Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 36
Антивирус не панацея.
Не могу сказать точно, справился бы антивирус с этой проблемой на этапе ее появления, потому что никакой антивирус у меня не установлен
Если туда кто-то уже отправил этого «обычного устанавливальщика заданий», то справиТСя. Тут главное не быть в первых рядах поймавших (многие создатели вирусов не дураки и тестируют детект своих творений).
проверять по хэшу, или проверять ссылки из планировщикаДелает это какой-то дроппер, который надо отдетектить, в моём случае было нечто в архиве с pdf, ради которого и скачали. а уж как они отдетектят конкретный дроппер — это вопрос к создателям сигнатур. Возможно, по имени добавляемого задания. Найденный послал — добавили, пока вирусописатели не обновят у себя — будет детектиться. Ниже, возможно, имеют в виду что поведенческим анализатором не ловится или что их слишком много и мутируют часто.
где установщики такой ерундой занимаютсяВстречал скачанный Сафари. Эппл перестал просто раздавать эту версию под Вин и народ «скочать бесплатно» искал, находил, в процессе установки спрашивало номер мобильника. Установка закрывалось и Сафари не ставился, но всякие Амиго уже осели в системе. Ну или приведённый мной случай — pdf с документацией, скачанный людьми, далёкими от ИТ. В конторах с грамотным админом такое поймать сильно сложнее.
PS Карму сливать не обязательноНаверное. это не мне.
Как я создал сам себе проблему и героически ее решил.
Стандартные процедуры при удалении рекламной дури:
1. Убивать процессы.
2. Деинсталлировать с компа (проверив — убились ли папки).
3. Проверить ярлыки браузеров (в свойствах могут параметров напихать или подменить сами ярлыки).
4. Проверить автозапуск (лучше через реестр).
5. Проверить планировщик задач.
Неужели о таких элементарных вещах стоит писать на Хабре?
1. Убивать процессы.
2. Деинсталлировать с компа (проверив — убились ли папки).
3. Проверить ярлыки браузеров (в свойствах могут параметров напихать или подменить сами ярлыки).
4. Проверить автозапуск (лучше через реестр).
5. Проверить планировщик задач.
Неужели о таких элементарных вещах стоит писать на Хабре?
По первым 4 пунктам полностью согласен, но на счет пятого — это не очевидно
А в чём неочевидность? Планировщик — это тот же автозапуск, только позволяет запускать не только при входе в систему, но и при других условиях.
Да, но очень редкие вирусы добавляют задачи в планировщик
Рекламная дрянь — вся. Потому что это самый простой способ установиться в систему заново, даже если юзер удалит дистрибутив. И легальный, антивирусами не детектится.
В свое время в винде была такая известная уязвимость (на сколько я помню, уже давно закрытая), которая позволяла пользователю с минимальными правами добавить в планировщик задачу, выполняемую с админскими правами.
https://technet.microsoft.com/ru-ru/library/bb545021.aspx
Конкретно Autoruns, Process Explorer
Вот абсолютно с вами согласен. Однако, про пятый пункт я узнал именно из этой статьи. Так что статья была полезна как минимум для одного человека =) Спасибо автору.
Проверить папки system32&Co и профиль пользователя на наличие новых файлов и изменённых (в том же Far делается элементарно, а выставить дату изменения равную старой не видел чтобы догадывались, дополнительный поток сделать могут, а выставить дату модификации — нет). Помимо запуска ещё и ассоциации файлов неплохо проверить, но CureIt справляется, вроде.
PS. Про планировщик узнал когда соседи попросили порнобаннеры вычистить с компа — там помимо них непрерывно всякие тулбары ставились. Сначала вычистил — вроде, ок, а потом пришлось дочищать — ассоциации файлов, планировщик, заражённый svchost, который пытался подменять ответы DNS (после лечения DNS переставал работать — откатил из точки восстановления, когда баннеры уже были, но процесс был чист, а с этими разобраться проще).
PS. Про планировщик узнал когда соседи попросили порнобаннеры вычистить с компа — там помимо них непрерывно всякие тулбары ставились. Сначала вычистил — вроде, ок, а потом пришлось дочищать — ассоциации файлов, планировщик, заражённый svchost, который пытался подменять ответы DNS (после лечения DNS переставал работать — откатил из точки восстановления, когда баннеры уже были, но процесс был чист, а с этими разобраться проще).
Угу, а ещё hosts до кучи надо проверять.
Вообще, проверять системные папки на наличие дистрибутивов зловредов надо, но не является обязательным, если убиты все возможности для их автозапуска. Проще как раз по местам автозапуска пройтись и параллельно подчищать места, откуда идёт запуск. Быстрее и эффективнее, чем сначала искать место расположения файлов зловреда, а потом ловить ошибки, что какой-то процесс не может запуститься из-за отсутствия файла или путь не найден.
А подмена системных файлов вполне лечится через sfc /scannow.
Вообще, проверять системные папки на наличие дистрибутивов зловредов надо, но не является обязательным, если убиты все возможности для их автозапуска. Проще как раз по местам автозапуска пройтись и параллельно подчищать места, откуда идёт запуск. Быстрее и эффективнее, чем сначала искать место расположения файлов зловреда, а потом ловить ошибки, что какой-то процесс не может запуститься из-за отсутствия файла или путь не найден.
А подмена системных файлов вполне лечится через sfc /scannow.
Появилась такая проблема после установки Ccleaner, причем качал с офф. сайта, мучался около 30 минут ища проблему, в итоге нашел там же.
Еще есть смысл проверить ярлыки к браузерам — часто вместо имени файла браузера написан URL
Статьи для хабра, которые мы заслужили.
Так вот что это за гадость. Спасибо автор. А то я сам от этого страдал и в итоге снес хром
это почему же не место? а чему место? если люди выносят пользу из таких вот статей — пусть и не очень несущих какието глубокие мысли, навыки и тд и тп но всетаки статья кое кому да и полезна. не интересно, так не читай. а если начнут говорить хабр уже не тот, то вы заблуждаетесь и причем очень.
Предположу, что Хабр считается техническим ресурсом, а статьи в духе «пара советов для чайников как не убить свой комп» больше подходят для околокомпьютерных блогов.
В текущем виде статья и вправду смотрится неуместно. Можно было бы понять, будь это реальный туториал для новичков — гугл хорошо индексирует статьи с Хабра и помощь от такой статьи была бы очевидна. Но в текущем виде это обычная памятка для тех, кому не надо объяснять, что такое Планировщик задач и где его искать. Если сократить статью и выжать всю воду, получится так: «А ещё проверьте планировщик задач».
В текущем виде статья и вправду смотрится неуместно. Можно было бы понять, будь это реальный туториал для новичков — гугл хорошо индексирует статьи с Хабра и помощь от такой статьи была бы очевидна. Но в текущем виде это обычная памятка для тех, кому не надо объяснять, что такое Планировщик задач и где его искать. Если сократить статью и выжать всю воду, получится так: «А ещё проверьте планировщик задач».
Нажимаю «отмена» с мыслями, что вовремя успел заметить подвох.Для справки: подменить текст на кнопках или само окно — два байта переслать.
Если сомневаетесь в программе — прервать процесс через диспетчер задач.
А еще бывает в службы прописываются, сам находил.
Ни один антивирь это не детектил.
Ни один антивирь это не детектил.
Попробуите AdwCleaner.Спасал меня не раз.
Поддерживаю, AdwCleaner всегда под рукою. Много родственников :)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Отключение автоматического запуска рекламы в браузере