Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся
эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России,
Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане,
Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании
PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз
и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере
15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его
применить в корзине.
Добрый день. Недавно столкнулся с одним сильным вирусом майнером, который блокировал установку антивируса Nod32. Благодаря теме на форуме в разделе:установка антивируса, мне помогли решить эту проблему с помощью программы uVS, скидывая скрипты и инструкции пошаговоые. Хотелось бы самому разобраться в этой программе и как ней пользоваться, подробнее прочитать что делает каждый ее раздел. Буду рад любому ответу по поводу этой программы!) Всем добра)
Файл с идентичным\одинаковым наименованием не может находиться в одном каталоге. Значит придумывают другое место. C:\WINDOWS\AC9642BE\SVCHSOT.EXE C:\ProgramData\Application Data\Mozi\SVCHSOT.EXE
В диспетчере задач пользователь не видит путь ( если не смотреть доп. информацию ) - видит только имя файла. Поэтому логично со стороны злокодеров подсунуть ему, что-то знакомое\привычное\родное\ручное :) Что может быть привычнее svchost.exe ? Кроме того svchost.exe может быть и 10 и 20 что затрудняет обнаружение.
Рандомное наименование ; Левое наименование ; явно рекламной направленности ; левый производитель ; не указан.
32) Спец символы в пути C:\USERS\►►►►\APPDATA\ROAMING\EQTV3AROPWXS17X8VQ.EXE C:\USERS\►►►►\APPDATA\ROAMING\JVAPZCHZVRFVHF1SVKP.EXE
33) Не идентичные системным имена, а только похожие. По легальному пути. C:\Windows\SysWOW64\wussa.exe (s) C:\Windows\SysWOW64\userlnit.exe (l) C:\Windows\System32\ctfmon .exe ( )
34) Подмена системного файла на левый\вирус Особое внимание на системные файлы если у Системный.exe в графе производитель будет указан Global-Update это явно подозрительно ;) Отсутствие ЭЦП ( или самоподписанный\поддельный сертификат ) Удаляются\подменяются не все файлы подряд, а те которые постоянно активны. EXPLORER.EXE SERVICES.EXE и т.д.
35) Изменение параметров запуска системного файла. файл со стартом системы по умолчанию не запускается... Но, он нужен плохим дяденькам чтобы с его помощью запускать свой файл Примеры: Запуск через задачу\Task Task: {77108E3C-4C71-191B-AD1B-E1D1F566BF0E} - C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\bdd75b60\d136dad1.dll" Через реестр: HKCU\. .\Run: [MSIDLL] rundll32.exe msionc32.dll,bQiYtMdJrG т.е. легальный файл используется в деструктивных целях.
Поэтому удалется не сам файл, а левые записи\настройки\параметры к нему относящиеся.
36) Имитация Файла Антивируса. Антивирус удаляется, а вместо него в процессах висят вирусные процессы.
37) Подделка\имитация\обманка. Исполняемым файлам присваиваются привычные имена... имена известных папок\каталогов. Windows.exe Media.exe Installer.exe security.exe Tasks.exe Windows Defender.exe Windows Media Player.exe
Конечно не так часто им присваиваю такие звучные имена.
39) Вирус - Изменение расширения. SVCHOST.VBS EXPLORER.VBS ctfmon.COM userinit.COM и т.д. т.е. сохраняется имя файла, файл остаётся исполняемым, сохраняется родной\привычный путь до файла.
т.е. если просматривать лог то можно принять запись относящеюся к каталогу к записи реестра. * Актуально для таких программ как FRST как всегда расчёт на невнимательность + нестандартность решения.
41) Подделка имени или путей известных папок.
Она раз и: \APPDATA\ROAMING\TEMPO\ \APPDATA\LOCAL\UPDATE\TEMP\
Добрый день. Спасибо большое, что продолжаете отвечать в этой теме. У меня возникла одна проблема. Когда я запуская программу, я обнаружил подозрительный обьект (https://prnt.sc/reok9t). Ранее никогда не был утсановлен McAffe.Я нажимаю правую кнопку мыши, выбираю удалить все ссылки на обьект. После этого выбираю применить изменения. Но после перезагрузки uVS опять вижу этот обьект. Стоит ли мне волноваться?
Добрый день. Если по записи относящийся к MCAFEE® WEBADVISOR хлопнуть два раза мышью ( или в меню - правой лапой мыши - Информация ) То увидим:
Полное имя C:\USERS\OLEXA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FHEOGGKFDFCHFPHCEEIFDBEPAOOICAHO\8.0.0.37123_0\MCAFEE® WEBADVISOR Имя файла MCAFEE® WEBADVISOR Тек. статус ПОДОЗРИТЕЛЬНЫЙ Chrome/Yandex
Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ Chrome/Yandex
Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Имя файла Типичное для вирусов или содержит Non-ASCII символы
------------ т.е. это расширение браузера. GOOGLE - CHROME У McAfee есть бесплатные продукты и они их везде пихают.
Скрипт на удаление выглядит так.
Скопируйте текст КОДа - в буфер обмена. uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена. ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ! ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
В певой строке в качестве примечания\комментария ( ; ) указана версия uVS ( версия того кто пишет скрипт ) и сайт разработчика. Во второй указана версия операционной системы ( вашей ) v400c - запись также относиться к версии uVS delref - команда удаления ссылок. ( некоторые расширения существуют только как текстовая запись в реестре системы ) после delref указан собственно сам объект к которому применена команда. restart - перезагрузка PC Перезагрузка нужна для фиксации изменений. * Часть строк пишет оператор - часть программа добавляет автоматически. ------------ В uVS есть ещё команда: Обновить список. т.е. 1) Отдать команду на удаление 2) Подтвердить ( работает с некоторыми командами - другие же сразу выполняются ) 3) Обновите список или перезагрузите PC ( что предпочтительней ) * При обновление списка программа вновь производит сбор информации - повторно.
+ По какой причине uVS считает объект подозрительным ? Имя содержит Non-ASCII символы, а именно символ: ® ------------ Имя не содержит ( не указан ) тип расширения: MCAFEE® WEBADVISOR Однако само по себе это в порядке вещей для расширений Хрома и браузеров на его движке ведь некоторые расширения существуют только как текстовая запись в реестре системы... и расширения им ненужны.
Путь должен насторожить: \APPDATA\LOCAL\ но для браузера и некоторых других программа и это нормально.
Почему нет записи по SHA1 ( контрольной суммы файлов ? ) - это текст не файл. значит и проверить по SHA1 на VirusTotal унас не получиться ( отсюда сложности с проверкой Хрома ) ------------- Поэтому угрозой нужно считать только объект ( запись ) или файл по ряду\группе признаков. A+B+C+D эту логику придумал Олег Зайцев разработчик AVZ ( Антивирус Олега Зайцева ) права на который впоследствии были выкуплены Kaspersky.
В программе есть возможность поиска. Вместо категории: Подозрительные и вирусы выберите категорию. Выберите поиск по имени, или пути файла. Для нормальной работы курсор должен быть на одной из строк. ( Имя ; Каталог ; Статус ; Производитель )