Инструкции и рекомендации Обсуждение CHKLST.RU — CHKLST.RU

Как создать логи FRST

safety — Mon, 03 Jul 2023 14:18:15 +0000

Скачайте и запустите Farbar Recovery Scan Tool. (Выберите программу для своей разрядности системы:32-битную или 64-битную)

После запуска программы установите галочки как показано на рисунке:

И нажмите Scan/Сканировать. После окончания сканирования в папке откуда запускалась программа будут созданы файлы логов FRST.txt и Addition.txt.
Добавьте файлы логов в ваше сообщение на форуме, используя функцию "загрузить файлы"
или
загрузите их на http://sendspace.com или другой облачный сервис без капчи, и полученную ссылку выложите в вашей теме.

Как защитить сеть от DarkSide и других программ-вымогателей

safety — Tue, 18 May 2021 04:49:52 +0000

Как защитить сеть от DarkSide и других программ-вымогателей

Следующие ниже методы могут помочь организациям снизить риск инцидента с шифраторами.

Тренинг по повышению осведомленности о кибербезопасности: поскольку большая часть программ-вымогателей распространяется посредством действий, инициированных пользователями, организациям следует внедрять обучающие программы, направленные на обучение конечных пользователей основам кибербезопасности. Программы-вымогатели и методы их распространения постоянно развиваются, поэтому обучение должно происходить постоянно, чтобы конечные пользователи могли столкнуться с текущими угрозами.
Гигиена учетных данных: соблюдение надлежащей гигиены учетных данных может помочь предотвратить атаки методом перебора, смягчить последствия кражи учетных данных и снизить риск несанкционированного доступа к сети.
Многофакторная аутентификация: MFA обеспечивает дополнительный уровень безопасности, который может помочь предотвратить несанкционированный доступ к учетным записям, инструментам, системам и хранилищам данных. Организации должны рассмотреть возможность включения MFA везде, где это возможно.
Исправления безопасности: организации любого размера должны иметь надежную стратегию управления исправлениями, которая гарантирует, что обновления безопасности на всех конечных точках, серверах и устройствах применяются как можно скорее, чтобы минимизировать окно возможностей для атаки.
Резервное копирование: резервное копирование - один из наиболее эффективных способов смягчения последствий инцидента с программным вымогателем. Многие виды программ-вымогателей могут распространяться по сети и шифровать локально хранимые резервные копии, поэтому организациям следует использовать различные хранилища мультимедиа и хранить резервные копии как на месте, так и за его пределами. См. Это руководство для получения дополнительной информации о создании резервных копий, защищенных от программ-вымогателей.
Повышение безопасности системы: усиление защиты сетей, серверов, операционных систем и приложений имеет решающее значение для уменьшения поверхности атаки и управления потенциальными уязвимостями безопасности. Отключение ненужных и потенциально используемых служб, таких как PowerShell, RDP, Windows Script Host, макросы Microsoft Office и т. Д., Снижает риск первоначального заражения, а реализация принципа наименьших привилегий может помочь предотвратить боковое перемещение.
Блокировать макросы: многие семейства программ-вымогателей поставляются через встроенные макросы Microsoft Office или PDF-документы. Организации должны пересмотреть использование макросов, рассмотреть возможность блокировки всех макросов из Интернета и разрешить выполнение только проверенных и утвержденных макросов из надежных мест.
Аутентификация электронной почты: организации могут использовать различные методы проверки подлинности электронной почты, такие как структура политики отправителя, почта с идентификацией DomainKeys и проверка подлинности сообщений на основе домена, отчетность и соответствие, для обнаружения подделки электронной почты и выявления подозрительных сообщений.
Сегрегация сети: эффективное разделение сети помогает сдерживать инциденты, предотвращает распространение вредоносных программ и сокращает нарушение целостности бизнеса.
Мониторинг сети: организации любого размера должны иметь системы для отслеживания возможных каналов утечки данных и немедленного реагирования на подозрительную активность.
Тестирование на проникновение: тестирование на проникновение может быть полезно для выявления уязвимостей в ИТ-инфраструктуре и уязвимости сотрудников к программам-вымогателям. Результаты теста можно использовать для распределения ИТ-ресурсов и информирования о будущих решениях по кибербезопасности.
План реагирования на инциденты: организации должны иметь комплексный план реагирования на инциденты, в котором точно указывается, что делать в случае заражения. Быстрое реагирование может помочь предотвратить распространение вредоносного ПО, свести к минимуму сбои и обеспечить максимально эффективное устранение инцидента.

https://blog.emsisoft.com/en/38577/ransomware-profile-darkside/

Безопасность 6

safety — Sat, 20 Jul 2019 15:31:14 +0000

Разверните шаги «Безопасность шесть» для обеспечения базовой защиты

Ниже перечислены основные средства защиты, которые должны применяться всеми, особенно специалистами, работающими с конфиденциальными данными:

1. Антивирусное программное обеспечение (AV)

Хотя детали могут различаться в зависимости от коммерческих продуктов, антивирусное программное обеспечение сканирует компьютерные файлы или память на наличие определенных шаблонов, которые могут указывать на наличие вредоносного программного обеспечения (также называемого вредоносным ПО). Антивирусное программное обеспечение ищет шаблоны на основе сигнатур или определений известных вредоносных программ от киберпреступников. Поставщики антивирусов обнаруживают новые проблемы и ежедневно обновляют вредоносное ПО, поэтому важно, чтобы на их компьютерах были установлены последние обновления...

После того, как пользователи установили антивирусный пакет, они должны периодически сканировать весь компьютер, выполняя:

Автоматическое сканирование. Большинство антивирусных программ можно настроить на автоматическое сканирование определенных файлов или каталогов в режиме реального времени и предлагать пользователям с заданными интервалами выполнять полное сканирование.
Сканирование вручную - если антивирусное программное обеспечение не сканирует автоматически новые файлы, пользователи должны вручную сканировать файлы и носители, полученные из внешнего источника, прежде чем открывать их. Этот ручной процесс включает в себя:
Сохранение и сканирование вложений электронной почты или загрузок через Интернет, а не их открытие непосредственно из источника.
Сканирование портативных носителей, включая компакт-диски и DVD-диски, на наличие вредоносных программ перед открытием файлов.

Иногда программное обеспечение создает диалоговое окно с предупреждением о том, что оно обнаружило вредоносное ПО, и спрашивает, хотят ли пользователи «очистить» файл (чтобы удалить вредоносное ПО). В других случаях программное обеспечение может попытаться удалить вредоносное ПО без предварительного запроса.

При выборе антивирусного пакета пользователи должны узнать о его возможностях, чтобы они знали, чего ожидать. Держите программное обеспечение безопасности настроенным на автоматическое получение последних обновлений, чтобы оно всегда было актуальным.

Напоминание о шпионском программном обеспечении, категории вредоносных программ, предназначенных для кражи конфиденциальных данных и паролей без ведома пользователя: надежное программное обеспечение безопасности должно защищать от шпионского ПО. Но помните, никогда не нажимайте ссылки во всплывающих окнах, никогда не загружайте «бесплатное» программное обеспечение из всплывающего окна, никогда не переходите по ссылкам электронной почты, которые предлагают антишпионское программное обеспечение. Ссылки и всплывающие окна могут устанавливать шпионские программы, которые, по их утверждению, удаляются.

Напоминание о фишинговых письмах. Пакет надежной защиты также должен содержать антифишинговые возможности. Никогда не открывайте электронное письмо из подозрительного источника, не нажимайте на ссылку в подозрительном электронном письме и не открывайте вложение, иначе вы можете стать жертвой фишинг-атаки, и данные вас и ваших клиентов могут быть скомпрометированы.

2. Брандмауэры (Firewall)

Брандмауэры обеспечивают защиту от внешних атак, защищая ваш компьютер или сеть от вредоносного или ненужного веб-трафика и предотвращая доступ вредоносных программ к вашим системам.

Межсетевые экраны могут быть широко классифицированы как аппаратные или программные. Хотя оба имеют свои преимущества и недостатки, решение об использовании брандмауэра гораздо важнее, чем решение, какой тип вы используете:

Аппаратное обеспечение - как правило, называемые сетевыми брандмауэрами, эти внешние устройства расположены между компьютером и Интернетом (или другим сетевым соединением). Аппаратные межсетевые экраны особенно полезны для защиты нескольких компьютеров и контроля сетевой активности, которая пытается пройти через них.
Программное обеспечение - большинство операционных систем имеют встроенную функцию брандмауэра, которую следует включить для дополнительной защиты, даже если используется внешний брандмауэр. Программное обеспечение брандмауэра также можно приобрести как отдельное программное обеспечение в местном компьютерном магазине, у поставщика программного обеспечения или интернет-провайдера. При загрузке программного обеспечения брандмауэра из Интернета убедитесь, что оно получено из авторитетного источника (например, от известного поставщика программного обеспечения или поставщика услуг) и предоставляется через защищенный веб-сайт.

Хотя правильно настроенные брандмауэры могут эффективно блокировать некоторые кибератаки, не поддавайтесь ложному чувству безопасности. Брандмауэры не гарантируют, что компьютер не будет атакован. Брандмауэры в первую очередь помогают защитить от вредоносного трафика, а не от вредоносных программ (вредоносных программ), и могут не защищать устройство, если пользователь случайно установил вредоносное ПО. Однако использование брандмауэра в сочетании с другими защитными мерами (такими как антивирусное программное обеспечение и безопасные компьютерные методы) усилит устойчивость к атакам.

3. Двухфакторная аутентификация (2FA)

Многие поставщики электронной почты теперь предлагают клиентам двухфакторную защиту аутентификации для доступа к учетным записям электронной почты.

Двухфакторная аутентификация помогает, добавляя дополнительный уровень защиты помимо пароля. Часто 2FA означает, что пользователь должен ввести учетные данные (имя пользователя и пароль) плюс еще один шаг, например, ввести код безопасности, отправленный с помощью текста на мобильный телефон. Идея заключается в том, что вор может украсть имя пользователя и пароль, но маловероятно, что у них также будет мобильный телефон пользователя, чтобы получить код безопасности и завершить процесс.

4. Резервное копирование программного обеспечения / услуг (Backup)

Критические файлы на компьютерах должны регулярно копироваться во внешние источники. Это означает, что копия файла создается и хранится в Интернете как часть службы облачного хранения или аналогичного продукта. Или копия файла создается на внешнем диске, например на внешнем жестком диске, который теперь имеет несколько терабайт памяти. Специалисты должны обеспечить шифрование данных...

5. Шифрование диска. (Drive encryption)

Принимая во внимание конфиденциальные данные, хранящиеся на компьютерах, пользователям следует рассмотреть возможность использования программного обеспечения для шифрования дисков для полного шифрования диска. Шифрование диска преобразует данные на компьютере в нечитаемые файлы для несанкционированного доступа к компьютеру для получения данных. Шифрование диска может стать отдельным программным продуктом для обеспечения безопасности. Он также может включать в себя шифрование для съемных носителей, таких как флэш-накопитель и его данные.

6. Виртуальная частная сеть (VPN)

Если сотрудники должны время от времени подключаться к неизвестным сетям или работать из дома, создайте зашифрованные виртуальные частные сети (VPN), чтобы обеспечить более безопасное соединение. VPN обеспечивает безопасный, зашифрованный туннель для передачи данных между удаленным пользователем через Интернет и сетью компании.

https://www.irs.gov/newsroom/tax-security-2-point-0-a-taxes-security-together-checklist-step-1

Веб-сервисы для проверки и анализа подозрительных файлов

safety — Sun, 03 Mar 2013 01:41:19 +0000

1. http://www.virscan.org/

VirSCAN.org - это бесплатный он-лайновый сервис для сканирования файлов несколькими антивирусными технологиями одновременно.Наш сервис предоставляет отчет о проверке файла с информацией о его безопасности/заражении.

-------- 2. http://virustotal.com

VirusTotal — бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок (URL) на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ.

------- 3. http://virusscan.jotti.org

Антивирусный сканер Jotti - бесплатный интернет-сервис, позволяющий выполнить онлайн-проверку подозрительных файлов несколькими антивирусами. На сервисе используются версии сканеров для Linux, в связи с чем возможны незначительные расхождения результатов проверки с результатами версий для Windows (это может быть вызвано особенностями реализации ПО производителями).

------ 4. https://www.hybrid-analysis.com/

Это бесплатная служба анализа вредоносных программ для сообщества, которая обнаруживает и анализирует неизвестные угрозы с помощью уникальной технологии гибридного анализа.

5. https://app.any.run/

Интерактивный онлайн-сервис анализа вредоносных программ для динамического и статического исследования большинства типов угроз с использованием любых сред. Заменяет набор инструментов для исследования.

Настраиваем ESET Smart Security

safety — Sat, 26 Jan 2013 08:32:24 +0000

Настраиваем ESS. 1. Защита файловой системы в режиме реального времени. 2. Защита документов. 3. Защита съемных носителей. 4. HIPS. устанавливаем автоматический режим с правилами: блокируем изменение политик IPSec HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\* блокируем изменение статических маршрутов HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes\* запрещаем блокировку запуска ESET NOD32 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe\* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe\* защищаемся от Winlock HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe\* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\* HKEY_USERS\*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\* 5. Персональный фаерволл. 6. Защита доступа в Интернет. 7. Защита почтового клиента. 8. Защита от спама. 9. Защита от фишинга. 10. Родительский контроль.

Как создать лог Hijackthis

safety — Mon, 12 Nov 2012 01:30:55 +0000

HijackThis рассчитан на более-менее опытных пользователей, имеющих представление о том, как работает ОС Windows, так как программа в первую очередь позволяет вносить изменения во многие участки операционной системы. И неумелое их редактирование может повлечь за собой серьезные последствия для ОС. Основное назначение программы:

обнаружение и исправление изменений в настройках наиболее уязвимых областей операционной системы. А главная её функция заключается в автоматическом исследовании этих областей и вывода собранной информации в виде удобного лога (отчёта).

Важно понимать, что в программе нет какой-либо базы данных по вредоносным программам, поэтому последующий анализ содержимого своего лога HijackThis не предполагает. И решение об удалении какого-либо компонента может принять только сам пользователь. Скачайте программу отсюда. запустите hijackthis.exe и выберите функцию "do a system scan and save a log" (выполнить скранирование системы и сохранить лог) файл лога будет автоматически открыт в блокноте, его необходимо передать хелперам для анализа. по результату анализа Вам будет предложено удалить строки в окне hj. сделать это можно будет следующим образом: отмечаете галками строки для удаления, и нажимаете кнопку "fix checked". ------------- update: В настоящее время известен, поддерживается и далее развивается проект hj-fork

HiJackThis Fork является модификацией (форком) программы Trend Micro HiJackThis, подготовленным Alex Dragokas (Польшиным Станиславом) и командой SafeZone.cc, и распространяется вместе с открытым исходным кодом и соблюдением оригинальной лицензии GNU GPLv2. С исходным кодом можно ознакомится в репозитории GitHub. Совместимость: Microsoft™ Windows™ 10 / 8.1 / 8 / 7 / Vista / XP / 2000 скачать программу: краткое руководство здесь:

Как создать в uVS новый критерий поиска

safety — Sun, 11 Nov 2012 10:49:33 +0000

Чтобы создать новый критерий поиска вредоносного объекта, открываем окно "Информация" по данному объекту, внимательно изучаем описание данного объекта, и определяем те поля(атрибуты) и значения, по которым может быть выполнен устойчивый поиск данного объекта как в этом образе автозапуска, так и в других образах с типовым заражением (или проблемой). для объекта C:\WINDOWS\xored.sys видим, что такими данными могут быть

Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\newdriver\ImagePath
ImagePath                   \??\C:\WINDOWS\xored.sys
newdriver                   тип запуска: При инициализации ядра (1)

формируем новый критерий по атрибуту ссылка. В качестве значения атрибута здесь удобно выбрать значение Services\newdriver, которое наверняка будет повторяться для данного вредоносного драйвера, пока вирусописатели не поменяют имя службы. Итак выбираем ссылка ~ (содержит) Services\newdriver Операторы AND и OR здесь служат для создания составного (сложного критерия). Вы так же можете создать на базе нового критерия newdriver* составной критерий с (учебной) целью детектирования данного вредоносного драйвера. Используем другой атрибут для создания сложного критерия, например: ImagePath. В качестве значения для атрибута ImagePath выбираем xored.sys в итоге в список критериев добавлен новый, составной критерий с детектированием вредоносного драйвера по имени xored.sys Проверяем образ автозапуска по новому списку критериев, видим что новое правило _newdriver* детектирует данный драйвер.

Утилиты для полного удаления приложений

safety — Wed, 18 Apr 2012 06:12:52 +0000

Не всегда установленные приложения можно удалить через установку_удаление программ. Предлагаем список утилит для полного удаления установленных приложений. Утилита для полного удаления Java Runtime Environment (JRE) Утилита для полного удаления Adobe Flash Player ------ Утилита для полного удаления продуктов Alwil (avast!) Утилита для полного удаления продуктов Dr.Web Утилита для полного удаления продуктов Лаборатории Касперского Рекомендации по удалению продуктов Avira Рекомендации по удалению продуктов компании ESET. так же смотрим удобный сервис на офф.сайте esetnod32.ru AV_Remover от компании ESET http://kb.eset.com/esetkb/index?page=content&id=SOLN3527&viewlocale=en_US&locale=en_US&segment=business http://www.esetnod32.ru/download/utilities/av_remover/ http://download.eset.com/special/avremover/avremover_nt32_enu.exe http://download.eset.com/special/avremover/avremover_nt64_enu.exe

создаем загрузочный диск WinPE 3.0 с помощью установленного пакета WAIK (for Windows7)

safety — Mon, 16 Apr 2012 23:23:13 +0000

При создании настраиваемого образа Windows® PE 3.0 в первую очередь нужно изменить базовый образ Windows PE (Winpe.wim) с помощью средства DISM. DISM извлекает файлы в локальный каталог и позволяет добавлять и удалять пакеты (дополнительные компоненты и языковые пакеты). Кроме того, можно добавлять драйверы поставщика. Windows PE включает специальный сценарий сборки (Copype.cmd) для создания локальной среды сборки Windows PE. Copype.cmd создает структуру каталогов в зависимости от конкретной архитектуры и копирует все необходимые файлы. В командной строке на техническом компьютере запустите сценарий Copype.cmd, Этот сценарий находится в папке C:\Program Files\version\Tools\PETools. Этот сценарий требует наличия двух аргументов: аппаратной архитектуры и места назначения. version может быть Windows AIK copype.cmd arch destination arch может принимать значение x86 или amd64, а destination - это путь к локальной папке. Пример: copype.cmd x86 c:\winpe_x86 Сценарий создает следующую структуру каталогов и копирует все необходимые файлы для этой архитектуры.

\winpe_x86
\winpe_x86\ISO
\winpe_x86\mount

Папка \ISO содержит все файлы, необходимые для создания ISO-файла с помощью средства Oscdimg, за исключением образа Windows PE (boot.wim). Необходимо создать особый образ boot.wim с помощью используемого по умолчанию образа Windows PE (winpe.wim) и скопировать boot.wim в папку \ISO\sources. Папка \mount используется для подключения образов Windows PE с помощью средства ImageX или DISM. В общую процедуру создания пользовательского образа Windows PE включаются: 1. Подключение основного образа к локальному общему каталогу с помощью средства DISM. Например, Dism /Mount-Wim /WimFile:C:\winpe_x86\winpe.wim /index:1 /MountDir:C:\winpe_x86\mount 2. Добавление дополнительных настраиваемых файлов или средств, которые нужно включить в образ в каталоге \mount. Например, в образ можно включить каталоги программы far,uVS. В смонтрированном образе winpe.wim в корне создаем каталог UserApp в который можно добавить (с помощью файлового менеджера, или copy) программы far, uVS. 3. настраиваем стартовый запуск приложения, например с помощью startnet.cmd находим в смонтированном образе в каталоге windows\system32 файл startnet.cmd, открываем его в редакторе и добавляем команду %SYSTEMDRIVE%\UserApp\far\far.exe или %SYSTEMDRIVE%\UserApp\uVS\start.exe (теперь при запуске с загрузочного диска Winpe из окна cmd автоматически будет запускаться либо far.exe, либо стартовый файл uVS start.exe) 4. Подтверждение изменений с помощью команды Dism с параметром /Unmount-Wim /Commit. Пример: Dism /Unmount-Wim /MountDir:C:\winpe_x86\mount /Commit при выполнении данной команды происходит размонтирование образа winpe.wim с сохранением внесенных в него изменений. 5. Копирование настроенного образа в папку \ISO\sources и его переименование в boot.wim. Например, copy c:\winpe_x86\winpe.wim c:\winpe_x86\ISO\sources\boot.wim 6. На техническом компьютере создайте файл ISO с помощью средства Oscdimg. В командной строке введите: oscdimg -n -o -h -bC:\winpe_x86\etfsboot.com C:\winpe_x86\ISO C:\winpe_x86\winpe_x86.iso 7. пишем образ iso-диска на CD диск или USB(флэшку). так же смотрите Руководство пользователя среды предустановки Windows (Windows PE)для Windows7 (файл Winpe.chm). (C), chklst.ru

Как создать лог gmer

safety — Sat, 14 Apr 2012 08:03:41 +0000

1. Скачайте утилиту gmer с оф. сайта, отсюда (используйте всегда актуальную версию утилиты). 2. распаковать архив, запустить gmer.exe, 3. выполнить сканирование системы, как показано на рисунке, 4. после завершения сканирования добавить ссылку на лог в ваше сообщение.

Метод поиска руткитов в системе по файлу сверки в uVS

safety — Wed, 11 Apr 2012 11:44:07 +0000

Если есть возможность работы из под Live.CD(USB) (например, WinPe&uVS), то выполните следующую процедуру поиска: 1. в активной (предположительно зараженной системе) создайте файл сверки автозапуска, в режиме uVS - руткиты - создать файл сверки (1-2мин) Сохраните на флэшку, или в каталог на жестком диске. 2. Загрузитесь с Live CD (или USB) см здесь выполнить п.1-4 Выберите в окне start.exe вашу систему с каталога жесткого диска, загрузите uVS и выполните функцию "поиск скрытых и измененных объектов по файлу сверки. (возможно использовать любой другой Live.CD с возможностью запуска с него uVS) 3. после завершения этого действия сохраните (новый) полный образ автозапуска, и добавьте его на форум.

Как создать лог журнала обнаружения угроз

safety — Wed, 11 Apr 2012 11:40:18 +0000

Для детального анализа заражения системы бывает необходим лог журнала обнаруженных угроз. ESET NOD32

Чтобы перейти в расширенный режим, нужно щелкнуть расположенную в левом нижнем углу ссылку Переключатель расширенного режима (Toggle Advanced mode) или нажать клавиши CTRL+M.

Для нашего форума лог необходим в читабельном текстовом формате txt. (в xml - не нужен) Порядок действий: 1. Антивирус - служебные программы - файлы журнала 2. В списке журналы выбираем - обнаруженные угрозы 3. перемещаем курсор на записи журнала (если они есть) 4. правой кнопкой мыши вызываем контекстное меню, выбираем пункт "экспорт" 5. в диалоге сохранения файла устанавливаем тип файла txt 6. сохраняем файл, например threat.txt или угрозы.txt 7. помещаем данный файл в ваше сообщение на форум.

Как создать образ автозапуска в uVS (полная версия)

safety — Wed, 11 Apr 2012 11:32:25 +0000

Обратите внимание, что текст, выделенным синим шрифтом в данной инструкции (под спойлером), содержит рекомендации по работе с загрузочным диском WinPe&uVS, если Вы используете его для лечения системы от винлокеров или рекламных банеров, блокирующих доступ к рабочему столу. При лечении обычных заражений данные рекомендации следует пропустить. ----------- Скачайте архив с программой uVS с оф. сайта разработчика или со страницы, которую укажет вам специалист.

В случае заражения mbr, win-блокерами, рекламными баннерами, и при невозможности получить доступ к рабочему столу, или командной строке в нормальном и безопасном режиме, используйте загрузочный диск Winpe&uVS. URL загрузки диска будет указан вам специалистом.

Далее, необходимо распаковать_разархивировать архив с программой в отдельную папку, и

(в случае лечения системы от баннеров и блокеров, необходимо загруженный образ Winpe&uVS.iso на чистой системе записать на CD диск или флэшку с помощью, например, программы Ultraiso, далее, переместиться к зараженной и исследуемой системе, при загрузке системы войти в BIOS (F2, Del или др. клавиши), в меню BOOT временно установить приоритет загрузки системы с CD или USB в случае флэшки, вставить CD диск, или флэшку, сохранить измененные параметры BIOS, выйти из BIOS и перегрузить систему.)

1. запускаем стартовый файл start.exe, (или ту, программу, которую укажет вам хелпер), ( в случае лечения системы от винлокеров или баннеров, стартовый файл uVS автоматически стартует при загрузке WinPe.) 2. Пропускаем п.2, если исследуете активную систему. Она уже автоматически выбрана. . Используйте диалог выбора каталога Windows (нажать Enter и выбрать из дерева каталогов системную папку) в том случае, если исследуемая система неактивна и находится на присоединенном физическом диске или не основном логическом разделе, или если вы стартовали uVS с загрузочного диска. 3. выбираем пользователя: (текущий пользователь - если вы админ в исследуемой системе, или если вы загружаетесь с диска WinPe&uVS; LocalSystem – имеем максимальные права в системе, если доступен данный выбор, но при этом не будет доступа к сети; другой пользователь – если необходимо исследовать систему из под другой учетной записью.) После определения режима запуска загружается основной модуль программы для исследования вашей системы. Ожидаем завершения автоматических проверок списка автозапуска. 4. в главном меню программы выбираете пункт: файл - сохранить полный образ автозапуска, 5. указываем имя файла образа, например, производное от имени компьютера_текущей даты_текущего времени.txt, которое автоматически предлагает для данного файла программа uVS. /Например: 1-ПК_2011-07-19_11-53-45.txt/ При создании образа автозапуска из под WinPe&uVS будет автоматически установлен и запущен каталог цифровых подписей проверяемой системы. Если в вашей системе установлены программы Winrar или 7zip то автоматически файл образа автозапуска будет добавлен в архив с таким же именем и расширением rar или 7z. При этом размер файла образа в архиве уменьшается практически в 10раз и составляет примерно 200-300кб;

в случае сохранения образа автозапуска выбранной системы из под WinPe&uVS сохраните указанный файл на съемный диск, для последующей передачи специалстам.

6. ожидаем завершения операции сохранения, затем выходим из программы uVS (или сворачиваем временно окно программы и ожидаем скрипт лечения) 7. добавляем в окне файлового менеджера или проводнике созданный файл автозапуска в архив, если архив не был создан автоматически. 8. переходим на форум, прикрепляем созданный архив к сообщению в вашей теме. 9. ожидаем завершения анализа автозапуска специалистами, получение рекомендаций и скриптов лечения.

Следите за текущей версией uVS, на момент создания файла образа автозапуска желательно чтобы на Вашем компьютере (или на загрузочном диске WinPe&uVS) вы имели текущую версию программы uVS. Поскольку uVS постоянно развивается и автор программы добавляет новые скриптовые команды, которые не будут выполняться на старых версиях uVS.

(c), chklst.ru

Как записать загрузочный Live-USB из образа winPe&uVS.iso

safety — Wed, 11 Apr 2012 11:26:11 +0000

1. Вставить флэшку в USB порт 2. Открыть в программе Ultraiso образ iso, который вы ходите записать на usb-disk 3. Выбираем режим меню - Самозагрузка - записать образ Жесткого диска. Будьте внимательны, при записи информация на usb-диске будет полностью стерта той, что записана в образе iso в Disk Drive должен быть установлен USB-disk, файл образа - winpe&uVS.iso 4. Форматируете вначале usb-disk, затем записываете образ iso.

Как записать загрузочный Live-CD из образа winPe&uVS.iso

safety — Wed, 11 Apr 2012 11:23:08 +0000

Для записи используем программу UltraIso, для образов меньше чем 300Mb программа является бесплатной.

UltraISO — программа для Windows, основной функцией которой является создание, редактирование и конвертирование различных форматов CD и DVD-образов. Программа также позволяет эмулировать и записывать компакт-диски и DVD. Программа является платной, бесплатная версия не позволяет работать с образами размером более чем 300 Мб.

Как записать загрузочный CD из образа winPe&uVS.iso 1. Скачиваем программу отсюда 2. Устанавливаем (без регистрации) и запускаем программу 3. В меню - Инструменты - записать образ CD вызываем диалог записи образа CD 4. Выбираем образ iso, который вы хотите записать на CD, устанавливаем скорость записи, и далее 5. Записать.

Как избавиться от банеров, блокирующих доступ к раб. столу

safety — Wed, 11 Apr 2012 11:19:58 +0000

Для удаления sms-банеров, блокирующих доступ к рабочему столу Windows необходимо выполнить следующие действия: откройте тему в разделе обнаружение вредоносного кода и ложные срабатывания, с кратким описанием проблемы, так же - не прикреплять к теме больших рисунков с банерами, далее 1. На чистой системе скачайте образ загрузочного диска отсюда 2. На чистой системе запишите образ *.iso на CD-диск - образ или USB-диск 3. на компьютере с зараженной системой при начальной загрузке системы измените в настройках BIOS порядок загрузки с дисков, (приоритетным должен быть запуск с CD или USB) 4. загрузитесь с WinPE диска, обратите внимание, что при начальной загрузке системы с WinPE бывает необходимо нажатие клавиши, 5. uVS (universal Virus Sniffer - программа для создания образа автозапуска системы), добавленная в загрузочный диск стартует автоматически. (на рисунке стартовое меню uVS) 6. создайте с помощью uVS образ автозапуска, передайте нам на форум или запишите на файлообменники (http://rghost.ru, http://sendspace.com и др.) 7. ждите дальнейших рекомендаций от хелперов.

Как создать лог сканирования в Malwarebytes

safety — Wed, 11 Apr 2012 11:14:33 +0000

1. Скачайте программу Malwarebytes с официального сайта или по ссылке, указанной хелперами. https://ru.malwarebytes.com/mwb-download/thankyou/ При установке программы откажитесь от тестового_пробного периода установить только сканер, обновите базы и выполните рекомендуемое сканирование. Если вы используете free версию, в этом случае вам доступны режимы сканирования: полная проверка и выборочная проверка. После завершения сканирования, сохраните лог сканирования как файл (в формате txt) и добавьте в ваше сообщение на форум. Не закрывайте при этом программу дождитесь рекомендаций хелпера какие из найденных объектов при сканировании должны быть удалены.