Доктор веб обнаружил угрозы что делать
На протяжении пары месяцев Dr Web постоянно блокирует появляющиеся угрозы вот такого плана:
Сайты указаны всегда разные. Иногда за день не вылезает ни одной угрозы, а иногда - больше двух тысяч, одна за другой, без остановки. В последнее время все больше и больше. Сканер ничего не находит, ни при полной проверке, ни при быстрой.
Иногда, при не запущенном браузере вылезает окошко: Dr Web не рекомендует посещать этот сайт.
Когда создавала лог при помощи HijackThis вылезло вот это:
For some reason your system denied write access to the Hosts file. If any hijcked domains are in this file, HijackThis may NOT be able to fix this.
If that happens, you need to edit the file yourself. To do this, click Start, Run and type:
notepad C:\Windows\System32\drivers\ets\hosts
and press Enter. Find the line(s) HiyackThis reports and delet them.
Save the file as "hosts". (with quotes), and reboot.
For Vista: simply, exit HijackThis, right click on the HijackThis icon, choose "Run as administrator".
Спасибо за помощь!
Прикрепленные файлы:
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Всё тайное становится явным: какие сюрпризы скрывает компьютер?
28 марта 2022
Что мы делаем, когда компьютер начинает тормозить? Как правило, подозреваем наличие вирусной активности и раз за разом открываем диспетчер задач — «вдруг там что-нибудь подозрительное?» К большому сожалению, в большинстве случаев ничего не находим, запускаем сканер и ждём вердикт антивируса. В сегодняшнем выпуске «Антивирусной правды» расскажем о том, как искать вредоносные объекты в скрытых папках и возможно ли их распознать в диспетчере задач.
Что можно найти в диспетчере задач?
Для начала стоит разобраться с терминологией. Диспетчер задач Windows — это некий менеджер, отображающий запущенные процессы и их влияние на компьютер. Запустить его можно комбинацией клавиш CTRL+SHIFT+ESC. Открывшееся окно и будет называться диспетчером задач.
Неопытного пользователя может испугать большое количество запущенных процессов, но не стоит делать преждевременных выводов — абсолютное большинство из них легитимны и не подразумевают принудительного выключения. Иначе говоря, не стоит, увидев что-то незнакомое, лихорадочно «завершать процесс».
При этом в диспетчере задач и правда могут скрываться какие-либо нелигитимные процессы. Но они могут быть замаскированы так тщательно, что отличить их от реальных системных практически невозможно. Например, неподготовленного пользователя может смутить процесс COM Surrogate: «Что это такое? Я не запускал эту программу!» А тем временем это системный компонент, предназначенный для корректной работы некоторых программ. Но и под его названием могут быть скрыты какие-либо вирусы. Сотрудники Microsoft на официальном форуме рекомендуют проверять расположение файла, говоря, что только так можно определить легитимность процесса. Если файл находится в системных папках Windows, то всё в порядке.
Однако мы в «Доктор Веб» не совсем согласны с этим суждением. Некоторые угрозы могут скрываться в системных папках, создавая при этом множество каталогов «для запутывания». В случае подозрения на вирусную активность мы рекомендуем напрямую обратиться в нашу службу технической поддержки. Лучше всего делать это в письменном виде, чтобы наши специалисты могли запросить нужные логи, скриншоты и прочую информацию, с помощью которой можно будет расследовать инцидент.
Если у вас по каким-то причинам всё еще не установлен Dr.Web, воспользуйтесь утилитой Dr.Web CureIt! С её помощью можно однократно вылечить инфицированную систему. Но при этом она не является средством постоянной защиты устройства.
Угрозы бывают разные, и далеко не все вообще возможно обнаружить в диспетчере задач. Даже если их процессы подозрительно называются, пользователь может попросту не увидеть этого. Например, существуют майнеры, которые будут завершать свою работу при открытии диспетчера задач. Всё это усложняет самостоятельный поиск очага инфицирования.
Всё тайное становится явным
Возможно, вы слышали о существовании скрытых папок. В операционной системе Windows предусмотрена функция сокрытия редко используемых папок. Впрочем, скрыть можно абсолютно любой файл, но по умолчанию скрыты многие системные файлы и компоненты. Это делается во избежание казусных ситуаций — неопытный пользователь может не только завершить процесс в диспетчере задач, но ещё и попытаться удалить пару-тройку системных файлов из System32.
Разумеется, существует возможность отобразить скрытые папки. Для этого нужно в поисковой панели задач найти «Управление рабочими папками», после чего перейти в «Дополнительные параметры», где активировать пункт «Показывать скрытые файлы, папки и диски». Так вы сможете просматривать многие папки на своём компьютере. При этом стоит отметить, что некоторые трояны используют не только скрытые папки, но и специальные системные атрибуты, показ которых можно разблокировать также в «Управлении рабочими папками».
А где же хранятся вирусы? Конечно, вручную в скрытых папках вряд ли что-то удастся найти. Мало какой вирусописатель создаст угрозу, которую поместит в скрытую папку с названием «ВИРУС» на вашем рабочем столе. Самостоятельно найти угрозу в скрытой папке — задача не из лёгких. Здесь так же, как и в случае с диспетчером задач, стоит довериться специалистам службы технической поддержки «Доктор Веб».
К тому же киберугрозы бывают совершенно разными, и пути хранения вредоносных файлов на компьютере могут существенно различаться. Это значит, что не существует какой-то отдельной мифической папки, которая находится на условном диске D и хранит сотни тысяч угроз.
Действия при обнаружении угроз
По окончании проверки Сканер Dr.Web лишь информирует об обнаруженных угрозах и предлагает применить к ним наиболее оптимальные действия по обезвреживанию. Вы можете обезвредить все обнаруженные угрозы одновременно. Для этого после завершения проверки нажмите кнопку Обезвредить, и Сканер Dr.Web применит оптимальные действия по умолчанию для всех обнаруженных угроз.
По нажатию кнопки Обезвредить действия применяются к выбранным объектам в таблице. По умолчанию после окончания проверки для обезвреживания выбраны все объекты. При необходимости вы можете вручную выбрать конкретные объекты или группы объектов, для которых требуется применить действия по нажатию кнопки Обезвредить. Для этого используйте флажки рядом с названиями объектов или выпадающее меню в заголовке таблицы.
Чтобы ознакомиться с какой-либо опцией, доступной в этом окне,
щелкните по соответствующему фрагменту окна на рисунке.
1. В поле Действие в выпадающем списке выберите необходимое действие для каждого объекта (по умолчанию Сканер Dr.Web предлагает оптимальное значение).
Существуют следующие ограничения:
• лечение подозрительных объектов невозможно;
• перемещение или удаление объектов, не являющихся файлами (например, загрузочных секторов), невозможно;
• любые действия для отдельных файлов внутри архивов, инсталляционных пакетов или в составе писем невозможны – действие в таких случаях применяется только ко всему объекту целиком.
Подробный отчет о работе программы сохраняется в файл журнала dwscanner.log, который находится в папке %USERPROFILE%\Doctor Web.
В этом столбце указано наименование зараженного или подозрительного объекта (имя файла – если заражен файл, Boot sector в случае зараженного загрузочного сектора, Master Boot Record в случае зараженного MBR жесткого диска).
В этом столбце указано наименование вируса или модификации вируса по внутренней классификации «Доктор Веб» (модификацией известного вируса называется код, полученный таким изменением известного вируса, что при этом он опознается сканером, но алгоритмы лечения исходного вируса к нему неприменимы). Для подозрительных объектов указывается, что объект «возможно, инфицирован» и указывается тип возможного вируса по классификации эвристического анализатора.
Нажмите на стрелочку на этой кнопке, чтобы задать действие для выбранной угрозы (по умолчанию Сканер Dr.Web предлагает оптимальное значение).
Вы можете применить указанное на кнопке действие отдельно, без нейтрализации остальных угроз. Для этого нажмите на эту кнопку.
В этом столбце указан полный путь к соответствующему файлу.
Если в основных настройках Сканера Dr.Web вы установили флажок Автоматически применять действия к угрозам, то обезвреживание угроз будет произведено автоматически.
Как открыть результаты проверки
• Если Сканер Dr.Web обнаружит угрозы, на экране сканирования появится значок .
Чтобы открыть результаты проверки, нажмите на этот значок.
• Если SpIDer Guard обнаружит подозрительное изменение в системной области или угрозу, на экране появятся:
• Значок (на Android 4.4 — ) в строке состояния Android в левом верхнем углу экрана.
• Всплывающее уведомление в нижней части экрана (см. Рисунок 13 ).
• Значок на панели уведомлений .
На Android 5.0 и выше уведомление об угрозе также появится на экране блокировки устройства, откуда вы можете перейти к результатам проверки.
Рисунок 16. Результаты проверки
На экране Результаты проверки вы можете ознакомиться со списком угроз и подозрительных изменений в системной области. Для каждого объекта указаны его тип и название, а также значок опции, которую рекомендуется выбрать для этого объекта.
Объекты отмечены разными цветами в зависимости от степени опасности. Типы объектов в порядке уменьшения опасности:
1. Вредоносная программа.
2. Потенциально опасная программа.
3. Программа взлома.
4. Рекламная программа.
• Новые файлы в системной области.
• Изменение системных файлов.
• Удаление системных файлов.
Чтобы посмотреть путь к файлу, выберите соответствующий объект. Для угроз, обнаруженных в приложениях, также указано имя пакета приложения.
Обезвреживание всех угроз
Чтобы удалить сразу все угрозы
• В правом верхнем углу экрана Результаты проверки выберите Меню > Удалить все .
Чтобы переместить в карантин сразу все угрозы
• В правом верхнем углу экрана Результаты проверки выберите Меню > Все в карантин .
Обезвреживание угроз по одной
Для каждого объекта доступен свой набор опций. Чтобы раскрыть список опций, выберите объект. Рекомендуемые опции расположены первыми в списке. Выберите одну из опций:
Вылечить , чтобы вылечить инфицированное приложение.
Опция доступна для некоторых угроз в системных приложениях , если на устройстве разрешен root-доступ.
Удалить , чтобы полностью удалить угрозу из памяти устройства.
В некоторых случаях Dr.Web не может удалить приложения, которые используют специальные возможности Android. Если Dr.Web не удалит приложение после выбора опции Удалить , перейдите в безопасный режим и удалите приложение вручную. Если Dr.Web предоставлен доступ к специальным возможностям, удаление приложения произойдет автоматически после выбора опции Удалить .
Опция недоступна для угроз в системных приложениях в следующих случаях:
• Если на устройстве не разрешен root-доступ.
• Если удаление приложения может привести к потере работоспособности устройства.
• Если обнаружена модификация угрозы. Чтобы определить, действительно ли приложение представляет угрозу, сообщите о ложном срабатывании.
В карантин , чтобы переместить угрозу в изолированную папку (см. раздел Карантин ).
Если угроза обнаружена в установленном приложении, перемещение в карантин для нее невозможно. В этом случае опция В карантин недоступна.
Игнорировать , чтобы временно оставить изменение в системной области или угрозу нетронутыми.
Если файл отправлен в лабораторию успешно, к объекту автоматически применяется действие Игнорировать .
Опция Ложное срабатывание доступна только для модификаций угроз и для угроз в системной области.
Подробнее в Интернете , чтобы открыть страницу с описанием обнаруженного объекта на сайте «Доктор Веб».
Сколько раз, скачивая какую-то специфическую утилиту с непроверенного сайта, вы видели приписку вида «перед запуском отключите антивирус»? Сколько раз возникала необходимость «погасить конфликт» между антивирусом и однозначно «чистым» приложением? А может, вы писали код, и антивирус «мешал» компиляции вашего приложения? Настроить антивирус на игнорирование однозначно безопасных объектов можно, но для этого важно понимать, зачем именно нужно настраивать исключения.
Для чего нужен раздел «Исключения» настроек Dr.Web?
Разрешать запуск безопасных приложений, которые по тем или иным причинам могут конфликтовать с антивирусом. | 976 |
Разрешить запуск программы, в описании которой написано, что она не является вредоносной, но для запуска надо отключить антивирус. | 126 |
Разрешать запуск программ, функционал которых позволяет хакерам проникать на компьютеры. | 49 |
Допустим, у вас есть ссылка или программа, полученная из надежного источника, — от вашего друга по переписке, от коллеги по работе через корпоративный мессенджер или от приятеля на его флешке. Антивирус «ругается» при попытке открытия или запуска.
Как поступить в таком случае?
«Согласиться» с антивирусом и удалить зараженный файл или не открывать ссылку. | 551 |
Внести файл или ссылку в исключения соответствующего компонента Dr.Web и запустить. | 510 |
Отключить соответствующий компонент Dr.Web и запустить приложение или открыть ссылку. | 37 |
Настроить антивирус «под себя» — задача простая. Настроить его правильно, найдя баланс между удобством работы и безопасностью, — получается не всегда. К этой задаче надо подходить тщательно и ответственно, работая только с определенными настройками антивируса.
Какие ограничения, установленные Dr.Web, и его параметры проверки не могут быть изменены?
Можно исключить из проверки только папки, не относящиеся к системным, и отключить спам-фильтр. | 460 |
Можно изменить любые параметры антивируса и отменить любые ограничения. | 409 |
Можно отключить проверку только трафика и спам-фильтр. | 173 |
Часто случаются ситуации, когда, переходя по ссылке или открывая, казалось бы, безопасный сайт или приложение, полученное из надежного источника, пользователь видит «запрещающий сигнал антивируса». Вариантов два: или дать программе/ресурсу «зеленый свет», или принять «совет» антивируса и не использовать ее. Если было принято решение дать доступ, то первое и самое простое, что приходит в голову, — отключить компонент, блокирующий приложение или ресурс.
В каких случаях нужно отключать компонент антивируса, а не добавлять пункт исключений?
Таких ситуаций в штатном режиме возникнуть не может. | 728 |
Если получить доступ к ресурсу или запустить «подозрительный» файл нужно только один раз. | 175 |
Когда нужно срочно получить доступ к сайту или установить «подозрительную» программу. | 111 |
Онлайн-казино, различные онлайн-биржи в целом относятся к нерекомендуемым ресурсам, но для части пользователей их посещение необходимо.
Как посетить нужный сайт, доступ к которому не рекомендует Dr.Web?
Добавить сайт в Исключения в разделе Настройки. | 812 |
Отключать компонент SpIDer Gate на время работы с «сомнительными» ресурсами. | 116 |
Отключать компонент Брандмауэр на время работы с «сомнительными» ресурсами. | 76 |
Всем известны файловые «маски», которые применяются, к примеру, для поиска определенных строк в различных программа и файлов через Проводник Windows. Есть возможность использовать маски и для настройки исключений в Dr.Web.
Когда для настройки исключений могут применяться маски (например, C:\folder\*)?
Верны оба варианта. | 622 |
Чтобы добавить в исключение сразу несколько взаимосвязанных объектов. | 200 |
Когда нужно более точно настроить файлы и папки для исключений. | 165 |
Бывает ситуация: программа вполне легальная, всё работает как надо, но антивирус ее постоянно проверяет, отчего возникает очень высокая нагрузка на систему.
Как поступить в таком случае?
Убедившись, что загрузка ПК вызвана проверкой именно этой программы, добавить в исключение SpIDer Guard исполняемый файл программы. Если это не поможет — обратиться за консультацией в службу технической поддержки «Доктор Веб». | 643 |
Сразу обратиться за консультацией в службу технической поддержки «Доктор Веб». | 229 |
Убедившись, что загрузка ПК вызвана проверкой именно этой программы, добавить в исключение SpIDer Guard папку программы. | 104 |
Когда возникает конфликт какого-либо приложения и антивируса, а также в случае блокировки антивирусом запуска какой-либо программы или создания помех в ее работе — важно понимать, что именно стало причиной проблемы. Добавляя в исключения даже легальную программу, вы рискуете создать брешь в безопасности, если настроите исключение неправильно.
Как поступить в таком случае?
Посмотреть в статистике Dr.Web информацию о том, какой именно компонент мешает работе программы, и добавить исключение только для этого компонента. | 554 |
Сразу обратиться за советом в службу технической поддержки «Доктор Веб» | 346 |
Добавить приложение в исключения для всех компонентов антивируса. | 60 |
Допустим, источник получения файла действительно надежный, но антивирус Dr.Web все равно «не доволен».
Как поступить в таком случае?
Посмотреть информацию о найденной угрозе на сайте «Доктор Веб», посмотреть документацию к программе и убедиться, что в разделе Возможные неполадки отсутствует информация по взаимодействию с антивирусом, после чего разрешить или запретить запуск. В случае невозможности принять решение самостоятельно — обратиться в службу технической поддержки. | 731 |
Посмотреть информацию о найденной угрозе на сайте «Доктор Веб» и на основании этого разрешить или запретить запуск. | 147 |
Сразу обратиться за советом в службу технической поддержки «Доктор Веб». | 72 |
Наличие не только общих настроек исключений, но и собственных параметров некоторых компонентов антивируса может привести к тому, что невнимательный пользователь может создать два взаимоисключающих правила — разрешительное (добавить исключение) в одном месте и запретительное (добавить в черный список) в другом.
Если сайт добавлен одновременно и в черный список Родительского контроля, и в список Исключений в Настройках антивируса — что будет с доступом к нему?
Доступ будет заблокирован. | 604 |
Доступ будет определяться тем правилом, которое создано позднее. | 272 |
Доступ будет разрешен. | 65 |
Когда антивирус Dr.Web блокирует программу или доступ к веб-ресурсу, то сразу видно, какой из компонентов это сделал.
Как узнать, какой компонент обнаружил угрозу, если окно уведомления было закрыто, а запомнить не удалось?
Посмотреть информацию о действиях антивируса можно, щелкнув по знаку Dr.Web в трее и выбрав Статистика → Подробный отчет. | 866 |
Посмотреть информацию о действиях антивируса можно в личном кабинете «Мой Dr. Web» на сайте. | 39 |
Эта информация сохраняется только в «дебажном» логе антивируса, доступном для техподдержки. | 27 |
Когда принято решение о необходимости добавить в исключение ту или иную программу, процесс или сайт, это нужно настроить в антивирусе.
Где находятся настройки, отвечающие за исключения файлов и сайтов из проверки?
Исключения задаются для каждого компонента отдельно, в разделе Настройка → Исключения. Также часть настроек задается напрямую в параметрах компонентов. | 767 |
Исключения задаются в целом для антивирусной системы в разделе Настройка → Основные. | 106 |
Исключения задаются для каждого компонента отдельно, в меню этого компонента. | 49 |
Чем меньше исключений, тем надежнее защита — это очевидно, но одно дело добавить в исключения один-два нерекомендуемых, но любимых сайта, совсем другое — убрать из проверки важные системные папки.
Какие приложения, папки и сайты ни в коем случае нельзя добавлять в исключения?
Все наиболее «популярные» точки поражения: системные папки Windows, папки временных файлов, торрент-сайты, различные «файловые помойки», ресурсы с пиратским софтом и видео. | 487 |
В постоянные исключения добавлять не стоит ничего, лучше временно отключать компонент, мешающий использованию нужного файла или ресурса. | 250 |
Только системные папки Windows. | 174 |
Бывают ситуации, когда работа какого-то специфического приложения может сопровождаться выполнением действий, которые антивирус признает как опасные и блокирует. В таких случаях нужно правильно выбрать алгоритм настройки исключений и прав для этого приложения.
Настроить взаимодействие программы с операционной системой и задать границы ее прав и возможностей можно с помощью.
Верны оба варианта. | 471 |
Раздела Настройки → Исключения в Dr.Web, добавив приложение в качестве исключения для всех компонентов антивируса. | 267 |
Задав параметры приложения в настройках Превентивной защиты Dr.Web. | 165 |
И в качестве резюме к нашему тесту о настройках исключений поучительный пример. Недавно один из пользователей Dr.Web обратился в службу технической поддержки с жалобой: «Ваш антивирус пропустил майнер мне на ПК, а у друга — поймал!». Анализ логов пользователя специалистами техподдержки показал: Dr.Web в заражении не виноват.
Какая из перечисленных причин наиболее вероятно привела к описанному исходу?
Читайте также: