Tridentifer BANNED Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Только за март-апрель уже несколько раз столкнулся с одной и той же разновидностью 'зловреда'. В последний раз - на ноутбуке, на который устанавливаются только casual-игры типа Alawar с rutracker и ничего другого. 'Зловред' выглядит так: в первый раз инсталлируется в систему при установке игры, если же удалить - при запуске уже установленной игры. На rutracker от этого 'открестились', пользователям было предложено... пожаловаться модераторам   Подробнее (Win10 1809):   Задание в Автозапуске:   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Windows Defender (REG_SZ) = C:\Program Files\Windows Defender\MSASCuiL.exe Понятно, что файл отношения к Windows Defender не имеет.   Сам Windows Defender при этом отключается политикой: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender - DisableAntiSpyware (REG_DWORD) = 1 Вдобавок отключается UAC через реестр: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System - EnableLUA (REG_DWORD) = 0 (Локальная политики безопасности: 'Контроль учётных записей: все администраторы работают в режиме одобрения администратором').   Создаётся задание в Планировщике заданий: Microsoft\Windows\Maintenance\WinNAT Оттуда - запуск скрипта 1.vbs, находящегося в C:\ProgramData\Windows\Update Скрипт по триггеру каждые 10 минут проверяет запуск файлов host.exe и profile.exe, находящихся там же (в этой папке куча файлов). Так же скриптом запускается файл task.exe, который находится в C:\Program Files\windows nt\accessories   Создаётся служба HKLM\SYSTEM\CurrentControlSet\Services\WinNat Она же запускает драйвер: C:\Windows\system32\drivers\winnat.sys Драйвер похож на системный, но системным не является (заменён).   Измененяются IPv4 настройки сетевого адаптера - прописываются 'левые' DNS через задание в Планировщике заданий: Microsoft\Windows\WlanSvc   В Брандмауэре Защитника Windows создаются пара правил для исходящих 'зловреда'.   Ошибками в Просмотре событий не сыпет, процессор и видеокарту не грузит; обычный пользователь если и заметит что-то, то случайно. Или как вариант - Windows Defender при запуске игры удалит два файла (host.exe и profile.exe) - но в следующий раз он будет уже отключен и помешать не сможет.   Видел похожие темы:   http://forum.oszone.net/post-2855829.html http://www.cyberforum.ru/viruses/thread2399071.html   Но там нет того, что интересует. А интересует пара вопросов - естественно, если Вы от подобного уже кого-то избавляли, и если Вам нетрудно, подскажите: 1. Я вроде бы всё нашёл, но может, что-то упустил? 2. Если возможно, дайте совет - как обычным пользователям от этого защититься, чтобы потом не вычищать следы 'зловреда' 'вручную'? Так-то я вполне понимаю и про повышение прав при запросе, и про практически отсутствующую самозащиту у Windows Defender - и про весь остальной длинный список тоже, любой из пунктов которого подчас может свести к нулю всю защиту у обычных пользователей... Всего записей: 2226 | Зарегистр. 23-10-2009 | Отправлено: 05:00 19-04-2019 | Исправлено: Tridentifer, 05:02 19-04-2019

На первую страницу • к этому сообщению • к последнему сообщению

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в ОС Windows. Проблемы. Решения. (II)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование