Ответы пользователя по тегу Вредоносное ПО
  • Может ли ПО удаленного доступа узнать о карте захвата в моём ПК?

    @rPman
    Короткий ответ - часто да, а в общем нет.

    Подробнее - в зависимости от того, как карта захвата подключена к компьютеру, можно собирать информацию об устройствах pci или usb) причем штатными средствами ос, и от этого можно защититься виртуализацией (но ее в свою очередь скрыть почти невозможно).

    При подключении карты захвата к hdmi/dsub детектировать почти невозможно, есть протокол общения с монитором, где передаются параметры поддерживаемых разрешений и куча другой информации, именно эта информация поможет детектировать карту захвата, но нужно будет изучить рынок устройств и банально собрать базу этих EDID
    Ответ написан
    Комментировать
  • Антивирус нашел бекдор в файле подкачки, что делать?

    @rPman
    pagefile.sys это файл подкачки, в него на какое то время копируется содержимое оперативной памяти, которая пока что не нужна чтобы освободить ее для других программ

    Как касперский умудрился этот файл открыть я хз, но если проверка проводилась с загрузочного диска то это возможно.

    Этот файл можно смело удалять, он будет создан новым автоматически при следующей загрузки windows

    Если вирус не был найден в других местах то беспокоиться не о чем... правда было бы интересно, как он попал в оперативную память? возможно этот фирус был показан на странице какого-либо сайта?
    Ответ написан
  • Как навсегда исключить игровой кряк из проверки защитника Windows?

    @rPman
    Отключить антивирус, установить от другой компании, где игнор лист еще не сломан.
    Ответ написан
    1 комментарий
  • Может ли роутер выступать в качестве ретранслятора внешнего трафика?

    @rPman
    так как роутеры это уже давно linux машина, почти полнофункциональная, из него можно сделать все что угодно.

    ищи статистику по трафику, сравнивай с такой же статистикой по машинам в сети, можешь даже специально время выделить для тестов и отключить все машины от роутера (или оставить одну с прогнозируемым трафиком)
    Ответ написан
    Комментировать
  • Как удалить BitTorrent?

    @rPman
    Мне кажется, в твоем случае, лучше обратиться к специалисту.

    Но если все же хочется самостоятельно покопаться то гугли:
    sysinternals process explorer
    sysinternals autoruns

    Первое приложение - это альтернатива стандартному task manager, больше информации о процессах, а главное, можно в меню включить показ наличия цифровой подписи (будет видна компания ее владелец). Почти все приложения, у которых нет цифровой подписи, в зоне риска и по уму должны быть удалены (как минимум из автозапуска).

    Да, очень редко встречаются даже дрйвера (помню приложение от realtek sound не имело подписи, ставилось вместе с драйверами на материнскую плату) но такие случаи проще запомнить.

    Второе приложение - удобный менеджер всех мест размещения настроек автозапускаемых приложений (от стандартного autorun в реестре до компонентов браузера, зарегистрированных типов файлов и т.п.), там же можно включить показ цифровой подписи. Почти все что находится в секции штатной автозагрузки может быть удалено (удаляет только запись не файл).

    Если приложение установлено не в c:\program files а к примеру в профиль пользователя c:\users\... то это уже подозрительно, особенно если его не устанавливал - смело удаляй. Злономеренные приложения могут предлагать ненастоящую штатную утилиту удаления, которая только временно скрывает приложение, оставляя следы в системе для возвращения в будущем.

    p.s. настоятельно рекомендую сделать резервную копию системного диска перед этими экспериментами, по незнанию можно много что сломать. Для быстрого создания копии диска и его восстановления рекомендую clonezilla (загрузочный диск/usb флешка)
    Ответ написан
    Комментировать
  • Почему происходит сбой загрузки во всех браузерах?

    @rPman
    Вместе с удалением браузера желательно удалять еще и файлы профиля, с высокой вероятностью там остались куски вирусов (если что можно сделать копию чтобы позже перенести хотя бы букмарки)
    Всё что он находил, я удалял.


    в windows они находятся в %appdata%\Local\Yandex\YandexBrowser\
    Ответ написан
    Комментировать
  • Троян не удаляется с андроида, что делать?

    @rPman
    Перепрошить, официальную прошивку, для этого не нужен ни рут ни какие то телодвижения

    Такие трояны легко получить если покупаешь с рук на площадках типа Авито, АлиЭкспресс, геарбест и т.п.
    Ответ написан
    Комментировать
  • Можно ли получить вирус на пк если скачать ехе файл и не открывать его?

    @rPman
    в windows Да, с оговорками

    Были уязвимости в проводнике windows, которые позволяли запускать злонамеренный код просто при просмотре каталога в проводнике

    каждое приложение, прописывающее себя в проводнике (библиотеки отрисовки миниатюр), могут содержать ошибки, позволяющие запускать код в таких ситуациях

    Или, например, сейчас при двойном клике на сетевом диске или флешке в проводнике будет запущено приложение, прописанное в autostart файле настроек в корне этого диске, без спроса (и кажется без возможности это отключить), т.е. ты только хотел открыть в проводнике каталог не cdrom а проводник уже запустил с него программу, считая все диски cdrom-ами

    p.s. возможно в windows 11 много поменяли, я уже не отслеживаю, но не сомневаюсь, с таким подходом к безопасности, наделали там не меньше дыр

    тупой пример - ты скачиваешь документ ms office, при открытии тебе говорят - макросы заблокированы, но не дают даже отправить его на печать, не разблокировав эти макросы (которые имеют полный доступ к компьютеру с правами пользователя)
    Ответ написан
  • Как возвращать систему в эталонное состояние образа Windows?

    @rPman
    Попробуй теневые копии

    в win10 это теперь доступно только из интерфейса (свойства 'мой компьютер' - системная защита - включить, создать тут же кнопка восстановить)

    Инструмент теневых копий работает с любым ntfs диском, но системный диск теперь так просто не восстановишь (он как то хитро выборочно файлы восстанавливает, пытаясь не удалить пользовательские данные), но можно это делать из соседней ОС, там восстановление должно работать как ожидается
    Ответ написан
    2 комментария
  • Безопасен ли зараженный отключенный SSD диск?

    @rPman
    нет
    НО! если на диске руткит, записанный в бутсектор, то достаточно загрузиться с этого диска в режиме legacy boot (а вирус уже загрузит систему, никто и не заметит что порядок загрузки неверный, ун к примеру новый диск вставили) и вирус на ходу.

    Диски отключал друг от друга сразу после установки Windows, т.е. до установки программ.
    первое дырявое приложение в windows - это проводник, например двойной клик на диск в проводнике с целью его открытия может запустить приложение по умолчанию, прописанное в этом диске. А еще были дыры в проводнике, когда код запускался при открытии каталога в проводнике с ярлыком, составленным особым образом (т.е. посмотрел - и уже вирус запустился) и т.п.
    Ответ написан
    Комментировать
  • Как можно объяснить замедление компьютера при работающем ПО игровой мыши?

    @rPman
    почему нет, кривой драйвер (а драйвер уровня ядра могут даже софт для мышки ставить, например для реализации программируемых действий с симуляцией нажатия) может с машиной и не такое сделать
    Ответ написан
    Комментировать
  • Как избавиться от вируса на сервере Windows Server 2012 R2 Standart?

    @rPman
    По теме антивирусника, его не нужно ставить на систему, делаешь загрузочный компакт диск или usb флешку от какого-нибудь касперского и загружаешь систему с него, проводя полную проверку
    Ответ написан
    Комментировать
  • Как искать мальварь в open source?

    @rPman
    автоматически - никак, нет таких алгоритмов.
    Крупные компании типа касперского на основе типовых вредоносных алгоритмов делают эвристические алгоритмы, но и они не всесильны и часто дают ложноположительные результаты.

    Если говорить про то что украинские коллеги сейчас вытворяют с опенсорсом, внедряя в популярные пакеты, всюду, до куда могут дотянуться, от безобидных сообщений о том что идет война и их убивают, до вредительства и удаления всех файлов с машины, то

    можно попытаться проанализировать патчи (изменения, которые были внесены после определенной даты, до того как вредоносный код мог быть добавлен, на предмет типовых функций (удаление файлов, подключение к сети, ключевые слова в строках и т.п.) и построить некоторый отчет, что вот этот патч.. добавляет подключение по сети, вызов метода eval, в строках содержатся ключевые слова и т.п. и уже во время ручного анализа это может облегчить принятие решения, с чего начинать работать и на что обращать внимание

    Типичный пример - если коммит описан как 'добавление кнопки на форму настроек цветовой схемы интерфейса', но в нем есть методы deletefile или eval то это уже повод считать его подозрительным.

    но повторюсь, красивого решения не будет, легко не будет...
    Ответ написан
  • Сборка Windows 10 LTSC by LEX_6000 | Что за стартовая страница в браузере?

    @rPman
    загляни в свойства ярлыка для запуска браузера, адрес страницы может быть прописан там
    p.s. настоятельно рекомендую не пользоваться сборками ОС, а приложения устанвливать с оригинальных источников, мало ли какой мусор в них будет добавлен другими людьми
    Ответ написан
    Комментировать
  • Почему грузит один из дисков на 100% в Windows 10?

    @rPman
    написано же чтение и запись 0кб/с, очевидно что это проглючило у windows определение максимальной скорости работы с диском, нечего беспокоиться!

    судя по монитору дисковой активности у вас обычная нагрузка на диски, которую генерирует windows
    Ответ написан
    Комментировать
  • Как проверить виндовс 10 на вирусы через загрузочную флушку убунту?

    @rPman
    официально бесплатные - livecd/liveusb образы
    https://free.drweb.ru/aid_admin/
    https://www.kaspersky.ru/downloads/thank-you/free-...
    https://www.eset.com/ua-ru/support/sysrescue/

    как минимум drweb сделан на основе linux про касперского я уже не помню, но какая разница, если это готовый загрузочный образ
    Ответ написан
    5 комментариев
  • Вирусы это частое или редкое явление?

    @rPman
    Вирус это программа, установленная без твоего ведома и занимающаяся деятельностью, не нужной или даже вредной для владельца ПК. Самые безобидные вирусы - это adware, основной доход с которых злоумышленник получает с показа рекламы, например подменой рекламных идентификаторов в браузере. Правильно написанный вирус никак не должен влиять на систему (за исключением случаев когда вредительство - самоцель, например локеры и шифровальщики файлов), но к сожалению и это главная причина, почему вирусы замечают - в них есть ошибки, из-за которых начинают глючить обычные программы.

    Повторюсь, отсутствие реакции антивируса не означает что вируса у тебя нет, это первое и главное что должны знать пользователи антивирусных программ про вирусы.

    Балгодаря драконовоским методам, таким как принудительная вакцинация обновления и отсылка на сервера майкрософт (точнее этим занимаются куча компаний) списка всех запускаемых приложений, вирусы стали редкостью. Ценою 'свободы' но это философский вопрос, обсуждения которого тут не приветствуются да и каждый тезис в нем будет встречаться в штыки каждым вторым.
    Ответ написан
    Комментировать
  • Скачал файл с фирусом, это опасно?

    @rPman
    Конечно, со времен winxp помним про вирус, который размещался в lnk файлах, который запускался просто после просмотра списка файлов (его иконки) в проводнике, и помятуя о том, как майкрософт относится к качеству кода своего поделия до сих пор (на сколько абсурдные 0-day уязвимости периодически проскакивают), шанс того что твой комп теперь заражен - существует

    но он очень низкий.

    p.s. проводник у майкрософта на столько монструозное приложение, с огромными легаси наслоениями, содержащий кучу плагинов и расширений, добавляющих неоднозначности по работе (мало ли какой баг будет обнаружен в кодеках, устанавливаемыми сторонними приложениями, на основе которых генерируется эскизы/миниатюры, классический вектор атаки - dll подгружаются локальные а не из системных каталогов) что там возможно все, и пользоваться им не рекомендуется в принципе
    Ответ написан
    8 комментариев
  • Линукс. Это взлом? Тогда как?

    @rPman
    'А был ли мальчик', точно был взлом?

    Вариант 'через плечо' на экран посмотрел не подходит? человек не знакомый, это мог просто прохожий в окно заглянул.

    Еще вариант, тебе в месседженере кинули ссылку на ютуб ролик, с вероятностью 99% ты его бы посмотрел, особенно если подгадать с темой (общались по работе), позже можно с гарантией сказать что в это время ты смотрел этот ролик.

    Дальше - фишинг, у тебя ютуб точно ютуб а не какой-нибудь youlube? а может заходишь на http вариант (злоумышленник может такие сайты MITM-ить, подменяя в т.ч. скрипты аналитики, но это немного хардкор)?

    Поэтому нужно больше информации, к примеру как ты смотрел этот ролик как пришел к нему? поиском в гугле/ютубе или со стороннего сайта? или в месседженере ссылку кинули?
    Ответ написан