Ответы пользователя по тегу Вредоносное ПО
  • ROBOTDEMO.exe (майнер) кто сталкивался и как удалить?

    @rPman
    Общие рекомендации
    1. пролечить компьютер бесплатными drweb cleaner/kaspersky removal tool/...
    2. закрыть имеющиеся способы проникновения вирусов (как минимум обновление ОС, перед использованием файлов с ненадежных источников где могут быть вирусы, проверять их на вирусы и глазами подозрительные файлы и т.п.), запаролить/сменить пароли начиная с ОС и кончая wifi (злоумышленник, зная пароль от wifi, может подменить твой сервер/роутер, возможно потырить пароли ОС, подменить файлы и прочее прочее - доступ в локальную сеть, особенно без нормальных настроек безопасности почти всегда - дыра)

    если антивирус не находит ничего, то все будет гораздо сложнее, так как вручную чтобы почистить комп от вируса нужно хотя бы понимать как их создают и как они работают.

    Обычно вирус доставляется на машину вложенными контейнерами, первый уровень - проникает через защиты на машину и чаще всего после заражения самоуничтожается, чтобы нельзя было проанализировать место входа, второй уровень устанавливает вирус и следит за его уничтожением, а уже на третьем уровне сам вирус, удалять его бессмысленно не удалив второй уровень и не закрыв дыру проникновения.

    Смотри что прописано в автозапуск, ищи exe файлы в c:\users\...\appdata, особенно если там имена совпадают с названиями служб в 99% случаев все что в автозапуске там можно безболезненно удалить или хотя бы отключить. автозапуск не только пуск-автозагрузка, но и настройки реестра или в диспетчере задач...

    пользуйся утилитой sysinternails autoruns (скачай с сайта майкрософт) чтобы посмотреть все что автозапускается, как минимум смотри что не имеет цифровой подписи (да, иногда ее нет у легитимных продуктов, но к примеру файлы драйверов реалтек можно тупо запомнить)
    Ответ написан
    4 комментария
  • Как бороться со спамом на http сайтах?

    @rPman
    это провайдер чудит

    С подменой нешифрованного контента нормально можно бороться только шированием этого трафика, т.е. ринудительно пользоваться https версией сайта (и не пользоваться http потому как даже без провайдера такие сайты могут много гадости наделать у тебя в локальной сети) либо использовать vpn (или socks proxy over ssh, встроенная фишка ssh, поднимающая socks прокси на удаленном сервере, настроить его сильно проще чем vpn)
    Ответ написан
    2 комментария
  • Программы запускаются сами даже с выключенной автозагрузкой Windows 10, это вирус?

    @rPman
    у программ несколько способов автозапуска, помимо каталога autostart в программах, есть еще пара мест в реестре Run, шедулер, плагин к эксплореру (проводнику) и куча по мелочи

    изучай: https://docs.microsoft.com/en-us/sysinternals/down...

    эта программа должна поставляться с windows по умолчанию, но майкрософт ее купила (команду sysinternals) и забросила в далекий ящик (там вообще мощнейшие утилиты)
    Ответ написан
  • По поводу руткитов, работы компьютера и т.п?

    @rPman
    Вот отличный пример, ничего низкоуровнего, простое удаление элементов списка
    Ответ написан
    Комментировать
  • Как защитить сессионные файлы куки от расшифровки и последующей подмены?

    @rPman
    Защита кук = защита локальной машины от злоумышленника

    Лучшее решение из доступных практически каждому - отделить физически критические задачи и остальные, по разным машинам, подключив их к рабочему месту по KMS (клавиатура + мышка + монтор переключатель между двумя компьютерами), на одной используешь только критичную к взлому информацию - банковские сервисы, криптовалюты, парольный менеджер... а на другой все остальное. И никакой общей папки. В идеале разделить машины еще и по разным сетям, благо роутеры такое умеющие уже вполне себе доступные (например кинетик умеет).

    Если на критичной машине ничего не запускать кроме браузера, то куки будут вполне надежно защищены. Само собой своевременные обновления. Эту машину вполне можно доверить linux, все равно разницы никто не заметит.

    Как развитие способа - использование виртуальных машин, при условии что гипервизор не будет никак больше использоваться, кроме как для запуска виртуалок. Но в этом случае с компьютерными играми могут быть проблемы.
    Ответ написан
    Комментировать
  • Как можно анализировать вирусные программы?

    @rPman
    Облачный сервис virustotal выдает интересный отчет (там несколько на выбор песочниц), в котором содержится список открываемых на чтение запись файлов, список сетевых адресов с которыми приложение работало и прочее

    Пример этот троян написан на питоне, читает файлы C:\Users\<USER>\AppData\Roaming\Idena\node\datadir\keystore\nodekey криптовалютного кошелька и лезет на pastebin.com
    Ответ написан
    Комментировать
  • Может ли вирус заразить администратора?

    @rPman
    Сама закачка файла вируса никак не заражает компьютер, хотя конечно же антивирус может на это среагировать и отрапартовать об успешном предотвращении атаки.

    Если запустить вирус под непривилегированным пользователем то, если речь не идет о руткитах и 0day уязвимостях (а они очень редки) то особых проблем не будет, главная тут опасность - неправильно настроенные права доступа на файлы, к примеру доступ на запись доступный всем, вирус может оказаться шифровальщиком документов, обнаружит уязвимые файлы и зашифрует их.

    Напомню, что в windows вирус может запускаться автоматически в разных и очень необычных ситуациях, помню была уязвимость, созданный особым способом .lnk файл (иконка запуска) при его отображении в проводнике запускал код вируса, и я не уверен что эту уязвимость закрыли! Или к примеру размещение файла autorun.inf подготовленным особым образом в корне любого диска, даже сетевого, позволит запустить код вируса при любой попытки открыть этот диск в проводнике (двойной клик из списка диска) даже при отключенном автозапуске (это вообще за уязвимость не считают).

    Очень много бинарников устанавливаются в windows профиль пользователя appdata (это вообще ах*еть какая дыра, папка с данными не должна вообще позволять запуск приложений)
    Или к примеру размещение в папке специально подготовленного dll подменяющего таковой в приложении обслуживающего какие либо документы (файл с данными какого либо типа) при неправильном подходе к разработке приложения (а таких в windows программисты делают наверное каждый второй) запустит вирус при простом открытии этого документа... и прочее прочее

    Windows - отличная система, в которой в основе очень много хороших инструментов для обеспечения безопасности, по факту на столько бездарно используется программистами, что практически на любой инсталляции можно найти уязвимые приложения и конфигурации, позволяющие в конце концов запустить вирус и довести его до повышения привелегий. Т.е. адресная атака на машину рядовых пользователей скорее всего будет успешна.

    Так что резюме - да это возможно, и нет, случайный вирус скорее всего так сделать не сможет.
    Ответ написан
    2 комментария
  • Большинство .exe файлов заражены вирусом "Win32.Neshta", что делать?

    @rPman
    Только лечить.

    Идешь на официальные сайты и скачиваешь на выбор утилиты kaspersky removal tool или drweb cleaner (они бесплатные для домашнего использования), достаточно какой то одной.

    Если антивирус не может вылечить операционную систему из самой себя, а такое бывает, то скачиваешь так же на выбор kaspersky free rescue disk (инструкция для usb) или drweb live disk и загружаешься с них.

    Очень часто бывает что вирус вылечить невозможно и приходится удалять файлы, и если с операционной системой еще можно легко все починить (запустить штатную виндовую утилиту sfc /scannow она потребует установочный диск, его можно скачать с майкрософт или торентов, не сборки а оффициальные msdn образы, выбрав верную версию) то с программами и играми потребуется их переустановка
    Ответ написан
    2 комментария
  • Как защитить компьютер от мусорного софта?

    @rPman
    Нормального решения тут, кроме как научить дите чистить комп, нет.

    Переустановку OS можно упростить до восстановления из бакапа, пилите флешку с парой скриптов использующих partclone и менюшкой вопросом - сделать бакап или восстановить бакап, и даже научить пацана этим пользоваться
    Ответ написан
    Комментировать
  • Cloudflare капча

    @rPman
    Мало ли, зашел на вебстраничку (например сайт взломали), которая под фоном javascript долбит вебсайты-жертвы запросами get.
    Ответ написан
    Комментировать
  • Подозреваю вирус в антивирусе, обычное лечение не помогает?

    @rPman
    Вылечить данные,
    1. вставив диск в заведомо здоровую систему с нормальным антивирусом (например утилиты вида drweb cureit или kaspersky removal tool)
    2. скачав и загрузившись с livecd с антивирусом (например drweb livecd с офф сайта)
    Ответ написан
    1 комментарий