NIK196

понятно, где можно этому научиться?

safety

можно двумя способами научиться: самостоятельно или на форумах, где есть действующие школы обучения.

RP55.RP55

NIK196
Чтобы самостоятельно научиться работать с uVS ВАМ необходимо анализировать образ/ы автозапуска с форума и скрипты лечения
- внимательно изучать ВСЮ доступную информацию.
После чего сравнивать свой вывод - своё мнение, что является вирусом, что не является вирусом
с мнением Эксперта.
Запоминать свои ошибки и не повторять их.
Искать и находить причину - почему тот, или иной файл Эксперт признал за вирус или потенциальную угрозу.
После того, как забрезжит свет...
Пробовать писать скрипты лечения ( не публикуя - для себя !!! )
Внимательно прочитать вышеописанные 15 станиц форума - и всю информацию доступную по ссылкам.
При возникновении вопросов задавать их.
На начальном этапе не распылять внимания и сконцентрироваться на изучении одной программы.
P.S.Главное во врачебной практике: " Не навреди "

mike 1

На SafeZone на 1 курсе обучают работе в UVS. Хотя можете попробовать и самостоятельно попробовать изучить UVS, но будет это непросто.

NIK196

спасибо, буду обучаться, еще вопрос, а системный администратор это все должен знать или это только для избранных?

safety

если вы системный администратор, то вам и решать, что в первую очередь надо знать и уметь для поддержания работы вашей сети. Умение пользоваться утилитками uVS, avz пригодится в работе.

RP55.RP55

http://pchelpforum.ru/f26/t137301/

Как найти BitCoinMiner ?
-------------
Его не надо искать - он Вас сам найдёт
-------------
А если серьёзно:
1) Сейчас BitCoinMiner маскируется под легальные программы.
Например под:
CHROME.EXE
GOOGLEUPD.EXE
и т.д.
Основное отличие этих файлов/объектов от легальных программ в отсутствии цифровой подписи.
Как проверить ц.подпись ?
Выбрать файл > Хлопнуть правой лапой зверя ( мыши ) по файлу откроется: _СВОЙСТВА_
Посмотрите вкладку Цифровая подпись - есть она или нет...
-----
В программе uVS также можно произвести проверку.
Запускаем uVS > выбираем файл в списке > Хлопнуть правой лапой зверя > Зайти в ИНФОРМАЦИЯ > Проверить
ц. подпись файла. ( на некоторых системах проверка подписи не работает )
Можно проверит подпись разом у всех файлов:
Запускаем uVS > Жмём F6 > ждём ( желательно чтобы был доступ к сети )

---------
ИТАК:
1) У файла нет подписи.
2) Файл ( или один из файлов КАТАЛОГА ) в автозапуске. ( чего быть не должно )
Запускаем uVS > выбираем файл в списке > Хлопнуть правой лапой зверя > Зайти в ИНФОРМАЦИЯ.
И смотрим в автозапуске он или нет...
3) Проверяем файл на онлайн сканере - например на virusscan.jotti
Хлопнуть правой лапой зверя по файлу > В меню выбрать virusscan.jotti - и тип проверки...
Смотрим результат.
4) Обращаем внимание на сетевую активность файла.
5) Если уверены - что это зверь, удаляем.
т.е. Поиск осуществятся по ряду параметров и их сочетанию.

Arkalik

RP55.RP55, Еще один момент, по быстрому нахождению Майнера, это заглянуть в раздел "Сетевая активность" в uVS

RP55.RP55

Arkalik
Да.
------
Смотрим категорию сетевая активность.
Смотрим/проверяем объекты Автозапуска.
Работаем с базой проверенных файлов ( Позволяет на порядок сократить список проверки )
Базу скачиваем здесь:http://dsrt.dyndns.org/files/MAIN.zip ( прямая ссылка )
Скачивать _ТОЛЬКО_ через менеджер загрузок ( типа Download Master )
После чего создаём папку/каталог рядом с start.exe и называем её SHA
И в эту папку распаковываем базу...
Для проверке списка ( это работает, как фильтр на отсев проверенных ) ( чистый файл, если он есть в базе проходит проверку и пропадает из видимого списка )
Жмём F4.
После F4
Жмём F6.
А всё оставшееся проверяем сами...
Прежде всего обращаем внимание на всякие аномалии.
Размер/вес файла слишком большой или наоборот слишком мелкий...
Вдруг оказался в автозапуске...
------
Также в uVS есть фильтр по дате/времени - т.е. можно задействовать фильтр и посмотреть какие НОВЫЕ файлы
появились в системе... ( некоторые вирусы маскируются - они могут изменить информацию/данные время своего
создания изменения )
Обращаем внимание, если в одной папке/каталоге файлы нескольких типов: .EXE и .DLL
т.е. программа + дополнительный функционал.
Обращаем внимание на имя/наименование каталога.
На его путь/директорию.
Известный/ные или нет.
-----
При работе с онлайн сканерами обращаем внимание на время первой и крайней проверки.
( например файл впервые проверили 3 дня назад... )
Или же файл первый раз проверили 3 года назад.
Смотрим на вердикт...
Следует доверять результатам проверки ТОЛЬКО известным антивирусам.
Таким как:
Dr.Web
ESET
Kaspersky

mike 1

При майнере почти всегда можно найти такие задания:

mike 1

Для расшифровки файлов воспользуйтесь этой http://support.kaspersky.ru/viruses/disinfection/8547 утилитой. Вчера только добавили расшифровку. Важно! Для расшифровки необходимо указать утилите путь к паре файлов (незашифрованный и соответствующий зашифрованный).

Подробный разбор шифратора тут.

mike 1

А можно поинтересоваться почему здесь в каждой теме используют эту команду?

Разве без использования этой команды нельзя решить проблему пользователя?

Arkalik

mike 1, Встречный вопрос: А почему вы не используйте в каждой теме команду "delnfr", чем он вам не угодил? Почистить все ключи в реестре, которые оставили после себя вирусы/программы/утилиты , это может как-то вредить Операционной системе, кроме ускорение работы системы?

mike 1

А я вопрос задал первым. Давайте вы сначала ответите на мой вопрос, а я потом отвечу на ваш вопрос.

Arkalik

mike 1, Я же ответил: