Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся
эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России,
Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане,
Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании
PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз
и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере
15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его
применить в корзине.
Добрый день. Недавно столкнулся с одним сильным вирусом майнером, который блокировал установку антивируса Nod32. Благодаря теме на форуме в разделе:установка антивируса, мне помогли решить эту проблему с помощью программы uVS, скидывая скрипты и инструкции пошаговоые. Хотелось бы самому разобраться в этой программе и как ней пользоваться, подробнее прочитать что делает каждый ее раздел. Буду рад любому ответу по поводу этой программы!) Всем добра)
Категория Как выявить подозрительный объект. Как правило в данной категории есть 1-2 записи. Если таких записей больше - это уже подозрительно. Инструментом WMI мало кто пользуется - в основном системные администраторы в компаниях и то редко - редко... Можно ли снести все записи не разбираясь ? Да, можно - видимого влияния на работу системы это не оказывает.
При удалении вируса - СМОТРИТЕ ЧТОБЫ НЕ БЫЛО ССЫЛОК НА СИСТЕМНЫЕ ФАЙЛЫ. ( если, есть такая ссылка - то в программе предусмотрена безосная команда: ( Удалить WMI Event )
Однако если разобраться... Открываем Инфо. Это вирус, если в тексте есть записи: .VBS ; VBScript ; ****.exe ; браузер.exe Внутренние ссылки с указанием на любой исполняемый файл. ( в том числе на любой системный ) Любая запись с внешним адресом: http://*** HTTPS://*** и т.д. Лучше всего сохранить текст в блокнот - так будет удобно его просматривать. Можно запомнить - какая запись есть в норме. И удалять любую новую\неизвестную запись. Если запись успела засветиться - тогда имеет смысл проверить полученный вами текстовый файл на V.T
Часто в работу системы вмешиваются хвосты... Нет, это не те хвосты к которым мы привыкли - это хвосты антивирусов. Был у человека антивирус - антивирус удалили, а хвосты то остались... Хвост - это служба, служба караульная - держать и не пущать !
Как выявить ? Как правило все компоненты антивирусов подписаны производителем ( т.е. имеют свою ЭЦП )
AVAST Software a.s. AVG Technologies Kaspersky Lab и т.д.
Жмём F6 - идёт проверка ЭЦП Выбираем категорию: Весь Автозапуск или категорию ВСЕ Выбираем колонку: Производитель. Для того чтобы упростить себе поиск выбираем чек бокс: [v] известные ( скрыть известные ) Чтобы система не тормозила - хвосты удаляем. А ведь есть ещё и левые антивирусы. У Компонентов антивирусов как правило есть самозащита поэтому нужно удалять, или в безопасном режиме, или с Live CD ( работая с неактивной системой ) Бывает, что люди устанавливают по 5-ть антивирусов и здесь уже не до хвостов. ( тогда удаляем штатно + спец. программой ) Практически у всех разработчиков-антивирусов есть специальные программы для удаления их продуктов. Поэтому лучше найти\определить следы\компоненты какого антивируса есть в системе и применить спец. утилиту для удаления. Антивирусов очень много - хорошо если известно какой антивирус был установлен.
У Avast это Avast Clear (Uninstall Utility)
У AVG - AVG Clear
Kaspersky kav-removal
и т.д. Список производителей можно посмотреть на том же V.T.
uVS может работать с неактивной системой. Для чего ? В случае когда система не загружается, когда тормозит и невозможно нормально работать, если есть подозрение на руткит, система заблокирована вымогателем, чтобы не допустить дальнего распространения вируса - блокировать его активность, его деструктивные действия.
так, как систем может быть установлено несколько: 1) При запуске выбираем: Выбрать каталог Windows ( выбрана активная система ) * Активная система - это та система в которой вы сейчас работаете ( например система загрузочного диска Live CD ( WinPE )
2) Выбираем нужную нам Windows например: C:\Windows или F:\Windows т.е. нам нужно указать программе на нужный каталог.
Посмотреть инструкцию. ( здесь показано как создавать образ автозапуска т.е. сбор информации по системе )
3) Запускаем под текущим пользователем.
Имена дисков C:\ D:\ E:\ и т.д. могут отображаться не так как вы привыкли. Чтобы это компенсировать в программе есть транслятор имён дисков. Обязательно обращайте внимание на это... Если систем несколько вы можете подключить не ту систему которую нужно - или продолжать работать с активной системой.
--------------------- Если антивирус сигнализирует об обнаружении угрозы в одно и тоже время ? Если запуск\обнаружение - угрозы происходит в одно и то же время - значит работает системный планировщик заданий. Так планировщик может работать с браузером и т.д.
Когда вирус сам себя обнаруживает. Вирусы создают но бывает создают криво с ошибками и пользователь видит сообщение об ошибке. Как мы ранее выяснили часто вирусы пытаются замаскировать под системные файлы, или хотя бы изобразить что-то похожее на известный объект. Запускаем uVS находим по поиску ( по имени файла, или пути ) ( если не можем найти по поиску помним, что имя может содержать как кириллические так и латинские символы ( в данном случае это могут быть: Т; А ; H ; О ) Проверяем файл по virustotal.com открываем Инфо. файла и смотрим: Обращаем внимание на время создания файла; имя; атрибуты; смотрим тип файла, в автозапуске он или нет и на способ\тип запуска.
Полное имя C:\PROGRAMDATA\REALTEKHD\TASKHOST.EXE Имя файла TASKHOST.EXE Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске File_Id 5EB17B071B9000 Linker 12.0 Размер 1767424 байт Создан 05.05.2020 в 16:50:35 Изменен 05.05.2020 в 17:41:40 Атрибуты СКРЫТЫЙ СИСТЕМНЫЙ
TimeStamp 05.05.2020 в 14:41:11 EntryPoint + OS Version 0.2 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 64-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить
Оригинальное имя MicrosoftHost.exe Версия файла 2.14.0 Описание NT Kernel & System Copyright Microsoft Corporation Производитель Microsoft Corporation
Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Атрибут файла "Скрытый" или "Системный" [типично для вирусов] Путь до файла Не_типичен для этого файла [имя этого файла есть в известных]
Доп. информация на момент обновления списка SHA1 AC6B619ACECE942F27D75E1E0EA46B94BC9B91A9 MD5 DE88D7EC667DEA756D236E9053D7EEB9
Ссылки на объект Ссылка C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\Wininet\REALTEKHDCONTROL
Ссылка C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\Wininet\REALTEKHDSTARTUP -------------- Здесь использовано известное имя и нетипичный путь до файла, файл скрытый, вердикт на V.T. многократно прописан в задачах. -------------- Принцип здесь такой: + + + + каждое отклонение добавляет + к файлу и чем больше этих плюсов тем подозрительнее объект ( ведь не всегда есть интернет и возможность проверить файл антивирусами ) --------------- Нашли одну угрозу ? Ищите дальше - их может быть и две и три не всё же надеяться на чужие ошибки.
-------------------------------------------------------- Какие пути чаще всего используются: \APPDATA\LOCAL\ \APPDATA\ROAMING\ \APPLICATION DATA\ \PROGRAMDATA\
\TEMP\ - каталоги "TEMP" содержать временные файлы ( как правило эти временные файлы используются 1-2 раза - значит их можно удалять ) \PROGRAMS\STARTUP\ - каталоги вообще не должны ничего содержать ( если вы сами не добавили программу\ярлык в запуск )
Если _включено в ( Параметры папок ): Скрывать расширения для зарегистрированных типов файлов то пользователь будет видеть: picture.jpg Хотя реально это будет: picture.jpg.exe
2) Исполняемый файл может содержать фрагмент изображения. ( ресурс ) т.е. маскировка под файл изображения, видео или офиса.
3) Изображение может включать исполняемый код ( эксплуатируется уязвимость на старых или не обновлённых системах ) Как найти: а) Сам файл изображения не должен включать осмысленный код\текст. т.е. можно открыть файл .jpg в текстовом редакторе и посмотреть.
б) Проверить в uVS Файл > Добавить в список > Все исполняемые файлы в каталоге ( или указываем диск ) Получите список _всех _исполняемых файлов каталога или диска. (.exe; dll и т.д ) ( вне зависимости от видимого расширения файла )
в) Проверить файл на И после анализа файла посмотреть все вкладки - что какие компоненты входят в состав файла. Сравнить с обычным файлом изображения.
г) Переименовать файл в *****.zip и открыть на просмотр в архиваторе. Если файл исполняемый то архиватор такой файл откроет ( как правило ) ... если не исполняемый выдаст ошибку.
д) Работаем с программой: Resource Hacker ( можно посмотреть ресурсы файла\программы - есть они, нет и какие это ресурсы )
В uVS можно работать с реестром неактивной системы.
Для этого нужен или Live CD или вторая установленная система.
Запускаем uVS > выбираем нужную нам систему ( папку\каталог ) Windows Программа найдёт реестр: ( например по пути: C:\Windows\System32\config )
Находим нужный нам файл\объект > открываем: Информация Находим строку с нужной записью > хлопаем мышью 2х > на выбранном пункте откроется реестр. пример на фото. И здесь можно внести нужные нам изменения.
Чем ещё "животное" может отличаться от обычной программы ? Например типом запуска - запуск не просто прописан в Task Может быть дополнительная запись\параметр: TaskCache т.е. при удалении задачи - задача может сомо-восстановиться... Для простой программы это не нужно... ------ Пример: Полное имя C:\USERS\NIKITA\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL Имя файла ADNEKMOD8B4.DLL Тек. статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Сохраненная информация на момент создания образа Статус в автозапуске File_Id 5FDC35A8C000 Linker 11.0 Размер 12800 байт Создан 18.12.2020 в 18:37:33 Изменен 18.12.2020 в 18:37:33
TimeStamp 18.12.2020 в 04:52:56 EntryPoint + OS Version 0.0 Subsystem Windows character-mode user interface (CUI) subsystem IMAGE_FILE_DLL + IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 64-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить
Оригинальное имя AdNetwork.dll Версия файла 1.0.0.0 Описание AdNetwork Производитель Комментарий
Доп. информация на момент обновления списка Файл C:\WINDOWS\SYSTEM32\RUNDLL32.EXE CmdLine C:\USERS\NIKITA\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL,AMIGOUPDATER SHA1 0CBA96ADD40FC610017EF4A2BA8F4220694A1018 MD5 B5BF285378916D5119D87C08917FE872
Ссылки на объект Ссылка C:\WINDOWS\SYSTEM32\TASKS\ZAMIGOBROWSERUPDATE
Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C95E75C3-E3E5-4062-89C5-D661FD154BA4}\ --------- Что здесь подозрительно: Оригинальное имя отличается; Имя задачи отличается, задано с ошибкой\небрежно; небольшой размер файла, левый путь до файла, автозапуск, отсутствие ЭЦПодписи; Работа с системным RUNDLL32.EXE, не просто Task а TaskCache, Это новый недавно созданный файл.
Вес файла: 0 байт. Такие файлы удалять можно ( особенно если они в автозагрузке) так, как это будет замедлять работу системы. Система выполняет ( пытается ) выполнить некое действие\операцию с файлом у которого нет полезного функционала. С файлом\нулёвкой может работать программа - что-то в него записывать и\или удалять. Если файл нужен программе для работы то программа может его воссоздать\восстановить после удаления. Если в отношении некого файла есть сомнение его можно переименовать c: DP45977C.lfl в DP45977C.lfl.old --- Есть ресурсы которые показывают тип расширения и можно определить с чем мы имеем дело: open-file.ru/types/l/ ( но не всегда можно получить результат :)
