16) Файл может иметь " не нужный " статус: Скрытый\Системный.
Это способ ухода от _визуального обнаружения.
Человек ищет но не видит. А вот программы типа uVS видят...

17) Нормальный файл должен взаимодействовать с пользователем - отображать меню, показывать иконки\значки, текстовые комментарии.
Вирусу как правило это не нужно т.е. файл не будет содержать лишней нагрузки\информации.
Смотрим Инфо. в uVS
Или работаем с доп программой типа: Resource Hacker
Чем больше вирус содержит информации тем проще антивирусу его опознать - зацепиться за некий повторяющийся от вируса к вирусу ресурс.
Да и вес вируса важен. ( быстрее можно загрузить\запустить )

18) Вирус старается работать\запускаться с максимальными правами - чтобы иметь возможность вносить изменения в работу системы.
Может сам себя защищать от удаления\изменения\выгрузки из оперативной памяти\защищает ключи реестра. ( что не типично для обычной программы )
Файл вируса как правило упакован - чтобы затруднить его анализ. ( есть бесплатные программы с открытым исходным кодом которые легко читаются )

19) Должен производиться _комплексный анализ.
т.е. каждое отдельно взятое значение возможно не несёт угрозы...
Но определённое их сочетание...
по сути А+В+С = угроза.

20) Скопирую часть своей статьи с pchelpforum.ru

Поговорим о проверке файла.
------

Как проверить файл...
На первый взгляд это просто.
Как правило файл проверяется на сервисе: https://www.virustotal.com/
Вот вы нашли файл и проверили...
Файл судя по результату проверки чист...
Но так, ли это на самом деле ?
-------
После проверки файла откройте вкладку: Дополнительные сведения.
Найдите:
First submission 2015-09-18 06:48:14 UTC (2 недель, 4 дней назад) ( впервые файл загружен\проверен дата... )
Last submission 2015-10-03 08:28:23 UTC (3 дней, 9 часов назад)

По этой записи\дате вы можете видеть проверяли, ли файл раньше, или нет.
О файле говорит его история...
Если файл проверяли месяц, или год назад и проверили сейчас - и по результату проверки чисто...
то и сам файл с вероятностью близкой к 100% чист.
Файлы проверяют в антивирусных компаниях, а на это нужно время...
--------
Также важное значение имеют поля:
Publisher ( Издатель\производитель продукта )
Например это Nero AG
и
поле Signature verification ( Проверка электронно цифровой подписи ) ( ЭЦП ) )
на вкладке: Сведения о файле.
Такому _подписанному _известным поставщиком файла\у - также можно доверять.
--------
Но когда файл подписан неизвестным вам издателем стоит задуматься и найти доп. информацию.
Что модно сделать ?
Для примера возьмём файл программы Nero: NeroStartSmart.exe

Проверка на V.T: https://www.virustotal.com/gui/file/417b7c070eb8feeca5026deba6fd09de774ca87bb21ed37­dfb1432809ec1c208/detection
Но нам этого показалась мало и мы решили получить дополнительные сведения.
На вкладке: Дополнительные сведения
копируем данные по SHA1 файла ( к примеру) это: 7b5ea21e40c30879a129045978e3b0a5f089eaee

------------------------------
Часто бывает так, что часть файлов производителя чисты, а часть представляют ( могут представлять ) опасность.
Вот и получается, что паренёк то хороший...
но вот его семейство плохое...
Поэтому стоит задуматься о целесообразности присутствия паренька на вашем PC.

11) Главные принципы вирусоборца ( 25 правил волшебника :)
Не можешь помочь НЕ навреди.
Не уверен не влезай\не трогай
Информации не бывает мало: Ищи её в сети, спрашивай себя, спрашивай пациента, спроси другого хелпера.
Убедись, что вся информация по файлу\объекту тобой изучена.
Не следует торопиться: "Поспешишь..."
Экспериментировать только тогда, когда не работает стандартная схема обнаружения\лечения.
Экспериментировать только на своём PC и только тогда, когда уверен, что сможешь исправить последствия.
а) Иметь несколько копий системного реестра. б) Желательно работать на виртуальной машине в) Иметь ( на отдельном) носителе резервную копию\образ системы г) Иметь установочный диск системы ( лучше два - три диска --- одна царапина и диску хана ) д) Иметь Live CD диски с полезными системными инструментами.
-------------------

Если какой пункт слишком сложен для изучения\понимания пропускаем и усваиваем то, что доступно )

-------------------

12) Раньше Баннеры для своего запуска часто использовали ветку реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­Run

В активной системе она выглядит так:
HKEY_USERS\S-1-5-21-117609710-484763869-842925246-1003\Software\Microsoft\Windows\CurrentVersion\Run   virus.exe
Где S-1-5-21 идентификатор безопасности группы администратора.

Можно безбоязненно очищать:
Временные ключи автозапуска (например, RunOnce и RunOnceEx).
По идее такой ключ должен использоваться как одноразовый. ( например для обновления программы ) ( до перезагрузки PC  и потом удаляться )
Сам по себе такой временный ключ подозрительная штука...

13) пара старых тем:
http://pchelpforum.ru/f26/t94635/
http://pchelpforum.ru/f26/t141222/


14) При обнаружении вируса обращаем внимание на число файлов в папке.
У нормальной программы файлов много,а у вируса как правило 1-3

15) По поиску вирусов: http://datadump.ru/virus-detection/

Добрый день.

Постараемся помочь :)
1) Для работы майнера  ему требуется активное сетевое подключение.
Иначе создатель\дистрибьютор зловреда не сможет на нём заработать.
Отключить сеть - нагрузка на Процессор/видеокарту падает - верный признак майна.
Значит смотрим какой файл работает с сетью.
в uVS есть: Категории ( по умолчанию программа отображает категорию: Подозрительные и вирусы )
Нужно переключиться на категорию: Сетевая Активность.

2) Есть календарь = отсев по дате создания файла.
Появилась проблема - значит это новая проблема и отсев по дате самое то.
* Следует учесть, что некоторые вирусы маскируются и подменяю время своего создания на более раннюю дату. ( на любую )
Юмор в том, что датой создания может быть указан 1998 год и т.д.
Такой явный косяк позволяет найти угрозу... Однако злокодеры не так часто радуют своими багами ( ошибками )

3) Применяем чек бокс ( фильтр ) не только по дате но можно применить: Скрыть известные [V]

4) Смотрим в Инфо. ( Информацию по файлу ) и уровень нагрузки на ЦП ( CPU ) и Графического Ускорителя\Видеокарты ( GPU )
Информацию можно посмотреть как по одному файлу, так и по всем активным файлам.
Подключаем сеть ( чтобы спровоцировать вирус на активность )
В меню: Запустить >  Просмотр активности процессов ( Alt+D )
Запустите и понаблюдайте.

5) Смотрим имя файла. Часто это имя задаётся рандомно ( произвольно )
В древности это помогало уйти от обнаружения антивирусами ( как один из элементов, чтобы затруднить обнаружение )
Пример:
$I48QTLY.EXE
HNSH4936.TMP
JVAPZCHZVRFVHF1SVKP.EXE
EQTV3AROPWXS17X8VQ.EXE

Как правило производителю программ\софта и в голову не придёт так называть исполняемый файл своей программы ( хотя и такое бывает если автору\разработчику лень самому придумывать наименования ) так, что внимание ! внимание ! ахтунг !

Сейчас чаще дают имена похожие на имена системных файлов. ( или на имена папок каталогов )
Оригинал: svchost.exe; lsass.exe ; csrss.exe
Вирус: svchоst.exe; lsаss.exe ; сsrss.exe
На первый взгляд одно и тоже ?
На самом деле ( как известно ) есть Кириллические символы и есть Латиница.
И есть _визуально общие символы: a; c; o; p; e;...
Или с именем всё нормально но файл запускается не из системного каталога.
C:\PROGRAMDATA\RWDSLANPROJ\lsass.exe
Соответственно рандомное наименование может быть не только у файла но и у папки.
6) Файл должен как-то запускаться.
Вариантов много.
Через модифицированный ярлык от любой программы. ( например Браузера )
В параметрах ярлыка просто прописывается соответствующая команда.
Через назначенные задания - категория: Задачи.
Путём закидывания ярлыков или самих исполняемых файлов в папки автозапуска.
\PROGRAMS\STARTUP\
\START MENU\PROGRAMS\STARTUP\ и т.д.
Через десятки ключей реестра
и прочее.

7) Подозрительный путь до файла:
например одна из папок \TEMP\
или C:\$RECYCLE.BIN\S-1-5-21-739754699-733959739-896284075-1000\$I590790.EXE
т.е. левый путь.
\$RECYCLE.BIN\
\APPDATA\LOCAL\
\APPDATA\ROAMING\
\APPDOWNLOADS\
\APPLICATION DATA\

8) Левое ( неизвестное ) расширение файла.
Двойное расширение файла типа:
.pdf.exe
.EXE.LNK
.LNK.EXE
.COM.EXE
.TMP.EXE
.exe.exe
.TXT.EXE
.ZIP.EXE
.RAR.EXE
.msi.exe
.sys.exe
.pdf.exe

9) Отсутствие у файла ЭЦП ( Электронно Цифровой подписи )
Либо левая подпись.
типа:
подписано """Ask-Integrator"", Ltd."
подписано "Search Results, LLC"
* Цифровая подпись ( ЭЦП ) в uVS проверяется по: F6  ( при доступе к сети проверка занимает больше времени - но более эффективна )
НЕ нужно доверять всем ЭЦП - есть тысячи левых\рекламных\вирусных.
Типа:
Действительна, подписано Ask.com
Действительна, подписано Babylon Ltd.
и т.д.
Нужно создать свой белый список ( безопасные ЭЦП )
Для этого в файл настроек\конфигурации: settings.ini  ( в папке с uVS ) Прописать

; Включить поддержку белого списка ЭЦП. (по умолчанию 0)
; Список хранится в файле wdsl, который представляет собой обычный текстовый файл в unicode ; ;  ; ; кодировке.
; Одна строка - одно имя, регистр важен.
bUseWDSList = 1
Дальше зайти в свойства файла найти строку  и добавить в белый список ( список сохраняется в файл: wdsl  )

10) Левая программа - Вы её не устанавливали - но в списке установленных она есть... ( просочилась)
Программу проверяем - ищем отзывы в сети, файлы проверяем на V.T https://www.virustotal.com/gui/home/upload


И если на диске не должно быть таких файлов то... ( хлопните правой лапой мыши по записи и откроется меню с командами... )
После чего нажмите: Принять изменения ( Клавиша в меню окна )

[QUOTE]Александр Sherr написал:
Спасибо большое. То есть можно здесь на форуме создать тему: "как пользоваться uVS" и буду получать инструкции и тд? так как я совсем не разбираюсь в этой программе[/QUOTE]
Так смысл и состоит в изучении программы и как с её помощью удалять угрозы.
Вариантов два - или всю жизнь пользоваться сканерами\антивирусами и ждать когда вирус попадёт в базу... или научиться их находить и удалять самому.
Сложно.
Но главное это желание.
Так, что вам решать. :)

[QUOTE]Александр Sherr написал:
Если через uVS не указан производтель, то можно смело удалять ссылки вместе с файлом (или похожое) и это никак не навредит самой системе? [/QUOTE]

1) В системе Windows разработчики постарались и там сразу после чистой установки нет некоторых файлов.
2) Цифровая подпись ( ЭЦП ) в uVS проверяется по: F6  ( при доступе к сети проверка занимает больше времени - но более эффективна )
НЕ нужно доверять всем ЭЦП - есть тысячи левых\рекламных\вирусных.
Типа:
Действительна, подписано Ask.com
Действительна, подписано Babylon Ltd.
и т.д.
Нужно создать свой белый список ( безопасные ЭЦП )
Для этого в файл настроек\конфигурации: settings.ini  ( в папке с uVS ) Прописать

; Включить поддержку белого списка ЭЦП. (по умолчанию 0)
; Список хранится в файле wdsl, который представляет собой обычный текстовый файл в unicode ; ;  ; ; кодировке.
; Одна строка - одно имя, регистр важен.
bUseWDSList = 1
Дальше зайти в свойсва файла найти строку с и добавить в белый список ( список сохраняется в файл: wdsl  )
3) Есть чек бок: Известные [V]
Есть чек бок: Проверенные ( здесь нужна база проверенных файлов с сайта производителя )

4) http://pchelpforum.ru/f26/t94635/
Если есть желание научиться работать с uVS  можете открыть здесь тему.
так как pchelpforum.ru  откинул ласты.

Александр
Если что - смотрите нагрузку в uVS
И если на диске не должно быть таких файлов то... ( хлопните правой лапой мыши по записи и откроется меню с командами... )
После чего нажмите: Принять изменения ( Клавиша в меню окна ) ( только не бейте системные  ;) )
О явно подозрительных сайтах пишите сюда: https://phishing.eset.com/report/rus
Перед установкой проверяйте файлы на V.T.: https://www.virustotal.com/   дайте отстояться программе пару недель - потом проверить повторно и можно устанавливать.
+
Можно почитать: http://pchelpforum.ru/f26/t141222/
:)

[QUOTE]Александр Sherr написал:
авира никогда ранее не была установлена[/QUOTE]
Вирус создал в системе кучу записей относящихся к антивирусом.
Это, как с тем сусликом :)

+
Если сами не меняли настройки Firewall выполните скрипт:

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

[code]

FirewallRules: [{42927522-5648-4D1D-8206-0A3BC2A1D09A}] => (Block) LPort=445
FirewallRules: [{48E056DA-55B1-4BA9-9883-5442B11F9663}] => (Block) LPort=445
FirewallRules: [{B9A49B0D-0A72-4391-8B88-F79BB2FB84E2}] => (Block) LPort=139
FirewallRules: [{C9A333BC-E93F-455D-9E59-99093CA0F8CE}] => (Block) LPort=139
FirewallRules: [{E2D89D4C-A6DE-4C93-92C1-3AD42B2B6D98}] => (Allow) LPort=3389
FirewallRules: [{6E0F1E94-5C70-4D35-B1C7-475517990BD9}] => (Allow) LPort=3389
FirewallRules: [{C8698C86-B3DA-424D-B75C-EBCD178DC774}] => (Allow) LPort=9494
FirewallRules: [{D5E6FA70-EA55-4C07-96D7-3C29623DFCE7}] => (Allow) LPort=9494
FirewallRules: [{7E3E1CC9-AD86-4D12-BB8B-782ADE798A30}] => (Allow) LPort=9393
FirewallRules: [{86CE6150-80E9-4A97-B6C3-7CB5AEEE847E}] => (Allow) LPort=9393
FirewallRules: [{7E25D707-45EC-445B-AA26-AE2D5A4F25A9}] => (Allow) LPort=9393
FirewallRules: [{7FDA28D9-321B-4D02-A0C3-E3A56257ED66}] => (Allow) LPort=9494
FirewallRules: [{42A9355E-7513-4A88-AABD-8734031A210D}] => (Allow) LPort=9393
FirewallRules: [{4E8D179C-9CDD-4949-8FDF-8204E6D1BBC5}] => (Allow) LPort=9494

EmptyTemp:
Reboot:

[/code]

+
После выполнения скрипта
Примените:

Avast Clear (Uninstall Utility)
https://www.comss.ru/page.php?id=383

Avira: https://www.comss.ru/page.php?id=4372
* Антивирусы всегда нужно удалять спец.утилитами иначе в системе будут хвосты...

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

[code]

AV: Avast Antivirus (Enabled - Up to date) {8EA8924E-BC81-DC44-8BB0-8BAE75D86EBF}
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => -> No File
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} => -> No File
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => -> No File
ContextMenuHandlers2: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => C:\Program Files (x86)\UltraISO\isoshl64.dll -> No File
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} => -> No File
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => -> No File
ContextMenuHandlers4: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => C:\Program Files (x86)\UltraISO\isoshl64.dll -> No File
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => -> No File
ContextMenuHandlers6: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => C:\Program Files (x86)\UltraISO\isoshl64.dll -> No File
FirewallRules: [{86ED41ED-5012-4588-8676-21EEFD61A129}] => (Allow) C:\Users\Olexa\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{F2B58579-5486-468D-AEB4-5A143C7B2DC9}] => (Allow) C:\Users\Olexa\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{3D779A6A-C4DD-4943-9EE9-A0935FFAB5EA}] => (Allow) C:\ProgramData\Windows\rutserv.exe No File
FirewallRules: [{0D4E373E-59E4-4A45-A1E3-A3B8114C5798}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe No File
FirewallRules: [{BCF0AA35-E13A-4E4B-9671-5D59F556AD94}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe No File
FirewallRules: [{782689E1-327A-479E-B71C-9EF0145157B7}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe No File
FirewallRules: [{E8DA28BA-F548-49F7-91D3-F56712CDF65F}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe No File
FirewallRules: [{89B54CC6-8870-40B5-AFF4-2C377DA75CB7}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe No File
FirewallRules: [{F1378A2A-D824-4AFC-9B7D-813A83B2C069}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe No File
FirewallRules: [{0C69ECC8-DBC7-4DEE-99CB-C2E582947825}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe No File
FirewallRules: [{527CE709-33E0-4F64-BF6F-7F5EDA0B6317}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe No File
FirewallRules: [{72C1818A-06D4-4465-85EE-A453B27DDAA3}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe No File
FirewallRules: [{DB93BEBF-D3A6-4D00-84B9-D02A25FD9F53}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe No File
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-1434449616-2140608379-2912902096-1001\...\MountPoints2: {110ad598-54d4-11ea-a36f-d43b04933b67} - "F:\Autorun.exe"
HKU\S-1-5-21-1434449616-2140608379-2912902096-1001\...\MountPoints2: {f9053a74-5585-11ea-a371-d43b04933b67} - "F:\Autorun.exe"
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
HKU\S-1-5-21-1434449616-2140608379-2912902096-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://securesearch.org/homepage?hp=2&pId=BT171101&iDate=2020-02-01 07:19:43&bName=
CHR Extension: (Avast SafePrice | Порівняння цін, вигідні пропозиції, купони) - C:\Users\Olexa\AppData\Local\Google\Chrome\User Data\Default\Extensions\eofcbnmajmjmplflapaojjnihcjkigck [2020-02-02]
S2 AvastWscReporter; "D:\AVAST\wsc_proxy.exe" /runassvc /rpcserver [X]
2020-03-08 21:59 - 2020-03-08 22:06 - 000000000 ____D C:\Users\Olexa\Doctor Web
2020-03-08 16:34 - 2020-03-09 11:37 - 000000000 __SHD C:\AdwCleaner
2020-03-08 16:34 - 2020-03-08 22:08 - 000000000 __SHD C:\Program Files\RDP Wrapper
2020-03-08 16:34 - 2020-03-08 21:21 - 000000000 __SHD C:\Users\Все пользователи\WindowsTask
2020-03-08 16:34 - 2020-03-08 21:21 - 000000000 __SHD C:\Users\Все пользователи\RealtekHD
2020-03-08 16:34 - 2020-03-08 21:21 - 000000000 __SHD C:\Users\Все пользователи\install
2020-03-08 16:34 - 2020-03-08 21:21 - 000000000 __SHD C:\rdp
2020-03-08 16:34 - 2020-03-08 21:21 - 000000000 __SHD C:\ProgramData\WindowsTask
2020-03-08 16:34 - 2020-03-08 21:21 - 000000000 __SHD C:\ProgramData\RealtekHD
2020-03-08 16:34 - 2020-03-08 21:21 - 000000000 __SHD C:\ProgramData\install
2020-03-08 16:34 - 2020-03-08 20:31 - 000000000 __SHD C:\Program Files\Malwarebytes
2020-03-08 16:34 - 2020-03-08 16:35 - 000000000 __SHD C:\Users\Все пользователи\Setup
2020-03-08 16:34 - 2020-03-08 16:35 - 000000000 __SHD C:\ProgramData\Setup
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Users\Все пользователи\RunDLL
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\ProgramData\RunDLL
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\ByteFence
2020-03-08 22:41 - 2020-02-01 20:57 - 000000000 ____D C:\Users\Все пользователи\AVAST Software
2020-03-08 22:41 - 2020-02-01 20:57 - 000000000 ____D C:\ProgramData\AVAST Software
EmptyTemp:
Reboot:


[/code]
Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Проверяем, как работает система...