ВАЖНО AntiRMS или отключаем удаленный доступ и контроль над пользователем

Тема в разделе "ВАЖНО:ПОМОЩЬ В ЛЕЧЕНИИ КОМПЬЮТЕРА", создана пользователем UserOK, 24 дек 2015.

↑ ↓
?

Был ли у Вас опыт борьбы с ПО для удаленного доступа?

  1. Да.

    75,0%
  2. Нет.

    12,5%
  3. А что такое "ПО для удаленного доступа".

    0 голосов
    0,0%
  4. Не уверен, что это было ПО для удаленного доступа,но на всякий случай переустановил систему.

    12,5%
  1. UserOK Уважаемый пользователь
    UserOK
    Ответить в чате

    Форумчанин

    Регистрация:
    04.11.2014
    Сообщения:
    221
    Симпатии:
    299
    Пол:
    Мужской
    Репа:
    +348 / 5 / -0
    Выкладывайте сюда методы обнаружения и борьбы с RMS, Rat, Dark comet, botnet и другими "скрытыми" сборками для удаленного управления и контроля.
     
    • Мне нравится Мне нравится x 3
  2. UserOK Уважаемый пользователь
    UserOK
    Ответить в чате

    Форумчанин

    Регистрация:
    04.11.2014
    Сообщения:
    221
    Симпатии:
    299
    Пол:
    Мужской
    Репа:
    +348 / 5 / -0
    Как известно любую проблему легче предупредить,чем лечить,поэтому сначала пару слов как не залететь попасть в неловкую ситуацию и не подхватить непрошенного гостя.
    1. Установите хороший антивирус или поставьте дополнительно фаервол.Следите за своевременным обновлением антивирусных баз.Не надейтесь на удачу.Даже опытные пользователи иногда ошибаются.
    2. Старайтесь качать любое ПО и информацию из проверенных и надежных источников.Обходите стороной такие файлообменники как RGhost,sendspace и некоторых облачных хранилищ т.к. на них нет проверки вредоносного и опасного ПО.Если же часто приходится качать с них, обязательно выполните пункт 1.
    3. Тщательно проверяйте всякие кейгены,патчи,кряки, и прочие взломщики легального софта.Нередко они бывают с "подарками"
    4. Не спешите открывать файлы подозрительного содержания. Например, документ с значком word размером в 3 Mb или более.Это может быть "склейка" (что это такое см.далее)."Склейка"- несколько файлов, объединенных в один, с целью скрытия,маскировки и незаметного запуска вредоносного ПО. Если возникли подозрения,посмотрите расширение файла . .Это можно сделать через файловый менеджер типа total commander. В колонке "Тип" будет расширение файла.Либо стандартными способами windows.Для win 7 это: "упорядочить--параметры папок и поиска--вид--снять галочку "скрывать расширения для зарегистрированных типов файлов"
    Не может быть документа или картинки с расширением *.exe QIP Shot - Screen 001. . Не спешите открывать файлы типа этого(если не включено отображение расширений) QIP Shot - Screen 003. так как включив отображение расширения файла вы увидите это QIP Shot - Screen 002. .
    5.Если приходится работать с потенциально опасным ПО,делайте это на виртуальной машине,желательно отключив общие папки и по возможности интернет соединение на ней.

     
    Последнее редактирование: 24 дек 2015
    • Мне нравится Мне нравится x 6
  3. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.800
    Симпатии:
    425
    Пол:
    Мужской
    Репа:
    +957 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Если некриптованая то всё очень просто, достаточно любым сканером, например из этой темы:Антивирусные сканеры

    В принципе должны обнаруживать на дефолте, но можно на всякий случай посмотреть чтобы были активированы галочки: "Обнаруживать потенциально-опасное ПО", "Обнаруживать нежелательное ПО" !

    Если-же криптованая, то можно посмотреть автозагрузку и службы на предмет подозрительных элементов:

    Пуск->Выполнить и ввести "msconfig", далее "Автозагрузка" и смотрим есть-ли подозрительные программы:

    Пример у меня:

    upload_2015-12-24_12-27-50.

    Далее в службах можно включить "Не отображать службы Майкрософт" и всё как на ладони:

    upload_2015-12-24_12-29-1.

    Редко бывает там, но рекомендую также проверить "Планировщик задач", там может-быть "Отложенный запуск" вирусов !

    В общем-то этого и достаточно, что-бы убедится есть-ли троян или нет ! :)
     
    • Мне нравится Мне нравится x 5
  4. MIXA066 Уважаемый пользователь
    MIXA066
    Ответить в чате

    Форумчанин

    Регистрация:
    18.05.2014
    Сообщения:
    380
    Симпатии:
    165
    Пол:
    Мужской
    Репа:
    +176 / 1 / -0
    Firewall лично юзаю авг интернет секьюрити :3
     
  5. Khorne Уважаемый пользователь
    Khorne
    Ответить в чате

    Форумчанин

    Регистрация:
    14.12.2014
    Сообщения:
    266
    Симпатии:
    267
    Пол:
    Мужской
    Репа:
    +293 / 6 / -7
    У некоторых юзеров в автозагрузке чёрт ногу сломит (такую винду проще сжечь вместе с хозяином).Да и дефолтный "msconfig" мягко говоря не очень информативный и удобный инструмент.Вот AnvirTaskManager дельная тулза,информативная,малоресурсоёмкая,ну и за автозагрузкой на автомате следить может.
     
    • Мне нравится Мне нравится x 3
    • Смешно Смешно x 1
  6. MIXA066 Уважаемый пользователь
    MIXA066
    Ответить в чате

    Форумчанин

    Регистрация:
    18.05.2014
    Сообщения:
    380
    Симпатии:
    165
    Пол:
    Мужской
    Репа:
    +176 / 1 / -0
    Помню ко мне в комету попал человек с анвиром: прото сунул портейбл версию криптованой кометы в папку автозагрузки ярлыком. Анвир ничего не заподозрил, потом назвал ярлык AnvirTaskManager и все :)
     
    • Мне нравится Мне нравится x 2
  7. Khorne Уважаемый пользователь
    Khorne
    Ответить в чате

    Форумчанин

    Регистрация:
    14.12.2014
    Сообщения:
    266
    Симпатии:
    267
    Пол:
    Мужской
    Репа:
    +293 / 6 / -7
    Бля...понятно,что нет стопроцентой защиты,но анвир куда лучше стандартной утилиты.
    А как ты сунул портейбл версию?Изначально был установлен удалённый доступ?
     
  8. MIXA066 Уважаемый пользователь
    MIXA066
    Ответить в чате

    Форумчанин

    Регистрация:
    18.05.2014
    Сообщения:
    380
    Симпатии:
    165
    Пол:
    Мужской
    Репа:
    +176 / 1 / -0
    Ну да я тогда был онлайн сидел в комете смотрел юзеров вижу новый появляется смотрю демку у него анвир предупреждение выдает он блокирует запись в автозапуск (жмет кнопку заблокировать). Ну и все я прото перекинул в Windows вроде портейбл, потом ярлык сунул в папку автозагрузки)
     
    • Мне нравится Мне нравится x 1
  9. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.800
    Симпатии:
    425
    Пол:
    Мужской
    Репа:
    +957 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    msconfig это мониторит ! ;)
     
  10. MIXA066 Уважаемый пользователь
    MIXA066
    Ответить в чате

    Форумчанин

    Регистрация:
    18.05.2014
    Сообщения:
    380
    Симпатии:
    165
    Пол:
    Мужской
    Репа:
    +176 / 1 / -0
    Ага еще через меню пуск можно посмотреть) Ну я иконку Анвира вроде поставил так что норм :3
     

Поделиться этой страницей