так называемыми шифровальщиками (хотя это тоже резидентный вирус, но от этого, он не становится менее вредным и способ описанный в статье, не поможет излечить систему), тот знает, что без антивируса нельзя (если за компом сидит человек, не понимающий, что стоит запускать, а что нет), лечение - это уже крайняя мера, главное - недопущение заражения.

раскрыть ветку 3
+1
Цитата вырвана из контекста, так что можете смело выбросить свои выводы и деферамбы антивирусному ПО.


В контексте парню наперебой всякие ламеры предлагали сменить антивирус на свой любимый, чтобы найти инжектор рекламы, существование которого вообще было сомнительным. И именно в этом контексте я сказал ту фразу. А какой-то мудлан решил покармодрочить на моих советах, вручил обезьянам гранату и вызвал нехилые бурления, которые обратили на кого? Не на дебильного кармодрочера же...

раскрыть ветку 2
+20

Можно еще апач, мускул и меркуриал добавить в список к питону, они все по любому пригодятся каждой уважающей себя домохозяйке


_В первую очередь обрати внимание на столбец "Company Name". В большинстве случаев будет Microsoft Corporation и другие известные компании__

раскрыть ветку 10
+7

ну, автор коммента не настаивал на тотальном выпиливании программ из appdata, а только тех, которые не знакомы и вызывают подозрения

раскрыть ветку 3
+2
Python часто ставиться с программами написанными на нем. Бизнес-программы тоже почему-то корень любят (Гарант, Консультант, если не ошибаюсь и 1С).
раскрыть ветку 2
+1
Вот как раз для домохозяек хотелось бы попроще и подробнее)
раскрыть ветку 2
+15

даже банальный торрент живет в /appdata/

раскрыть ветку 31
+6
Руководство мягко говоря базовое, про это я уже написал. Ну и клиент uTorrent, который вы очевидно имеете ввиду - явно не пример хорошей программы с их то отношением к пользователю.
раскрыть ветку 30
+3

Найдите пожалуйста время. Иначе "пикабу", будет считать Вас, просто болтливым человеком. 

раскрыть ветку 1
+1
+1

Извините что под топовым, но не мог не написать. Только что удалил этим способом угрозу HTML/ScrInject.B.Gen которая не давала мне зайти на Пикабу и ряд других сайтов(угрозу обнаружил Нод32, но не мог удалить её источник, не находил тупо), так я вспомнил этот пост и "поймал наркомана", вирус как назывался сейчас уже не упоминаю(начинался на букву "Z" типа "Zipon" что ли), располагался в папке "ProgrammData" так вот, успешно удалил его)

+1

дорогие мои! спасите домохозяек! вся надежда на Вас!!! Майлру совсем засрала все интернеты, предлагаю объявить ей войну и обструкцию!

+1

Да ладно вам. Вполне годный псто в плане ликбеза для безграмотных масс. Хотя бы станет некоторым понятно, что такое процесс и виндовый автозапуск.

Откровенно деструктивных советов данный пост не содержит.

+1

пиши, ждём

раскрыть ветку 1
+1

напиши пост, ждемс)

а вообще при всём этом ничего не мешает оставить антивирус, лишний раз проверить всё вебовской утилитой, ADWcleaner-ом, да и программы с автозапуска можно убивать клинмастером. А лучший способ - комп по мощнее и виртуальная машина, правда мозги вы8888 себе

+1

поправьте меня, но вроде как уже довольно давно распространение вирусов, которые внедряются в тело программы, пресекается технологией Enhanced Virus Protection (EVP) и чем-то еще подобным, а обезопасить себя от нежелательного софта можно просто оставив включенной функцию DEP в виндах, только его бешеная табличка может достать не иллюзорно, когда часто софт ставишь

раскрыть ветку 3
+2

Бред. Dep включен по умолчанию начиная с висты. И как запрет на исполнение кожа на стеке тебя защитит от сплойтов, 100 лет использующих rop цепочки?

раскрыть ветку 2
+1
Я подписался на тебя, я слежу за тобой!
раскрыть ветку 1
+2
Ничтожество!
+1

эээ чувак как а? а все ниже увидел. спасибо.

+1

такое ощущения, что пост про "антивирус" Бабушкина

+1

это ФСКН так работает?

0
Ну я серьёзно.
0

написал, нет еще? а то маил ру ебучий не могу нормально удалить

0

подписываюсь тогда на тебя

0
Не подскажите - в лисе постоянно прописывается url для автоматической настройки прокси, нахожу данный урл в реестре, чищу, после чистки восстанавливается. В автозагрузке уже вычистил всё, чем можно отследить процесс, который изменяет нужную ветку в реестре?
раскрыть ветку 2
0

https://technet.microsoft.com/ru-ru/sysinternals/bb896645.as... Программа отслеживает все.

0
0

Ребята подскажите пожалуйста, такая ситуация стоит windows 10, видеокарта в простое не грузится, частоты она снижает,  но когда запускается opera 32, то у видеокарты прыгает загрузка вплоть гп до 75 процентов и греется вплоть до 50 градусов,видеокарта gtx 960,при этом все процессы смотрел,наркоман обнаружен не был, spyhunter проверял, вот и думаю может майнер как то зашит в опере или так и должно быть, просто у меня в играх температура видеокарты даже меньше чем в опере. 

0

подписался - пили пост) подожду

0

Подписался, надеюсь на скорейший пост, т.к. в компе профан, а чистить его все таки надо.

раскрыть ветку 1
0
Частенько ещё в диспетчере задач надо ловить svchost, Cams.exe, Смотреть на наличие в парках темп или downloads файлы с расширениями .cmd .js .bat. Если они там есть то это точно поймали дропера.
0

Не забудьте написать о вирусах, которые прячутся под драйвера и работают как хост-процессы.

Недавно охотился за таким зловредом. Удалось найти все его файлы только запустив поиск по описанию плагином тоталкоммандера. Autoruns'а не было под рукой и без инета сидел. :D

0

Я недавно нашел решение всех проблем - sandboxie, нереально шикарная программа, через неё запускаешь любую программу и вообще забываешь о вирусах, запускаешь любую программу через sandboxie, и если это вирус, то компу ничего не грозит, а если не вирус, то можно спокойно запускать просто в системе.

раскрыть ветку 1
0
я даж не знаю, смеяться или плакать...
+25
Довольно забавно видеть комментарий в стиле, что софт выкупила империя зла. Руссинович был один из немногих внешних экспертов, настолько глубоко вовлеченный в разработку, что он почти работал в МС :)
раскрыть ветку 5
+6

Я тоже посмеивался с этой глупости. Точно не уверен, но он вроде таки работает в M$.

раскрыть ветку 2
-2

он свалил давно, когда компания скатилась совсем в уг

раскрыть ветку 1
+2
"18 июля 2006 года Руссинович объявил в своём блоге о том, что Microsoft купила Winternals Software, а сам он поступает на службу в их подразделение платформ и служб"
раскрыть ветку 1
-1
Угу, но я говорил о том, что Руссинович настолько тесно был связан с МС, что он почти там работал :)
+30

В общем-то все правильно и полезно для борьбы с незамысловатыми зловредами, но я бы еще несколько замечаний внес)

Во-первых - слишком много категоричности:

у _всех_ приличных программ есть хоть какое-то описание из нескольких слов

Сам же чуть ниже пишешь примеры вполне приличных программ, которые не подпадают под это правило. Вполне могут быть "приличные" программы и без описания. Особенно если это не основной экзешник программы, а какая-то вспомогательная приблуда. Но к таким, конечно, в любом случае стоит повнимательнее приглядеться.


Хорошие программы могут лежать _только_ в папках:
C:Windows
C:Program Files
C:Program Files (x86)
и ни в каких других!

Тут уж совсем бред, простите. Очень многие программы ставятся локально для каждого юзера, а не в систему. И, соответственно, живут в папках этого юзера, а не в системных. Например, хром не так давно ставился в AppData\Local. Сейчас уже по дефолту в Program Files, но если в запросе UAC при установке нажать "нет", то современный хром тоже поставит себя в AppData.

В общем каждый случай нужно рассматривать индивидуально. Эти пункты, безусловно, могут служить признаками того, что стоит присмотреться повнимательнее в программке, но не более того. Не нужно обзывать хром наркоманом и ловить его только за то, что он поздоровался только со своей бабушкой, а не со всеми установился для одного пользователя, а не для всех)


И во-вторых, еще 5 копеек вставлю по вот-этому:

А теперь нам нужна информация - от чьего имени был запущен вирус, например от имени "СИСТЕМА" (системный суперпользователь). В настройках прав доступа к папке, запрещаем пользователю СИСТЕМА любые действия с папкой как-то запись или чтение.

SYSTEM - это суперпользователь с неограниченными правами. Аналог рута в Юниксе. Соответственно, если вирус уже работает от имени системы, то тебя уже ничего не спасет и самое простое и действенное - это переустановка винды. Ибо от имени системы можно запросто прятаться от любых диспетчеров задач, прятать свои файлы от любых процессов и т.п.

раскрыть ветку 26
+13

А вот сейчас спасибо. Мне по ряду причин лениво развёрнуто комментировать, я по поводу развода пью , меня просто пообщаться в кои-то веки потянуло. Но здесь ты вполне верно расписал, спасибо, хотя пачка софта от Майка ОЧЕНЬ часто используется знакомыми, до сих пор в IT-индустрии работающими. Правда, для несколько других целей. Искать вирей sysinternal-ом - это примерно как мясорубкой бабочек ловить. Можно и получается, но ЗАЧЕМ?!

раскрыть ветку 11
+7
это примерно как мясорубкой бабочек ловить. Можно и получается, но ЗАЧЕМ?!
Во славу сотоны конечно же! :D
раскрыть ветку 10
+4
Вообще-то, даже с правами системы нельзя загрузить не подписанный Майкрософтом драйвер в ядро. А внутри Process Explorer'а (или Process Monitor'a - сейчас не могу посмотреть точно, т.к. далеко от компа) как раз сидит такой драйвер, который загружается при старте. Так что чтобы скрыться ото всех и вся, вирусу нужно инжектится прямо в эти утилиты и менять информацию внутри них, да так, чтобы они не упали. Честно говоря, сомневаюсь, что большинство вирусописателей будет этим заниматься. Также не исключаю переключение системы в режим разработчика, чтобы можно было загружать само-подписанные драйвера, но начиная с win8, это усложнили. Вирусы, которые всё это используют, предназначены для шпионажа, и стараются максимально спрятаться от пользователя. Да так, что и опытный пользователь ничего не заметит. Им невыгодно привлекать к себе внимание, поэтому они не вмешиваются в работу системы, а только собирают информацию. Да и вообще, в ПО с закрытым исходным кодом не поймёшь, что оно на самом деле делает. Взять, например, телеметрию win10,
раскрыть ветку 2
+2
о, словили, как только про телеметрию стал писать =)
раскрыть ветку 1
+1
Привет, адекватный комментарий.
Прибавлю свою копейку - у меня некоторая вирусня лезла даже в программные файлы.
0
Ну, например, на днях работавшую от имени системы приблуду как раз описанным способом прибил. Приблуда была (официально) частью какой-то там анти-чит системы в одной он-лайн игрушке, однако вызвала у меня нездоровые подозрения и была замочена как террорист в сортире по всем канонам дяди Вовы. Штука просто не могла больше проставиться из-за ограничений прав на её директорию обитания.


Но, если бы это был какой-нибудь серьезный вирус, то да - всё было бы очень плохо.

раскрыть ветку 7
+5

не Thorn от GameNet в комплекте с Black Desert Online? Очень уж наглый античит, наглее чем фрост от инновы. располагается на компе как у себя дома :)

раскрыть ветку 1
+2

Ну понятно, что если автор зловреда не особо заморачивался, то засуспендить процесс и удалить экзешник - уже достаточно.
Но проблема еще в том, что если вирусня имеет привилегии SYSTEM, то у нее есть безграничные возможности для скрытия своего существования. И то, что ты не видишь ее процесса и ее файлов совсем не значит, что их нет и что они не сливают сейчас список твоих любимых порносайтов автору вируса. Ну и права на любую папку такой вирус, соответственно, тоже может поменять без проблем как ему вздумается (если, конечно, автор это предусмотрел).

раскрыть ветку 4
-1
С переустановкой ОС ты явно погорячился. Да и "ничего не спасет" - смешно читать :)

"Слишком много категоричности" в этих словах :)))

На самом деле в этой ситуации с вирусами без проблем можно бороться.

раскрыть ветку 1
0

Я написал, что переустановка - это самое простое решение. Ясен пень, оно не единственное. Можно бороться и по-другому. С установкой ЖД в другой ПК/загрузкой из лайвСД, сверкой контрольных сумм системных файлов, проверкой всех конфигов глазами и т.п. Но геморроя так намного больше, чем от переустановки винды и накатывания необходимого софта. А если это в организации произошло - то там должен иметься образ чистой системы, готовой к работе. В таком случае переустановка - дело 20-30 минут. А если "без проблем бороться", то можно запросто проебать весь 8-часовой рабочий день и все равно пропустить заразу где-то.

+7
Ох уж эти "мегаспецы" не отичающие вирус от хайджекера и адвари, а все туда же "выкиньте антивирусы".
+23

После слов : "Парень, все кто советует тебе антивирусы - полные ламеры, которые ни одного вируса в своей жизни не убили." - можно не читать. )

Антивирус экономит много времени и ненужных действий. Я то могу сам найти вирус, но это как сказать "если у тебя хороший уролог, можно не использовать презервативы".

И еще закрывать не понравившиеся процессы через Process Explorer это точно уже по-ламерски. Есть программка AVZ, ее и используют профессионалы для написания скиптов под лечение любого вируса. Ну и файрвол обязателен, при серфинге по неизвестным сайтам. )

раскрыть ветку 1
0
+13

Mail.ru и прочая шушера в applocal и иже с ними папках сидят) Лови наркомана)))

раскрыть ветку 2
+4

Вот именно. Отловить и уничтожить сраный мейл!

раскрыть ветку 1
+3
Иллюстрация к комментарию
+18

Расскажу и про свой опыт.

Не сочтите за рекламу, но я пару месяцев мучался с рекламным вирусом. Суть заключалась в том, что иногда в браузерах появлялся прозрачный фрейм на весь экран, при клике на который открывалась вкладка с рекламным сайтом. Особо не беспокоила, т.к. в течении суток всплывала раз 10-15, но раздражала.

По умолчанию у меня стоит НОД, но пришлось поставить и Др.Веб и Касперски, который на полном сканировании ничего не нашли. Параллельно ставились всевозможные программы по Adware, уже не вспомню все названия, но брались из гугла, на первых 2-3 страницах. Никто ничего не находил. Все якобы чисто.


Как назло контрольная точка тоже оказалась с этой заразой. Переустанавливать систему было лень, потому что очень много рабочего софта установлено. И если винду переустановить, в районе 1-1,5 часа, то переустанавливать весь софт это на двое суток. Очень не хотелось.


Поэтому отчаявшись решил смириться с этим недугом и случайно наткнулся на форум Касперского.

https://forum.kasperskyclub.ru/index.php?showforum=26


В закрепленной теме, есть правила, как просканировать свой компьютер, чем и какими программами. Дальше заливаешь все на сайт, модераторы смотрят и дают тебе скрипт, который надо запустить в софтите AVZ. После перезагрузки все чинится. Модераторы работают очень быстро. Мне в выходной день, вечером в течении 2-3 часов все починили. И главное бесплатно.


ПС Я не дочь админа, где все неоднозначно. Говорю как есть, ребята очень помогли. За что им большое спасибо.

раскрыть ветку 13
+5

о, эта поебень жестоко мне выносила мозг. Починил тупо отключив разные хоть чуть-чуть подозрительные расширения в браузере.

раскрыть ветку 3
+1

это обычно не помогает... там херь сидит где-то или в автозагрузке, или в службах, или как dll-расширение - и фиг его найдёшь просто так

раскрыть ветку 2
+4
Была аналогичная проблема, ох намучился то.
Спустя недельку мозгового штурма с тп лаборатории К, ответ оказался настолько очевидным, что мое ЧСВ упало ниже плинтуса.
В настройках маршрутизатора, был прописан альтернативный dns-сервер в Нидерландах.
Т.е. система на ПК была действительно чистой, а причина была в уязвимости прошивки роутера.
Иллюстрация к комментарию
раскрыть ветку 1
+1

О да, знакомая проблема. У моей сестры дома не работали одноклассники (при вводе логина и пароля, говорилось что заблокировано, отправьте смс на номер). На работе и в других местах работало все отлично, один из аккаунтов, правда, взломали. Файл hosts был пустым, полазив в интернете ничего дельного не нашёл. Но т.к. сайт не работал даже на андроид устройствах, подключенных через wifi, понял что дело в роутере, на котором чудесным образом был изменён стандартный пароль. Сбросив настройки на нём, всё заработало.

+2

AVZ хорошая вещь. Еще есть такая штука UVS. функционал схож и тоже требует вдумчивого использования.

+1
обычно такая хрень лезет у тех, у кого ява в системе стоит. Это еще та дыра безопасности...
раскрыть ветку 1
0

Да ява стоит (

+1

AVZ очень часто скриптами вывозит всякий левый софт и сбив настроек, на которые ни сам касперский, ни нод, ни антималварь не реагируют вовсе с любыми настройками антивиря/брандмауэра.

0

К своему удивлению обнаружил, что таки есть софтина, успешно борющая вредные свистоперделки (в основном ставящиеся с инсталляторами бесплатного ПО). Имя этой тулзе - AdwCleaner. Правда, по дефолту сносит вполне безобидные надстройки для хрома, например, но помогла мне снести парочку модификаторов браузера без лишних телодвижений в стиле тверкинг

раскрыть ветку 2
0

Мне этот клинер не помог.

раскрыть ветку 1
+4

Ссылка на комментарий @Ashcraft#comment_54685814

+11
Боже, что за херню я сейчас прочитал?
1) Этот способ работал бы только в 90х и сейчас на "студенческих" вирусных
2) "Не ставить антивирус", что за херня? Что, существует вирусы только как отдельный файл, и нет тех, которые внедряются в другие программы?
3) Хорошие программы лежат только в:
C:Windows
C:Program Files
C:Program Files (x86)
Да сейчас чуть ли не все вирусы туда метят.
4) Существует продвинутые вирусы, целые программы, которые могут загружаться до загрузки системы, да и вообще селятся в прошивках жестких и в биосе - и х*уй ты увидешь их когда нибуть.
5) Как на счёт шифровальщиков? Один раз запустил и приплыли, тебе никуя не помогут потом эти методы "каменного века"века".



6) Ставьте хорошие антивирусы и не ведитесь на всякую х**уй*ню из интернета о "народных" методах "ловли наркомана", так как это вас "ловят"ловят", а не вы вирусы.
раскрыть ветку 20
+3

Кстати, да, похоже на "народную медицину" очень: зачем нам врач и таблетки, мы подорожник к жопе прихуячим, и так поедем.

+3

но подожди, это же БИСПЛАТНА!!!! А значит можно попросить студента Васю, внука бабы Клавы, вылечить тебе компьютер, а то что-то из-за баннеров и баров уже не видно экрана.
А Вася же весь день за компьютером сидит и побеждает каких-то раков - наверняка лучший хакер в районе.

На самом деле сейчас лицензия на антивирусы уже стоит копейки, предлагается как допуслуга провайдерами. Но https://lurkmore.to/нищеброд так не считают

+1
еще один

#comment_54757274

раскрыть ветку 1
0

Ну, как минимум минус я автору поста поставил.

И да, автор поста полностью виноват, если из контекста выдрал, желтый журналюга!

0

Да блядь, у меня нет никакого антивируса 5 лет. Я сижу на ёбанной Windows XP, и от этого факта постоянно бомбит у окружающих, мол "хватит труп носилавать!!11".

И знаешь в чём прикол? За 5 ёбаных лет не было вирусов у меня НИ РАЗУ. И я не боюсь говорить, что я без антивируса, потому что в наше время вирус можно получить, только если сам его скачаешь и запустишь.

К чему я это веду: нахуй нужны антивирусы, если есть мозги?

И, да, нужно быть конкретным долбоёбом, чтобы запустить в свой комп какую-то хуйню по типу шифровальщиков и прочих "сложнэх вирусафф", которые не лечатся описанными в посте способами.

раскрыть ветку 8
0
а кому XP не подходит, что делать? И почему XP, а чего не Win95? Или не DOS?
раскрыть ветку 2
0
Ох, а таких "умных" мне жалко.
Они даже не понимают что качать вообще ничего не надо, достаточно просто зайти и даже них*уя не делать на сайт гуг/яху/майкрософт/фейсбук/вк и другие якобы безопасные сайты, за вас сами всё сделают, и вы даже ничего не заметите, просто немного пинг увиличится, скорость интернета немного замедлится, комп станет намного прожорливей, но так, чтобы даже не будет бросаться в глаза, будете грешить на оператора и то что виндовоз уже старенький. Как? Да просто, достаточно взломать и внедрить код свой на эти сайты или де перехватить ваш запрос на сайт и предоставить точную копию, которая будет исправно функционировать и даже может в HTTPS.
.
Ох, а как это "новая" USB уязвимость, на аппаратном уровне существующая с первой версии, ммм... Даже блять никакой накуй антивирус не спасёт, достаточно просто вставить в зараженных комп даже не флешку, не жесткий, а простую мышку/клаву/блютуз/вайфай адаптер, даже не запуска ОС на зараженном компе, и потом вставить в "здоровый" пк и всё, он заражен, ни ОС, ни Антивирус даже знать не будут, да и вы тоже, ведь вся перефирия работает исправно же, да и никакие новые процессы не запустились и в автозагрузку никто не метится, у вас здоровая ОС, но вот материнка и вся USB периферия - уже нет.
раскрыть ветку 4
0
каспер антивир 2015 норм?
раскрыть ветку 6
+3
Лучше не KAV, а KIS, да и то вроде он стал как подписка, можно обновлять на свежую версию, был бы ключ (я так обновился c 2015 на 2016 KIS без оплаты и смс)
И если очень паникуете, то можно там включить в контроле программ только доверенные приложения (я точно не помню как это называетсяназывается), как итог он с "часик-другой" посканирует комп и попросит вроде перезагрузить, и посте вирус-не вирус, куй что то запустится без вашего личного разрешения на запуск, кроме как приложений с цифровой подписью и доверенных Касперским, ну и вы можете в "белый список" свои приложения вносить.
раскрыть ветку 5
+10
А что так сложно? Антивирусы нынче вообще не вывозят что ли?
раскрыть ветку 18
+12

А видел браузер, в котором 2/3 окна занимают невынимаемые напрямую рекламные плашки? Просто потому, что оба основных пользователя браузера (женщина 38 лет с сыном 13 лет) не сняли галочки в нужных случаях. По сути дела - они согласились на установку этой дряни. В реальности подобного г*на на машине может быть до 3-5 Гб. И всё оно - не вирусы, б*

раскрыть ветку 1
+1

правильно, никакой антивирус или софт не спасет, если человек не смотрит или не знает, что делает. UAC выключат, никакой текст при установке не читают - жмут "далее" до посинения, а потом: "А кто это сделал?"

0

Не всегда. И мэйл не всегда считается вредоносной, к сожалению.

-2
А они когда-то вывозили? )


(вопрос чисто риторический, ответ известен - нет)

раскрыть ветку 14
+7
Странное заявление
раскрыть ветку 13
+12
Иллюстрация к комментарию
+7
От чайника чайникам про лечение "чайниковых" вирусов
+2

в целях вышеуказанного анализа системы можно не сличать дескрипшены у процессов, а в Process Explorer дополнительно включить автоматическую проверку хешей всех запущенных процессов на virustotal.com (Options - VirusTotal.com - Check VirusTotal.com), если хеш чист покажет у каждого процесса, например, 0/56 (0 из 56 антивирусов опознали этот хеш), укажет у каких процессов хеш не найден в базе (можно сразу закачать проверить), у каких найден как вредоносный и сколько антивирусов это определили

+5
Странно, что никто ещё не написал про то, что надо было ставить linux
раскрыть ветку 24
+4

Прости, уже. Выше в этой же ветке. Чтоб не заморачиваться, для банальных задач разряда музон/видео/инет/контактик - вполне реально для ЛЮБОГО пользователя. Удобно для работы в некоторых сферах деятельности. Дальше - решать самостоятельно и конфигить под себя, благо система позволяет.

раскрыть ветку 5
+2
Да, тем более сейчас есть юзверь фрэндли дистрибутивы
А главное бесплатно
раскрыть ветку 4
0

Linux тоже не идеален в плане безопасности.

-1
Пользователи не перехоодят на линукс изза банальной лени и боязни нового Мне самомму было СТРАШНО переходить на убунту хотя я ее ставил на другой жесткий Да и потом было неудобно первое время А для того чтоб поставить домохозяйкам это слабо подходит потмоучто им будет неудобно и в очередной приход уже уидишь обратно завирусованную винду зверь сборки
раскрыть ветку 13
0
хули там страшного? современные линухи еще проще винды, однако найдете мне зд макс фотошоп под линем? блендер и гимп не предлагать
раскрыть ветку 10
-2

Не из-за этого, а из-за малого количества доступных для Линукса игр и многих других специальных (а зачастую, и нишевых) программ. А сидеть с тормозами в Wine только для того, чтобы тешить себя мыслью "зато вирус не поймаю!!111" весьма глупо.

раскрыть ветку 1
-3
Да я об этом всё время пишу) У меня даже есть дежурная картинка с Солом Гудманом)

А вообще я еще там в комментах написал что не хочу это в отдельный пост и проще поставить Linux. Но... люди сами решают что и как они хотят, да здравствует свобода, всё такое и оп... мой коммент уже в отдельном посте и вызывает нешуточные бурления)

Иллюстрация к комментарию
раскрыть ветку 2
0
Та же проблема, на остановку процесса
0

Когда пытаюсь офнуть процесс пишет что отказано в доступе,на исполняемый файл выйти и удалить анлокеромя не могу,путь не указан. Сори за ламерство, без прав запустил -_-

+4
Спасибо, сохраню себе и потом более внимательно почитаю. Есть у меня вечно запущенные неизвестные процессы, жрущие память и делающие из ноутбука тормозящего слоупока.
+6

хорошо,что хоть кто-то дал точную пошаговую инструкцию ловли наркоманов,вместо тупо пиздежа

раскрыть ветку 2
+16

Инструкцию, устаревшую на 5-10 лет. Сейчас большинство подходов, описанных в посте не подойдут, а то и вовсе вредны будут.

раскрыть ветку 1
0

просто надо включать мозг в парралель процесса. Суспенд таки годная функция

+3
Ламеры советуют антивирусы?
Бред сивой кобылы. Сейчас говно, прописывающееся в автозагрузку, уходит в прошлое. Нынче популярны работающие в ядре, службах или потоках другого процесса вирусы. Руками их не отловить.
Вывод - сам ламер.
+3

Плюс тебе! Все верно написал.
Для подавляющего количества дерьма это работает. 
Но ... встречалась мне неведомая х-ня, которая устанавливалась в систему как драйвер устройства.  И один раз, вирус меняющий нутро видеодрайвера ... вот  тут такая схема не сработает.  Но там, помогает дата файлов! 

+2

Хм...Я админ и скажу такую вещь. Ставить надо б Process Hacker 2. Это некий мод из исходников Process Explorer. Но, без знаний бесполезно скорее всего. Так же куча AVZ со скриптами, но опять таки без знаний бесполезно. AdwCleaner (by Xplode) просто и понятно почистит, есть ещё "чистилка" (так в гугле прям можно и забить)

От вирусов же поможет любой кюр.кит от др.веба или каперыча.

Кстати, почему то удаляя всякий шлак, многие забывают, что в системе есть диспетчер заданий, куда можно прописать запуск любого задания в винде по любому интервалу и таймеру и при этом без всяких уведомлений. 

раскрыть ветку 2
+1
AdwCleaner божественная прога, создателю пропуск в рай без очередей.
+1

Ещё б каждый пользователь помнил про журналы заданий - сказка бы была.

+2
Вот жил я без нормального антивируса пока не поймал nechto, который покасил добрую половину программ и файлов которые я открывал, поэтому дергаться уже было поздно, если бы стоял хороший антивирус, то такого бы не было
+2

Да, а типа company name или description подделать нельзя у нас, да?

раскрыть ветку 4
-2

Обычно никто этим не заморачивается 

раскрыть ветку 3
0

Многие зловреды без стеснения пишут Microsoft Corporation. А особо умные в точности копируют описание мелкософтовых программ. 

0
охохо, это все семечки. заморачиваются еще и не таким
раскрыть ветку 1
+2

Интересно, люди которые начнут ловить "наркоманов" и убившие свои системы не поленятся потом минусы поставить?


Автор типичный недоучка из IT, который уже "все знает". О сколько открытий чудных, готовит просвещения мир. Сам таким был.


p.s. winlogon.exe и dwm.exe не имеют указания производителя и описания! Лови наркомана! гггг))))))))

раскрыть ветку 10
+6
winlogon.exe и dwm.exe не имеют указания производителя и описания! Лови наркомана! гггг))))))))
О сколько открытий чудных, готовит просвещения мир. Сам таким был.

Я просто оставлю эту картинку здесь, чтобы указать что из нас двоих недоучка

Иллюстрация к комментарию
раскрыть ветку 8
+2

Но за нормальную картинку - спасибо, поскольку ProcExp уже давно вместо виндового работает. Вот прямо сейчас.

+1

Без перехода на личности. Колонки не отредактированы, так работать неудобно.

раскрыть ветку 1