Добрый день, хочу немного разобраться. В общем с рутрекера качал Dino Crisis антологию ( ссылка на форум тут [URL=https://rutracker.org/forum/viewtopic.php?t=5204572]https://rutracker.org/forum/viewtopic.php?t=5204572[/URL] и там написано что всё проверено и норм), нажал на установку и продолжил стримы смотреть. Но не тут то было, от просмотра стримов отвлекла вылезшая командная строка... что-то прописалось (не разбираюсь совершенно, даже когда замедлил видео, чтобы глянуть, что там прописывается такого), и в итоге защитник сам обнаружил вирус (он у меня включен и отреагировал на это дело). Я всё удалил и решил переустановить игрушку, записывая всю эту лабуду, чтобы Вы понимали, с чем я столкнулся и залил на только что созданный канал - однодневку [URL=https://youtu.be/gh6bUX4XbGw]https://youtu.be/gh6bUX4XbGw[/URL]

И теперь мне стало любопытно, а что за "процедура" такая с командной строкой? Комп сам по себе вроде как жив и здоров, на форуме никаких нареканий не прочитал. Может ли это быть таблэтка и как это проверить? Просто мне напомнило вот это [URL=https://youtu.be/zNkUIKhR0jM?t=40]https://youtu.be/zNkUIKhR0jM?t=40[/URL] где у летсплеера открылся как он выразился "майнер". Не знаю как у него дела по итогу вышли, но у меня какой-то подозрительной активности с моего "торрента" нету. Но всё же решил вот с Вами проконсультироваться. Стоит ли лишний раз беспокоиться, или в принципе всё в порядке и это ложная тревога? Просто сами понимаете, не каждый раз увидишь, что вдруг открывается командная строка и там что-то прописываться начинает.

И наверное глупые вопросы, но нужно ли и можно ли "почистить" после "вируса" командную строку? И как можно выяснить, что такого напрописывал он мне на ПК? Может стоит реестр почистить ССleanerом например на всякий пожарный? Антивирусом ЕСЕТ и Дефендером просканировал весь комп - никаких угроз не найдено

Поделитесь со мной своей оценкой происходящего, буду очень рад Вашему ответу. И заодно повышу свои знания в этих вопросах, стану грамотнее благодаря Вам

[QUOTE]Майнеры нужно удалять на специализированных форумах. Мало его удалить - желательно ещё понять по какой причине произошло заражение и убрать нежелательные изменения внесённые в работу системы ( блокировка установки антивирусов, или смена DNS )[/QUOTE]
Майнер появился по той причине, что человек решил качать не с рутрекера, а с какой-то торрент-помойки. Скачивал он старенькую игру Рататуй. По итогу он не мог зайти ни на один сайт антивирусных компаний, а также на специализированные форумы (comms например), поэтому один из нас скинул ему через файлоообменник демо-версию доктора веба и сканирование началось. Как мы выяснили, дилемма по блокировке сайтов заключалась в том, что был отредактирован hosts, который мы вернули в исходное состояние уже после того, как пролечили компутатор с помощью антивируса (майнер и прочий зверинец оказались очень старыми, и без проблем детектились). В конечном итоге блокировки с сайтов сняли, ЦП перестал грузиться, hosts восстановлен (правда совет о том, как защитить hosts в будущем, я дать не смог, так как и сам не знаю). В общем кажись победили. Но на счёт смены DNS не проверяли, что-то никто не додумался, но вроде обошлось
[QUOTE]По поводу: Удаленных рабочих столов... За это отвечает: Служба удаленных рабочих столов.
Отключаете службу и всё.
И все другие потенциально опасные службы - тоже отключить ( в сети полно информации ) ( сделав для себя запись - что было отключено )[/QUOTE]
Да у меня вроде всё отключено) Я после установки винды все, что хоть какие-то намеки на уязвимость имели (по-моему мнению разумеется... может на самом деле не всё так страшно) - повырубал, включая [URL=https://sun9-71.userapi.com/impg/4xuTPvgsHsIBMBLyffIaIkaRlcAQVkppyKFA-w/Y3ivbFy53cQ.jpg?size=1851x946&quality=96&sign=0abe8f4d8dc85be05fed8f4f3a569602&type=album]удаленный реестр и удаленное управление windows (WS-management)[/URL] главное чтобы "само" не включилось, или что-то постороннее не включило (не знаю, возможен ли такой вариант развития событий?). Эх... а вот если бы я поставить версию HOME - то этих служб бы не было, так как удаленный доступ есть только в PRO и Enterprise.

Доброго вечерочка, в общем кулстори. Помогали одному бедолаге вычистить компутатор от майнера. Победили в конце концов. Скинули жертве демо версию доктора веба и зачистили всю заразу [URL=https://ibb.co/8Bz6ZTB]https://ibb.co/8Bz6ZTB[/URL] и всё бы ничего, но знаете, заметил я "вирус" RDPWinst.exe и таки вспомнил про такую интересную функцию в прошке, как
-->  [URL=https://sun9-35.userapi.com/impg/nL_RlZA0PLhTr3iOy8P2vocOvMGXC6wbvrJzSA/jcaDYuC680s.jpg?size=979x829&quality=96&sign=55e247536bd29b4346ef2615e1cbdcc9&type=album]ЭТА[/URL] <-- и тут возникли вопросы:
1. А что собственно нужно знать злоумышленнику, чтобы удаленно войти через эту функцию? Например я уже узнал из гугла, что нужен логин и пароль учетки, в которую хочешь удаленно войти, но ведь это было бы совсем небезопасно, а значит наверняка что-то еще нужно знать, чтобы войти, верно?
2. Касательно безопасности, ходят слухи, что если например известен логин и пароль от учетки - то могут спокойно входить и при этом жертва совсем даже не будет знать, что у него уже кто-то лазает. Это правда? Если да, то как же тогда ну может, уведомления включать какие-то или чтобы где-то в трее показано было, что какой-то гад воспользовался удаленным рабочим столом без твоего ведома?
3. Если например касательно --> [URL=https://sun9-13.userapi.com/impg/sL1nJVSdCtiNinVvivtCM6wkMyRuplUo1EE7sA/l1hBgPRe2nY.jpg?size=910x988&quality=96&sign=52ef99f8c6201b5c4625bf791abd1210&type=album]УДАЛЕННОГО ПОМОЩНИКА[/URL] <--можно спать спокойно, так как там ты сам отсылает код (насколько я знаю из статей) и ты полностью контролируешь процесс, и если что-то не понравится -то просто отрубаешь доступ, и при этом к тебе уже не подключатся, так как код одноразовый (поправьте если чушь несу, я не проверял от слова совсем), и можно даже не бояться, если у тебя галочки стоят в "разрешить подключение", то как же тогда обрывать сессии в удаленном рабочем столе? Неужели ребутом? :D И в итоге например оставлять включенным --> [URL=https://sun9-35.userapi.com/impg/nL_RlZA0PLhTr3iOy8P2vocOvMGXC6wbvrJzSA/jcaDYuC680s.jpg?size=979x829&quality=96&sign=55e247536bd29b4346ef2615e1cbdcc9&type=album]ТУТ[/URL] <-- я уже мягко говоря... опасаюсь, и это вот незнание приносит дискомфорт. Вспоминается фраза "знанием побеждается всякий страх", так вот... хочу перестать париться по этому вопросу, и знать, чем чревато например включение этой опции, проседает ли безопасность или нет?

Расскажите, чтобы я не загонялся по этому поводу. В моём случaе именно "БОЛЬШЕ знаeшь, крепче спишь", а не наоборот  ;)

[QUOTE]Сергей Скляраев написал:
Как избавится от скрытого майнера?[/QUOTE]
[URL=https://qna.habr.com/q/632375]https://qna.habr.com/q/632375[/URL] почитайте здесь
[URL=https://www.eset.com/ua-ru/support/information/entsiklopediya-ugroz/skrytyy-mayning/]https://www.eset.com/ua-ru/support/information/entsiklopediya-ugroz/skrytyy-mayning/[/URL] и здесь для повышения грамотности, но здесь про майнинг сайты
[URL=https://lifehacker.ru/skrytyj-majner/]https://lifehacker.ru/skrytyj-majner/[/URL] и вот

Это всё в случае, если не хотите через специальные программы, типо uVS решать проблему
[QUOTE]И ещё, если человек не ориентируется - то он и вопросы не может задавать.
А вы вопросы задаёте правильно - значит ориентируетесь и понимаете о чём идёт речь.[/QUOTE]

Не знаю, может быть. "Любопытство в купе со страхом" делают чудесные вещи - ты впитываешь информацию, как губка, а учишься задавать соответствующие вопросы. Мне кажется, если бы меня эта тема не "тревожила", я ы ничего не понял вообще
[QUOTE]Ответ: Изменить можно - но с последствиями ( о чём выше сказано )[/QUOTE]
Я вот в итоге насобирал такую информацию, может кому-то она будет полезна

Если мы говорим о учётке МС, то все тянется с сервера и локально нет смысла что-то менять, если даже кто-то получит доступ к старой информации э, которая осталась на диске. Пароль в системе хранится в зашифрованном виде. Sid по факту значения не имеет. Есть определенный токен, но его взломать невозможно никак. Просто меняете пароль на сайте и все. Такой взлом точно невозможен.
Локальную учётку взломать тоже не получится, так как она вместе с файлами будет стёрта, то есть ценность при доставании файлов имеет только какая-то информация в виде фото или документов.
[QUOTE]"Если менять SID : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList. То нужно менять данные в ProfileImagePath. т.е. путь\данные профиля должны соответствовать"[/QUOTE]
Мне вот тоже еще один умный человек дал такой же ответ примерно, вот он:

Да, так можно сделать, но учетка 99% когда-то сломается и скорее всего сразу, то есть не получится в нее войти и все переменные среды тоже ведь нужно менять. Если взломщик так сделает, то не сможет подключиться, так как софт, который будет работать, останется как бы старом аккаунте. Я пользовался ранее одним софтом по работе для удаленного подключения и он был очень чувствительным вообще к любому изменению в учетной записи. То есть, если даже был доступ полный к ПК, то не удавалось подключиться часто. Так что думаю, что тут на это точно не стоит обращать внимание.


В итоге я пришел к выводу, что если учетку через сид взломают - то "кулхацкеры" наверняка её "уничтожат" таким образом

Поправьте если не правильные выводы сделал, и также если информация, которую я получил, не совсем правиьна) Всё-таки Вы больше всех нас вместе взятых знаете, это не трудно понять по Вашим ответам с хорошим разъяснением  :D

[QUOTE]RP55 RP55 написал:
+
[QUOTE] Подозрительный Человек написал:
Вообще можно SID учеток или OСь изменять и если можно - то что произойдет?[/QUOTE]
Если менять SID : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList.

То нужно менять данные в ProfileImagePath.  т.е. путь\данные профиля должны соответствовать.
-------
Если что-то не то сделать: Не будет доступа к профилю и будут проблемы с доступом к файлам, проблемы с запуском программ ( у программ не будет нужных прав )

Если есть желание поэкспериментировать - то нужна копия реестра.[/QUOTE]
Ну теперь я знаю, что можно даже SID поменять. Это конечно даже немного смущает, я думал, что каждый SID уникален и по сути его сменить = сломать учетку, вплоть до того, что даже пароль не будет работать (учетка то получается уже новая)

[QUOTE]"корзины" пользователей, создаёте нового пользователя, а после пользуетесь [URL=https://docs.microsoft.com/en-us/sysinternals/downloads/sdelete]sdelete[/URL] с соответствующими ключами.[/QUOTE]
А можно например SID пользователя изменить? Например если через админа сидел. Мне тут советуют. Но может шутят
Вообще можно SID учеток или OСь изменять и если можно - то что произойдет? А что даст создание новой учётки и удаление старых?

Что за теневые копии такие? И я так понимаю, что даже если я накачу другую ОСь - то данные всё равно можно восстановить?

Планирую продавать старенький ноутбук. Подскажите, как можно полностью очистить его от всех своих личных файлов, оставив только чистенькую ОСь? И чтобы нельзя было с помощью сторонних прог восстановить. То есть чтобы файлы были удалены без возможности восстановления

И да... сносить шинду опасно, там стоит божественная семёрочка от Гамновского, и обратно я её вряд ли накачу

В том-то и дело, что однозначных ответов я не нашёл. Кто-то например просто открывает какую-то прогу типа бандикама и запись включает, но про тайминги - ни слова. Я даже в майкрософт комьюнити писал, там никто про тайминги не знает.

Но зато рассказали про учетки. Что есть у каждой свой SID, и что он уникален.
И чтобы с учеткой не произошло (пароль поменялся, имя, привилегии) - сид останется, даже если в реестре что-то поделать с учеткой. А посмотреть SID можно только через павершел
[IMG WIDTH=473 HEIGHT=176]https://sun9-67.userapi.com/impf/pBNs1V-4bSWrULESsiQ0i7zBfWJUTFhDinj5Hg/3t3Vl5rcaic.jpg?size=473x176&quality=96&sign=296974d2a6311c9168ba974b95cd4277&type=album[/IMG]


А вот про тайминги и окна предупреждения ничего такого не нагуглил. Так что касательно таймингов всё еще ищу по просторам интернета ответы)) Однако вычитал, что вот на серверных ОС такая фича есть, мол спрашивают "зачем вы хотите завершить работу" и т.д., окошко такое выскакивает. Но не ставить же серверную винду... в игрушки не поиграть будет))

[QUOTE]По поводу внешней видеокарты - её можно отключить > взять с собой ноутбук > прийти и снова подключить. ( но, здесь нужно смотреть\читать отзывы насколько это целесообразно )[/QUOTE]
Только вот процессор то останется слабым, а его не заменить)[QUOTE]По поводу кнопки: Панель управления\Оборудование и звук\Электропитание ( см. фото )[/QUOTE]
и на кнопку RESET это тоже сработает? У меня там 2 кнопки, одна включения, а вторая поменьше - ребут. [QUOTE]А можно купить внешнюю кнопку питания и прихреначить её под стол :)
Или взять высокое кольцо и приклеить его - будет колодезный сруб вокруг кнопки.  ;)[/QUOTE]
Не смейтесь надо мной, я несчастный юзер  :D


Так а тайминги то поставить как-то можно вообще? Ну чтобы процесс завершения работы можно было отменить? Или может есть какие хитрости?)


Я бы вообще наверное нонстопом в спящем режиме ПК держал, но поговаривают, от этого засоряется оперативка) а я к тому же скачал с рутрекера FL Studio, а эта прога вроде как множество мусора оставляет после себя

Еще вот такой вопросик, а у учетных записей есть какие-то "индикаторы"? Ну например чтобы отличать учетки с одинаковыми именами и т.д.? У нас вот просто на работе балуются тем, что учетки постоянно переименовывают, и вот хотелось бы выяснить, может быть у каждой учетки есть свой личный ид в реестре или что-то в этом роде?

[QUOTE]Есть: Внешняя видеокарта. ( вопрос насколько это целесообразно - но... ) можно и к ноутбуку подключать. ( когда есть электричество :) , а когда нет работать с родной видеокартой ноутбука. ( но нужно смотреть - стоит ли игра свеч )

Если есть частые отключения электроэнергии ( фото ) или что-то наподобие... ( для ноутбука или моно блока ) ( но опять же смотреть отзывы )
Или портативный, туристический (походный) бензиновый генератор... ( на балкон ) :)[/QUOTE]
Ну это уже как целый ПК будет (ну всмысле с таким же успехом можно и корпус таскать с моником)  :)


Тут появилась иная проблема, как мне сделать, чтобы кнопки на корпусе ПК при их случайном нажатии (например когда протираю от пыли) не вырубали/перезагружали пк? Как сделать, чтобы кнопка reset была отключена и кнопка выключения работала только чтобы именно "включить" ПК, а не отрубать его? Очень уж кнопки чувствительные.


Да и вообще, можно какие-нибудь тайминги включить или предупреждение перед отрубом компа сделать? Чтобы к примеру есть жмякнул тут например [URL=https://sun9-67.userapi.com/impf/FDkrEr6MXrITUwhmo7OKPeyAu2Z3eWShTvbfzg/SbTUxXfnfjA.jpg?size=373x255&quality=96&sign=8ba8617a4d9da1e12c0562ed80775d11&type=album]https://sun9-67.userapi.com/impf/FDkrEr6MXrITUwhmo7OKPeyAu2Z3eWShTvbfzg/SbTUxXfnfjA.jpg?size=373x255...[/URL] на "завершение работы", а тебе в ответ окошко вылезло, типо "ты уверен?" или тайминг был секунд в пять? Или переместить/убрать из панели эти кнопки, чтобы например они находиись скажем так "подальше"? Это можнео штатными средствами винды десятой сделать?

Может быть это странно, но мне было бы комфортнее, если бы завершить работы можно было бы например не в три клика, а в 4. Это была бы для меня подушка безопасности от случайного нажатия. (у меня бывало что залипала клавиша ENTER на клаве, из-за чего нажималось что ни попадя, и мышка к примеру прошлая при нажатии левой кнопки - дважды/трижды отдавала команду) Это наверное конечно паранойя, мол "как можно три раза не туда нажал и т.д., но всё же...