Выбрать дату в календареВыбрать дату в календаре

[ Закрыто] Как создать лог журнала обнаруженных угроз?
Для детального анализа заражения системы бывает необходим лог журнала обнаруженных угроз.
[QUOTE]Чтобы перейти в расширенный режим, нужно щелкнуть расположенную в левом нижнем углу ссылку Переключатель расширенного режима (Toggle Advanced mode) или нажать клавиши CTRL+M.
[/QUOTE]
Для нашего форума лог необходим в читабельном текстовом формате txt. (в xml - не нужен)

порядок действий:

1. Антивирус - служебные программы - файлы журнала

2. В списке журналы выбираем - обнаруженные угрозы

3. перемещаем курсор на записи журнала (если они есть)

4. правой кнопкой мыши вызываем контекстное меню, выбираем пункт "экспорт"

5. в диалоге сохранения файла устанавливаем тип файла txt

6. сохраняем файл, например threat.txt или угрозы.txt

7. помещаем данный файл в ваше сообщение на форум.
Изменено: santy - 07.04.2012 11:36:48
Avira Support Collector
Возможно, интересно будет для технической поддержки :) что-то вроде аналога Eset Sysinspector, но все логи в формате html. (Шрифты понравились :))

http://www.avira.com/de/support-download-avira-antivir-support-collector
Три способа обнаружения фарминг-атаки в Windows
[QUOTE]Фарминг-атаки, при которых пользователь скрытно перенаправляется на фишинговые сайты, стабильно популярны. Фарминг-атаки осуществляются вредоносными программами преимущественно семейств VKHost, QHost и DNSChanger. Основными целями являются социальные сети, системы онлайн-банкинга и всевозможные веб-службы. 3 следующих простых шага позволят вам оперативно выявить факт фарминг-атаки и нейтрализовать ее последствия.
[/QUOTE]
далее, читать здесь
http://habrahabr.ru/blogs/personal/73219/
Оптимальная настройка Startup Scanner в продуктах ESET NOD32 4.0, 4.2
Вопросов много по настройкам Startup scanner, поскольку этот модуль или режим влияет на производительность и правильную работу антивируса.

Что именно (какие объекты) перепроверяет данный сканер после обновления? Судя по конфигурации в редакторе ERA объектами проверки могут быть:
файлы, архивы, самораскрывающиеся архивы, упаковщики, оперативная память, загрузочные сектора, электронные сообщения.

Как оптимально настроить работу Starup scanner в планировщике, в конфигурации, чтобы данный режим не значительно влиял на производительность системы, или не приводил к сбоям в работе (например - блокированию почты и инета).

Какие дополнительные настройки антивируса могут влиять на оптимальную работу startup scanner?
[ Закрыто] как лечить файловый вирус?
Как лечить файловый вирус?

Перед выполнением лечения в любом случае необходимо:
* Отключить восстановление системы.
* Если компьютер подключен к локальной сети, то на время лечения отключить его.

В настоящее время эффективны следующие варианты лечения файловых вирусов:

1) используем сканер, предварительно записанный  на на CD или DVD на другой_чистом системе. Сделайте полную проверку "больного" в режиме Safe Mode, затем в нормальном.


2) Второй способ предполагает наличие здорового компьютера с установленным антивирусом. EAV\ESS.  
Желательно, все таки убедиться, что варианты данного файлового вируса корректно излечиваются указанным антивирусом с текущими антивирусными базами. Антивирусные базы должны быть самыми свежими. Достаньте жесткий диск "зараженного" компьютера и подключите к "здоровому". Запустите полную проверку антивирусом. По окончании проверки\лечения верните диск на место.

3. используем загрузочные диски с установленным антивирусом, и обновленными антивирусными базами.
Eset Sysrescue вы можете создать на чистой системе с установленной 4 версией EAV/ESS и  установленным приложением Windows AIK (The Windows Automated Installation Kit)
Бесплатные загрузочные диски от других компаний (например: DrWeb, Avira, VBA32) вы можете скачать с официальных сайтов, и записать на CD или DVD на другой_чистой системе.
[ Закрыто] как создать лог ComboFix?
Скачать http://download.bleepingcomputer.com/sUBs/ComboFix.exe

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe*, когда процесс завершится, C:\ComboFix.txt прикрепите к сообщению (или запакуйте C:\ComboFix.txt и прикрепите к сообщению).
Примечание: в случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[I]*)При запуске Combofix проверит наличие установленной консоли восстановления. Если у Вас установленная консоль восстановления отсутствует, Вы будете об этом проинформированы и Вам будет предложено, установить её перед дальнейшими действиями с Combofix.
Дополнительную информaцию о консоли восстановления Вы можете получить на страницах портала Microsoft: http://support.microsoft.com/kb/314058/ru[/I]
Изменено: santy - 05.11.2010 12:33:54
[ Закрыто] Как создать лог gmer?
Скачайте утилиту gmer с оф. сайта, отсюда
http://www2.gmer.net/gmer.zip

распаковать архив, запустить gmer.exe,

выполнить сканирование системы, как показано на рисунке,

[IMG]http://s019.radikal.ru/i605/1205/11/2f8f47f813d0.jpg[/IMG]

после завершения сканирования запостить лог на форум, в вашу тему.
Изменено: santy - 17.05.2012 13:57:35
[ Закрыто] Как создать образ автозапуска в uVS?
[COLOR=#FF3300]обратите внимание[/COLOR],
что[COLOR=#0000FF] [FONT=Arial]текст с выделенным синим шрифтом[/FONT][/COLOR] в данной инструкции содержит рекомендации по работе с загрузочными дисками WinPe&uVS, ERD commander&uVS, EsetRescue&uVS если Вы используете его для лечения системы от винлокеров или рекламных банеров, блокирующих доступ к рабочему столу. При лечении обычных заражений данные рекомендации можно пропустить.

скачайте архив с программой [B]uVS[/B] с оф. сайта разработчика
http://soft.oszone.net/program/8729/U...iffer_uVS/
*** или со страницы, которую укажет вам хелпер.

[COLOR=#0000FF][FONT=Arial][B]В случае заражения системы win-блокерами[/B], рекламными баннерами, и при невозможности получить доступ к рабочему столу, или командной строке в нормальном и безопасном режиме, используйте загрузочные диски Winpe&uVS, ERD commander&uVS или EsetRescue&uVS. (в дальнейшем в инструкции для случая заражения винлокерами будут указаны шаги работы с uVS применительно к загрузочному диску WinPe&uVS). [B]URL загрузки диска будет указан вам хелпером[/B][/FONT].
[/COLOR]
далее,
необходимо [B]распаковать_разархивировать[/B] архив с программой в отдельную папку, и
[COLOR=#0000FF][FONT=Arial](в случае лечения системы от баннеров и блокеров, необходимо загруженный образ winpe&uVS.iso записать на CD диск или флэшку с помощью, например, программы [B]Ultraiso[/B] на чистой системе, далее, переместиться к зараженной блокером системе, при загрузке системы войти в BIOS (F2, Del или др. клавиши), в меню BOOT временно установить приоритет загрузки системы с CD или USB в случае флэшки, вставить CD диск, или флэшку, сохранить измененные параметры BIOS, выйти из BIOS и перегрузить систему.)[/FONT]
[/COLOR]
1. запускаем стартовый файл [B][U]start.exe[/U][/B], (или ту, программу, которую укажет вам хелпер),
[COLOR=#0000FF][FONT=Arial]( в случае лечения системы от винлокеров или баннеров, стартовый файл uVS стартует автоматически при загрузке WinPe.)[/FONT][/COLOR]
[IMG]http://chklst.ru/docs/start2.jpg[/IMG]

2. выбираем каталог Windows для анализа автозапуска вашей системы.
Пропускаем п.2, если исследуете активную систему. Она уже автоматически выбрана.
Используйте диалог выбора каталога Windows (нажать Enter и выбрать из дерева каталогов системную папку) в том случае, если исследуемая система неактивна и находится на присоединенном физическом диске или не основном логическом разделе, [COLOR=#0000FF][FONT=Arial]или если вы стартовали uVS с загрузочного диска[/FONT][/COLOR].

3. выбираем пользователя (текущий пользователь - если вы админ в исследуемой системе, [COLOR=#0000FF][FONT=Arial]или если вы загружаетесь с диска WinPe&uVS[/FONT][/COLOR]; LocalSystem – имеем максимальные права в системе, если доступен данный выбор, но при этом не будет доступа к сети; другой пользователь – если необходимо исследовать систему из под другой учетной записью.)

после определения режима запуска загружается основной модуль программы для исследования вашей системы. Ожидаем завершения автоматических проверок списка автозапуска.

4. в главном меню программы выбираете пункт: файл - сохранить полный образ автозапуска,

[IMG]http://chklst.ru/docs/main.jpg[/IMG]

5. указываем имя файла образа, например, производное от имени компьютера_текущей даты_текущего времени.txt, которое автоматически предлагает для данного файла программа uVS. /Например: 1-ПК_2011-07-19_11-53-45.txt/ Если в вашей системе установлены программы Winrar или 7zip то автоматически файл образа автозапуска будет добавлен в архив с таким же именем и расширением rar или 7z. При этом размер файла образа в архиве уменьшается практически в 10раз и составляет примерно 200-300кб; [COLOR=#0000FF][FONT=Arial]в случае сохранения образа автозапуска выбранной системы из под WinPe&uVS сохраните указанный файл на съемный диск, для последующей передачи хелперам.[/FONT][/COLOR]

6. ожидаем завершения операции сохранения, затем выходим из программы uVS (или сворачиваем временно окно программы и ожидаем скрипт лечения)
[COLOR=#0000FF][FONT=Arial]При создании образа автозапуска из под WinPe&uVS будет автоматически установлен и запущен каталог цифровых подписей проверяемой системы. [/FONT][/COLOR]

7. добавляем в окне файлового менеджера или проводнике созданный файл автозапуска в архив, если архив не был создан автоматически.

8. переходим на форум, прикрепляем созданный архив к сообщению в вашей теме.

9. ожидаем анализа автозапуска хелперами, получение рекомендаций и скриптов лечения.
-----------

[FONT=Times][url=http://dsrt.dyndns.org/]следите за текущей версией uVS[/url], на момент создания лога(образа автозапуска) желательно чтобы на Вашем компьютере [COLOR=#0000FF](или на загрузочном диске WinPe&uVS)[/COLOR] вы имели текущую версию программы uVS. Поскольку uVS постоянно развивается и автор программы добавляет новые скриптовые команды, которые не будут выполняться на старых версиях uVS.[/FONT]
Изменено: santy - 26.12.2018 13:27:21
Какие инструменты используем при лечении заражений посетителей форума
ZloyDi, и всем, кто участвует в темах по лечению заражений посетителей форума....

вопрос: какими инструментами (антивирусными и диагностическими) удобнее всего лечить заражения в разных случаях?

комбинации: HJ, malwarebytes, uVS, gmer, combofix, sysinspector,.... (неназванные - добавить)
---
пожалуйста, не разводим флейм в темах по лечению, только рекомендации, скрипты лечения, линки проверок файлов на virustotal и других... т.е. помогаем тому что лечит, а не отвлекаем...
Изменено: santy - 01.08.2010 09:46:12
Порно-баннер создает вторую ветку winlogon
вторая ветка:
[quote]
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon ]
"shell"="Explorer.exe, C:\\Program Files\\Common Files\\Microsoft Shared\\mssoft.exe"
[/quote]
основная ветка:
[quote]
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
...
...
"LegalNoticeCaption"=""
"LegalNoticeText"=""
"PowerdownAfterShutdown"="0"
"ReportBootOk"="1"
"Shell"="Explorer.exe, C:\\Program Files\\Common Files\\Microsoft Shared\\mssoft.exe"
"ShutdownWithoutLogon"="0"
"System"=""
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
...
[/quote]
Изменено: santy - 05.07.2010 11:06:51