форум webanet

Антивирусы и Firewall

webanet — Sat, 26 Jan 2019 03:29:40 GMT

Форум: Безопасность
Автор темы: webanet
Автор последнего сообщения: Newly_made10
Количество ответов: 3

Браузер в песочнице Sandboxie

worldname — Thu, 03 May 2018 04:51:12 GMT

Sandboxie v.3.56

Sandboxie это та программа, которая поможет вам чувствовать себя в безопасности при путешествиях в сети интернет. Это мультиязычная программа с присутствием русского языка

В основном программа используется для запуска браузера. С помощью Sandboxie можно запустить браузер в безопасной изолированной среде с ограниченными правами. Это обеспечивает полную безопасность и защищает ваш браузер от всяких побочных воздействий. Даже если вы попадёте на заражённый сайт или перейдёте по зараженной ссылке, то ваша система не повергнется заражению

Очень удобно использовать программу для настроек браузера, тестированию различных дополнений, расширений и плагинов. Удобно тем, что даже если расширение или дополнение вам не подойдет, не понравится или будет не корректно работать, можно просто сбросить виртуальную среду песочницы и вы тут же получите свой браузер в исходном состоянии.

Sandboxie кроме жёсткого сброса всех изменений имеет очень гибкие настройки сохранения. Если вы скачали файлы и уверены в том, что они пригодны и не заражены, то вы можете их быстро восстановить в любое место жёсткого диска

В программе можно запускать любые программы и приложения

Скачать Sandboxie v.3.56 с сайта производителя размер: 1.89 MB

Описание программы и настроек на русском языке /publ/21-1-0-412

Описание тонкостей работы с Sandboxie на русском языке /publ/21-1-0-413

Заражение рекламными программами Adware. Диагностика

webanet — Tue, 13 Jun 2017 16:02:53 GMT

В последнее время катастрофически участились случаи заражения различными типами Adware. Для начала рассмотрим наиболее распространенные симптомы заражения Adware

Симптомы заражения рекламными программами Adware

1) Сторонние рекламные баннеры на страницах сайтов. То есть например на главной Яндекса, Гугла или вашей любимой социальной сети появляются довольно странные баннеры, которых раньше там не было. Тематика подобных баннеров может быть довольно сомнительной вплоть до откровенного порно

2) Подмена привычных рекламных баннеров. Это в первую очередь заметят владельцы сайтов, которые самостоятельно устанавливают код партнерок на свои сайты, следят за отображением рекламы в них. Обычно вместо привычных тизеров партнерки пользователь начинает видеть сторонние баннеры различных размеров (иногда не вписывающихся в дизайн) или рекламные блоки, которые перекрывают партнерки

3) Подмена ссылок на страницах сайта. Такую подмену опять же могут заметить владельцы сайтов, которые знают какие ссылки у них где прописаны и куда ведут. В случае с подменой даже внутренние ссылки ведут на страницы совершенно незнакомых сайтов, чаще эти ссылки ведут на страницы с рекламой

4) Скрытая подмена ярлыков браузеров на рабочем столе. Стандартный ярлык браузера подменяется, при запуске такого ярлыка открывается браузер, но стартовая страница изменена или идет сразу перенаправление на сторонний рекламный сайт. Или при работе в браузере на любых сайтах начинают периодически всплывать различные рекламные окна. Также можно заметить незнакомый туллбар и прочие сторонние функции, которые не типичны для вашего браузера

5) Стороннее программное обеспечение. Как правило появляются ярлыки различных программ защиты. Сканер от того же Adware или Malware. Любые сканеры проверки на вирусы или антивирусы. Программы поиска на определенных сайтах. Ярлыки программ рабочие. Все подобные программы прописаны в автозапуск и грузятся вместе с системой

6) Строка поиска в браузере может быть подменена. Например стандартно стоит поиск от Google, Яндекса или Bing. Вызов данных поисковых систем может быть невозможен. Чаще подменяется на Китайский поисковик Baidu. Вместе с подменой поисковой строки может быть видоизменена адресная строка или титл открытой страницы

7) Сторонние ярлыки на рабочем столе. Чаще всего появляются ярлыки различных онлайн игр или онлайн кинотеатров. Иногда это просто ярлыки, при клике на которые ничего не происходит. А удаление помогает только до следующего запуска/перезапуска компьютера

8) При открытии любой страницы может открываться или ещё одна страница или вкладка или всплывающее окно

9) Тормоза. Наиболее частым признаком заражения могут стать тормоза как компьютера в целом (медленно открываются папки, запускаются программы и т.д) Идет повышенный расход оперативной памяти, иногда полная загрузка процессора даже в простое (не открыта ни одна программа)

10) В файле hosts могут появится сторонние записи

11) Сторонние расширения в браузере или расширения, которые сами по совместительству являются рекламными программами Adware

12) Сторонние туллбары в браузере

Конечно же - это не все симптомы заражения Adware, но перечисленные являются наиболее частыми

Утиллиты для диагностики и лечения Adware

Рассмотрим только две утиллиты в виду их простоты в применения. В принципе их только нужно запустить и просканировать.

FixerBro

Не требует установки на компьютер. Можно запустить даже с флешки. Окно программы выглядит так

Жмете на кнопку Проверить и ждете результатов сканирования. Запускать программу нужно только от имени администратора. Программа проверит компьютер на наличие подмененных и сторонних ярлыков на рабочем столе. Если вы видите что программа что-то нашла и примерно понимаете что это, то жмите на Исправить. Вот и все. В легких случаях заражения этого будет вполне достаточно

Скачать FixerBro

AdwCleaner

Не требует установки на компьютер. Можно запустить даже с флешки. Окно программы выглядит так

Жмете на кнопку Сканировать и ждете результатов сканирования. Запускать программу нужно только от имени администратора. Программа проверит компьютер на наличие вредоносного Adware ПО и его компонентов. Подробная инструкции по использованию программы тут Если вы неискушенный пользователь компьютера, то вам следует обратиться на этот сайт с отчетом о сканировании. Если вы понимаете отчет программы, то можете жать на кнопку очистить. В легких случаях заражения этого будет достаточно. В тяжелых надо будет поработать руками. Пути программа дает. Ваша задача получить в итоге чистый лист сканирования.

Скачать AdwCleaner

P.S: Как заражаются Adware? На сайте появилась сторонняя реклама и звуки?

Закачка cmc3Body.html Comodo CIS Premium

webanet — Sun, 06 Dec 2015 16:49:57 GMT

Comodo Internet Security Premium Является бесплатным продуктом с большой функциональностью, гибкими настройками и неплохими показателями в защите. Но как и любой бесплатный продукт имеет свои НО. На стадии установки ваша задача отключить все лишнее, то есть вовремя снимать галочки с таких пунктов, как предложение браузера по умолчанию, изменение поисковой системы, отправка данных на сервер и многое другое. В русской версии могут попросить вас согласиться поставить Яндекс браузер, Яндекс бар и прочий мусор. Модуль онлайн поддержки тоже можно не ставить. Но даже, если вы поснимали все галки во время установки, вас могут ожидать сюрпризы во время эксплуатации. Поэтому Comodo Internet Security Premium важно правильно настроить, чтобы ничего не беспокоило в процессе.

Закачка постороннего файла cmc3Body.html что это такое?

После очередного обновления программы, ваш Comodo может начать вести себя странно, а именно в процессе работы вас могут начать беспокоить запросы браузера по умолчанию на закачку стороннего HTML файла на компьютер. Согласились ли вы с закачкой или отклонили её, в любом случае на вашем компьютере может появится сторонний cmc3Body.html файл. Находится он всегда в одном месте.

Путь к файлу Диск С - ProgramData - Comodo - Cis - cmc3Body.html

Выглядит это так

Все попытки удалить файл заканчиваются тем, что при новом запуске компьютера или после перезагрузки, снова появляется предложение закачать файл и злополучный файл снова появляется по указанному адресу и так до бесконечности.
Так что же это такое? Вирус? Вредоносная реклама? Нас захватили инопланетяне?
Ответ можно узнать самостоятельно, если перейти по ссылке cmc3Body.html. Там будет чистенький листочек в картинкой в левом углу. Код странички чистый, вредоносного нет там ничего. Иногда это картинка - рекламка стандартного браузера Comodo Dragon, иногда просто рекламка каких-либо товаров или услуг. Да! Это такой тип рекламы от бесплатного антивирусного продукта от Comodo. Бесплатные программы часто страдают рекламными вставками и Comodo не исключение

Как отключить постоянную закачку cmc3Body.html

На информере Comodo нужно кликнуть и вызвать окно Задачи - Расширенные задачи - Расширенные настройки - Интерфейс. За закачку файла cmc3Body.html отвечает настройка Показывать извещения от Центра сообщений Comodo С этого пункта стоит снять галку, чтобы избавиться от рекламы. Так же стоит снять галку с Приветствия и Улучшить. Сделайте настройки как показано на картинке

После сохранения настроек вас перестанет доставать закачка файла с картинкой-рекламой и файл cmc3Body.html можно будет удалить и он больше не появится

Вирус на сайте. Поисковая защита

worldname — Wed, 11 Mar 2015 10:09:17 GMT

Поисковики защищают выдачу помечая зараженные сайты

Зараженные вредоносным или агрессивным кодом сайты в поисковой выдаче Google и Яндекс стали метить

Есть два варианта меток

Одна метка прямо в поисковой выдаче под титлом зараженного сайта ставиться предупреждение
Этот сайт может нанести вред вашему компьютеру
Другая метка - это предупреждение браузера о вредоносном сайте, при попытке перейти по зараженной ссылке
Mozilla Firefox и Google Chrome работают с базами Google, а Опера работает с базами Яндекса
Конечно же информативней в этом смысле Гугл. В табличках-предупреждениях браузеров выводится полноая информация по блокировке. Во всяком случае связанные хосты, которые проходят по блек-листам Гугла или тип вредоносного кода из таблички-блокировки можно узнать. Так же проставляется число последней проверки сайта роботом, что очень важно
В вебмастере Гугла можно подробно узнать о вредоносном коде во вкладке диагностика - вредоносные программы

С Яндексом сложнее, табличка - предупреждение не содержит никакой инфы, кроме самого предупреждения о блокировке, да и в вебмастере во вкладке безопасность лишь список зараженных страниц. Но зато всегда можно написать Платонам за разъяснениями, но это не очень хорошо, так как уходит драгоценное время

За что блокируют поисковики

У Яндекса есть два вида блокировок:

1) Собственно сам фильтр: "Ой! Вирус!" Обычно блокируются сайты, на борту которых обнаружен или вредоносный или агрессивный код. С первым ясно, а вот у второго очень много вариаций. Обычно это различные модификации кода, заставляющие браузер пользователя подгружать в фоновом режиме различные страницы. Так сюда входят все виды скриптовых перенарпавлений
2) Мошеннический сайт - этим фильтром Яндекс метит сайты, которые могут даже не содержать вредоносный код. Но могут подгружать слишком много скриптов с инородными адресами. Обилие ифреймов на странице различной этиологии тоже могут повлечь наложение фильтра. Большое количество однопиксельных баннеров, обилие скрытых объектов display*:none и хиденов, присутствие множества закодированных участков кода и многократный повтор одного и того же кода на странице
3) Оба вида фильтров могут быть наложены на сайт из-за присутствия в коде даже одной единственной ссылки или ссылки на картинку с сайта, который уже признан Яндексом как опасный
У Google всего один тип блокировки - вредоносный сайт
Причины блокировки те же самые

Важно знать!
Поисковики не только читают Яваскрипт, но и распаковывают его и даже декодируют некоторые типы кодировок. Если робот не справился или не понял код, то может пометить его как обфусцированный (ошибка обработки). Наверное не стоит отдельно пояснять, что любой обфусцированный код пометиться роботом как вредоносный или потенциально опасный по умолчанию

Последствия блокировок защиты поисковиков

Этап первый Обнаружение
Сразу говорю, алгоритмов оценки степени опасности вредоносного кода не знает никто. Но по последствиям можно впоследствии определить эту степень
Главная остается на месте, по некоторым популярным запросам сайт может упасть вниз. Если осталась в выдаче только главная, а все остальное слетело или очень сильно опустилось на 100+, то степень опасности довольно высокая и при втором обходе проверке сайт может выпасть сразу. В легких случаях сайт может провисеть в выдаче с некоторой просадкой позиций все три круга обхода
Этап второй Проверки
Сайты попавшие под фильтр безопасности подвергаются проверкам. Обычно это три круга обхода роботом.
Если вы не удалили вредоносный код сразу после обнаружения, то примерно через 7-10 робот придет с проверкой, если код на месте, то сайт опускается ещё ниже в выдаче (опять же степень понижения зависит от степени опасности), второй круг проверки и обнаружения кода опустит сайт ещё ниже, может остаться только главная, робот придет уже позже 2-4 недели за которые сайт может ещё просесть. Третья проверка - в легких случаях может остаться только главная, в других случаях полный вылет и робот может больше не появиться, так как с вашим сайтом будет уже покончено в поиске
Этап третий Блокировка
По сути это клиническая смерть сайта для поисковика. Добавить заблокированный адрес в поиск уже невозможно. Даже если сменить домен, то такой сайт все равно будет сложно поднять

Как избежать. Или наименьшие потери

Никто не застрахован, но! Избегайте любых инородных адресов в коде сайта. Не погружайте скрипты со сторонними адресами, тоже касается графики. Бойтесь ифреймов! Разборчивость в партнерках и рекламе у вас должна быть на генном уровне. Баннеры и друзья тоже должны отбираться с особой тщательностью, так как помним, что одна ссылка в коде с сайта под фильтром и наш сайт летит следом. Перебирайте скрипты регулярно, следите за датами изменения файлов. Постоянно проверяйте свой сайт в поисковике. В общем бдите

Если на сайте появился вирус (подробнее об обнаружении вирусов на сайте, о диагностике, о том как появляются вирусы и как предотвратить вы можете узнать тут Если на сайте появился вирус), то помните - чем быстрее вы очиститесь полностью, тем меньше последствий
Если вы очистились после первого или второго круга проверки, то не стоит ждать круга третьего (похоронного), после очистки в вебмастере Яндекса можно написать Платонам
В Google можно подать запрос на пересмотр сайта Как подать
запрос на пересмотр сайта
Подробней о Диагностике безопасности сайта от Google

Порно-баннеры блокираторы. WinLocker. Лечение

worldname — Wed, 11 Mar 2015 10:07:03 GMT

Что делать, если у вас появился баннер - блокиратор на рабочем столе

Естественно начнем с того, чего делать не стоит. Конечно же не стоит отправлять смс или переводить деньги на указанные кошельки

Самые простые способы избавиться от баннера - блокиратора - это подбор кода разблокировки с помощью специализированных онлайн сервисов

Если у вас простой блокиратор, который не блокирует полностью систему, и вы можете запускать программы и выходить в интернет, то выйти в интернет стоит, так как лаборатория Касперского и Доктора Веба разработали бесплатные разблокировщики

Онлайн разблокировщик от Dr.Webhttp://www.drweb.com/unlocker/index/
Очень удобный ресурс, который способен вам помочь в подборе кода разблокировки
Есть галерея скриншотов с различными видами окон-блокировщиков. Под каждым скриншотом зловредного окна есть название троянца. Код можно подобрать и по названию троянца или путем подстановки номера и текста блокировки

Онлайн разблокировщик от лаборатории Касперского http://support.kaspersky.ru/viruses/deblocker
Использование деблокера очень простое. Вам нужно ввести или номер телефона или номер счета
На странице есть ссылка на подробную инструкцию использования деблокера

Если вы подобрали код разблокировки или с помощью первого или с помощью второго сервиса, вам все равно придется просканировать компьютер и удалить троянца. Это можно сделать или бесплатной утилитой от Dr.Web Dr.Web CureIt!® или бесплатной утилитой от лаборатории Касперского Kaspersky Virus Removal Tool 2011

Так же появилась довольно эффективная утилита AntiWinLocker сайт программы страница закачки http://www.antiwinlocker.ru/download.html

Баннеры блокираторы на рабочем столе

worldname — Wed, 11 Mar 2015 10:06:24 GMT

Признаки заражения WinLocker - ом

При запуске системы вместо или на рабочем столе всплывает табличка или картинка порнографического характера со скромной просьбой отправить смс для расблокировки системы.

Разновидностей окошек и текстов очень много, но смысл многих состоит в том, чтобы вытянуть у вас отправку смс на определенный номер для получения кода расблокировки системы, так же появились окошки - попрошайки с требованием перевести деньки на определенные электронные кошельки

Бывает, что окошко - попрошайка полностью блокирует всю деятельность на системе, бывает что появляется при запуске системы, при запуске браузера и так далее.

Понятно, что нормальная работа системы или парализована полностью или нарушена

Подхватить WinLocker можно скачав и запустив зараженный файл, так же можно заразиться через просмотр веб-страниц содержащих в себе вредоносный код, который в свою очередь используя уязвимости браузера. Переход по ссылке или просмотр картинки тоже может закончиться заражением WinLocker-ом

Самыми опасными и трудными к удалению являются WinLocker-ы которые полностью блокируют любые действия пользователя, кроме мыши и набора символов с клавиатуры. Последнее оставляется для якобы ввода кода расблокировки
Борьба с такими WinLocker-ами затруднена тем, что иногда они блокируют запуск в безопасном режиме

Обычные WinLocker-ы - это кошки-попрошайки которые запускаются вместе с системой и висят на рабочем столе весь сеанс, при этом загораживают большую часть рабочего пространства. Подобные окошки могут быть с различными таймерами и всплывающими предложениями

Самыми распространёнными WinLocker-ами являются те, которые запускаются вместе с браузером, естественно мешают его работе, но на работе системы они практически не сказываются. То есть в самой системе ничего не блокируется, ни диспетчер задач, ни реестр ни запуск в безопасном режиме. Последний тип блокираторов наиболее безобиден

Есть тип блокировщиков, которые блокируют доступ к каким либо интернет - ресурсам

Лечение от вирусов и диагностика

worldname — Wed, 11 Mar 2015 10:06:08 GMT

Если на ваш компьютер попал вирус и локальная антивирусная защита не справляется с проблемами, вы можете воспользоваться бесплатными утилитами.

Бесплатные утилиты можно использовать для профилактической диагностики, а так же для лечения компьютера от вирусов

AVZ - один из лучших бесплатных продуктов с огромнейшим функционалом, с возможностью исследования процессов, автозагрузки, а так же для поиска вредоносных объектов в системе. Подробно об AVZ

Dr.Web CureIt! - одна из самых популярных и эффективных в своем роде антивирусных утилит от Доктора Веба. Бесплатна и не требует установки в систему. Всегда самые свежие сигнатурные базы! Обладает свойствами не только обнаружения, но и лечения или удаления зараженных объектов. При сканировании автоматически восстанавливает файл Hosts создает подробный отчет.
При сканировании лучше отключить действующий антивирус на компьютере.
Скачать Dr.Web CureIt! бесплатно на странице производителя

Kaspersky Virus Removal Tool - отличное бесплатное решение для лечения и диагностики компьютеров, где установлена антивирусная защита не от Касперского. Сканирует систему, обнаруживает заражение и лечит. На компьютерах с установленной и АКТУАЛЬНОЙ защитой от Касперского обычно не используется, исключением могут стать случаи неактуальных баз (то есть антивирус вовремя не обновлялся). При сканировании и лечении текущая антивирусная защита должна быть отключена
Скачать Kaspersky Virus Removal Tool бесплатно на странице производителя

HiJackThis - одна из самых мощных утилит для диагностики компьютера на предмет обнаружения и лечения вредоносных объектов. Бесплатна, выкуплена Trend Micro. Инструкция по работе с программой находится тут
Онлайн расшифровка и чтение логов анализатор Вставляете полученные программой логи в окно или загружаете с компьютера файл с логами и жмете на анализ. Утилита рассчитана на более продвинутых пользователей
Скачать HiJackThis бесплатно

GMER - бесплатная утилита для поиска и обнаружения скрытых процессов и замаскированных записей в реестре на компьютере. Эффективна для поиска и обнаружения руткитов Сканирует систему, обнаруженные скрытые процессы и записи в реестре помечает в списке красным цветом. Так же есть возможность мониторить загрузку драйверов и библиотек. Рассчитана на продвинутых пользователей. Подробнее об утилите и скачать GMER 1.0.15.15641

Создание темы с ифремом от youtube

webanet — Wed, 11 Mar 2015 10:05:41 GMT

Тест создания темы с ифремом от ютуба

Адрес ролика на ютубе http://youtu.be/X_Jc0gHri00

Скриншот процесса копирования кода с ютуба

Сам код с ютуба, который вызвал реакцию сервиса

Код

Тест проверка на невменяемость сервиса 2ip.ru

webanet — Sat, 23 Mar 2013 18:06:27 GMT

Проверяем на работоспособность онлайн сервис проверки сайта на вирусы 2ip.ru

Эксперимент проводится в два этапа. Создаем тему с простым текстом и проверяем на сервисе. Далее создаем тему с текстом и ифремом от ютуба и проверяем.

Создание темы. проверка адреса с пустой темой и текстом Адрес темы видно на скрине /forum/25-325-1

WinLocker. Лечение

worldname — Tue, 16 Aug 2011 20:43:31 GMT

Локальные способы лечения WinLocker-ов

Если система не полностью заблокирована и вы можете запускать приложения, вызывать диспетчер задач и загружаться в безопасном режиме

В таких случаях нужно перезагрузиться в безопасный режим и попытаться запустить сканирование Dr.Web CureIt или Kaspersky Virus Removal Tool 2011

Так же можно изучить все процессы с помощью Process Explorer 15.01 найти все подозрительные процессы и пути к активаторам и с помощью программы деактивировать и удалить. Этот способ может не помочь в удалении активаторов, но сильно поможет в исследовании. Потом можно перезагрузиться в безопасный режим и уже вручную удалить вредоносные программы

Если система полностью заблокирована, то запуск с LiveCD сканирование и лечение с помощью антивирусных утилит может быть эффективным

Если система полностью заблокирована и заблокирован запуск в простом безопасном режиме, то можно попробовать запустить безопасный режим с поддержкой командной строки. При успешной загрузке в безопасном режиме с поддержкой командной строки нужно с помощью команды regedit войти в редактор реестра и проверить значения следующих строк:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - Shell - значение explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - Userinit - значение C:\WINDOWS\system32\userinit.exe, (запятая должна быть)

Так мы проверим параметры запуска системы на инородные записи. Всё что лишнее или отличное от того что тут есть - нужно или удалить или перебить на нормальные значения
Также нужно проверить автозапуск
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run посмотреть список ключей программ которые стоят в автозапуске и все лишнее удалить

Если ваш блокиратор блокирует только некоторые ресурсы в интернет, то вам стоит прочитать статью Hosts файл безопасность
С правами администратора вам нужно пройти в
буква системного диска:\WINDOWS\system32\drivers\etc\hosts
и проверить там значение. По умолчанию в файле хостс должна быть только одна запись
127.0.0.1 localhost
если вы не вносили правки в этот файл, то всё лишнее нужно удалить
Обязательно удалить все временные файлы интернета, куки. Кеш должен быть сброшен