Образ диска и дамп оперативной памяти позволяет выполнить ПО FTK Imager.
Инструментарий, с помощью которого будет производиться снятие слепка оперативной памяти лучше всего запускать с внешнего носителя, во избежания оставить лишнее следы на жестком диске (данные с жесткого диска необходимо сохранить в неизменном виде).
Важно помнить следующие:
- В случае заражения ПК вирусом шифровальщиком есть шанс что при потере сетевого соединения, малварь начнет шифровать все данные на ПК, Вам необходимо предварительно оценить важность и критичность информации расположенной на зараженном ПК.
- Чтобы малварь не успела среагировать на выключение системы, проще всего выдернуть кабель питания.
Перед началом исследования малвари статическим и динамическим анализом, необходимо подготовить безопасную среду, которая должна включать в себя следующие:
1.Подготовить виртуальную машину с помощью Virtual Box или VMware (Важно актуальной версии), или отдельно выделенный ПК, желательно с Windows 7.
Как удалить вирусы со своего компьютера ?
Далее следующий софт, который должен быть установлен для благоприятной среды выполнения вредоносного кода:
- Microsoft Office
- .NET Framework
- Microsoft Visual C++ Redistributable
- DirectX
- Python 2,7 Python 3,5
- Java Version 8
- Chrome, Firefox, Opera
- Adobe Acrobat Reader
- Включить поддержку скриптов PowerShell
Так же необходимо изолировать виртуальную среду от основной ОС:
- Отключение Draghttps://dzen.ru/a/Xwlmg0lfezvZTTQ6″ target=»_blank»]dzen.ru[/mask_link]
как определить откуда идет вирусная атака
- Posters
- 14 Сообщений:
- Posters
- 4 407 Сообщений:
- Posters
- 14 Сообщений:
- Members
- 19 512 Сообщений:
- Posters
- 14 Сообщений:
- Virus Analysts
- 8 308 Сообщений:
- Posters
- 14 Сообщений:
- Virus Analysts
- 8 308 Сообщений:
- Posters
- 2 714 Сообщений:
- Members
- 19 512 Сообщений:
- Posters
- 14 Сообщений:
- Virus Analysts
- 8 308 Сообщений:
Отправлено 24 Ноябрь 2009 — 16:49
Версия 5.
Доменная сеть, 80 компьютеров
Каждые два часа идет вирусная атака на все компьютеры:
Станция: 24_5 (tcp/192.168. 1047)
Время: 24/11/2009 16:30:59.857
Источник: SpIDer Guard ® for Windows XP (NT AUTHORITYSYSTEM)
Объект: «C:Documents and SettingsNetworkServiceLocal SettingsTemporary Internet FilesContent.IE5�SKCDNFYsxyql[1].png» ()
Тип: инфицирован
Инфекция: Win32.HLLW.Autoruner.5555
Результат: вылечен
Станция: 24_5 (tcp/192.168. 1047)
Время: 24/11/2009 16:30:59.935
Источник: SpIDer Guard ® for Windows XP (NT AUTHORITYSYSTEM)
ВИРУС МАЙНЕР , ЧТО С НИМ ДЕЛАТЬ?
Объект: «C:WINDOWSsystem32x» ()
Тип: инфицирован
Инфекция: Win32.HLLW.Autoruner.5555
Результат: вылечен
#2 
basid
Отправлено 24 Ноябрь 2009 — 17:48
Время: 24/11/2009 16:30:59.857
Источник: SpIDer Guard ® for Windows XP (NT AUTHORITYSYSTEM)
Объект: «C:Documents and SettingsNetworkServiceLocal SettingsTemporary Internet FilesContent.IE5�SKCDNFYsxyql[1].png» ()
«Выделено мной».
Вероятно, дроппер грузит вирус -> (кроме всег прочего) смотреть логи прокси.
Время: 24/11/2009 16:30:59.935
Источник: SpIDer Guard ® for Windows XP (NT AUTHORITYSYSTEM)
Включите аудит и смотрите кто, куда и откуда логинится/получает доступ/отлупы.
P.S. Раз «каждые два часа», значит смотрим «at» и «schtasks /query».
#3 oaesi
Отправлено 24 Ноябрь 2009 — 18:04
Вероятно, дроппер грузит вирус -> (кроме всег прочего) смотреть логи прокси.
прокси нет, как найти дроппер?
Включите аудит и смотрите кто, куда и откуда логинится/получает доступ/отлупы.
Аудит включить на рабочей станции?
#4 Borka
Забанен за флуд
Отправлено 24 Ноябрь 2009 — 18:05
Время: 24/11/2009 16:30:59.857
Источник: SpIDer Guard ® for Windows XP (NT AUTHORITYSYSTEM)
Объект: «C:Documents and SettingsNetworkServiceLocal SettingsTemporary Internet FilesContent.IE5�SKCDNFYsxyql[1].png» ()
«Выделено мной».
Вероятно, дроппер грузит вирус -> (кроме всег прочего) смотреть логи прокси.
Это Конфикер так по сети через дыры проходит. Пачей нет.
С уважением,
Борис А. Чертенко aka Borka.
#5 oaesi
Отправлено 24 Ноябрь 2009 — 18:10
Это Конфикер так по сети через дыры проходит. Пачей нет.
Я слабо понимаю о чем речь, к сожалению.
Делать-то чего?
#6 v.martyanov
v.martyanov
Отправлено 24 Ноябрь 2009 — 18:11
Это Конфикер так по сети через дыры проходит. Пачей нет.
Я слабо понимаю о чем речь, к сожалению.
Делать-то чего?
Закрыть шары, отключить автозапуск, установить сильные пароли, накатить обновления на систему.
#7 oaesi
Отправлено 24 Ноябрь 2009 — 18:28
Закрыть шары, отключить автозапуск, установить сильные пароли, накатить обновления на систему.
Это общие профилактические меры, а в данной конкретной ситуации неужели нельзя определить откуда он берется в сети?
#8
v.martyanov
v.martyanov
Отправлено 24 Ноябрь 2009 — 18:32
Закрыть шары, отключить автозапуск, установить сильные пароли, накатить обновления на систему.
Это общие профилактические меры, а в данной конкретной ситуации неужели нельзя определить откуда он берется в сети?
Ну ищите-ищите, раз профилактика не нравится.
#9 HHH
Отправлено 24 Ноябрь 2009 — 20:52
Закрыть шары, отключить автозапуск, установить сильные пароли, накатить обновления на систему.
Это общие профилактические меры, а в данной конкретной ситуации неужели нельзя определить откуда он берется в сети?
Посмотреть задания планировщика на всех машинах, как уже советовали.
Запустить на всех машинах проверку папки system32 c помощью enterprise scanner, смотреть на предмет подозрительной dll с диагнозом «ошибка чтения».
Взять nmap и просканить сеть на предмет конфискера.
Убедиться, что никто не включил потихоньку в сеть личный компьютер.
.
Больше пока не придумал
#10 Borka
Забанен за флуд
Отправлено 24 Ноябрь 2009 — 23:09
Запустить на всех машинах проверку папки system32 c помощью enterprise scanner, смотреть на предмет подозрительной dll с диагнозом «ошибка чтения».
По-моему, проще запланировать проверку GUI-сканером. Сразу и лечение будет.
С уважением,
Борис А. Чертенко aka Borka.
#11 oaesi
Отправлено 25 Ноябрь 2009 — 15:13
Через сетевое окружение на всех компьютерах сети появилась общая папка «Назначенные задания». Задание выполняется каждый день в одно время. Выполнить rundll.exe, а потом на разных компьютерах разные параметры. c:windowstasksat1.job
Это признак вируса?
#12 v.martyanov
v.martyanov
Отправлено 25 Ноябрь 2009 — 15:14
Источник: forum.drweb.com
Как проверить файл на наличие вирусов?
Случайно загрузили подозрительный файл, который может содержать вирус? Или хотите проверить ссылку, которая, как вы предполагаете, ведет на вредоносный сайт? Мы расскажем, что делать в таких ситуациях.
Все пользователи знают это правило: никогда нельзя переходить по подозрительным ссылкам, загружать файлы с небезопасных веб-сайтов или запускать вложения электронной почты из неизвестных источников.
Тем не менее, бывают разные ситуации, и довольно-таки часто определенные действия пользователей подвергают компьютер лишнему риску.
Если вы подозреваете, что какой-либо файл на вашем компьютере содержит вредоносное ПО, не открывайте его ни при каких обстоятельствах! Вот что следует сделать вместо этого.
Как проверить, заражен ли файл вирусом
Одно из лучших решений – проверить файл с помощью VirusTotal.
Это простой онлайн-инструмент, который позволяет отсканировать файлы и ссылки на наличие всевозможных вредоносных программ: вирусов, червей, троянов и т.д.
Чтобы начать сканирование, нужно просто нажать на кнопку «Выбрать файл». Затем требуется загрузить проверяемый файл в систему. Обратите внимание, что максимально допустимый размер составляет 600 МБ.
На скриншоте ниже видно, что загруженный нами файл (документ MS Word) не содержит известных вредоносных программ – VirusTotal отсканировал его более чем 60 антивирусными модулями!
Весь процесс обычно занимает всего несколько секунд, но время сканирования, конечно же, зависит от размера файла.
А вот что происходит, если загрузить файл, который на самом деле является вредоносным. Как вы можете видеть ниже, 51 из 64 вредоносных поисковых систем, использованных VirusTotal, определила, что загруженный ZIP-файл содержит вредоносное ПО:
Вы также можете использовать VirusTotal для проверки безопасности той или иной ссылки. Перейдя на сайт, выберите «URL» вместо «File», скопируйте-вставьте ссылку и нажмите кнопку Enter на клавиатуре.
Даже если на вашем компьютере установлена надежная защита от вредоносных программ, мы все равно рекомендуем использовать VirusTotal. Он точно не повредит, поскольку инструмент задействует несколько десятков антивирусных продуктов, а не только один, что гарантирует точность полученных результатов.
Что делать, если файл заражен?
В большинстве случаев простая загрузка вредоносного файла не повлияет на ваш компьютер. Но крайне важно помнить, что его ни в коем случае нельзя открывать!
Если сканирование VirusTotal показывает, что файл содержит вредоносное ПО, немедленно удалите его со своего компьютера с помощью комбинаций клавиш Shift + Delete на клавиатуре.
После этого следует запустить полное сканирование системы на наличие других вредоносных программ.
Отметим, что есть несколько эффективных онлайн сканеров. Да, они полезны, но не в состоянии заменить автономный антивирусный пакет, поскольку не предлагают защиту в реальном времени. Именно поэтому мы настоятельно рекомендуем инвестировать в хорошее программное обеспечение для защиты от вредоносных программ.
Источник: setphone.ru