Як бути впевненим, що у вас немає вірусу, коли антивірусні сканери не виявляють нічого шкідливого? (Windows 7)


16

Нещодавно я витратив багато годин на усунення ноутбука, який не міг підключитися до Інтернету. Ноутбук не проявляв жодної іншої неприродної поведінки, і тому перші мої думки полягали в тому, щоб спробувати підключитися до інших мереж, спробувати новий NIC і т.д. ... Питання, яке я опублікував, можна знайти тут більш детально. Одна з перших речей, яку я зробив, - перевірити наявність вірусів за допомогою MalwareBytes, eSet та Panda Cloud Antivirus ... Усі 3 сканування проводилися окремо і незалежно один від одного, і вірусу не було знайдено. Потім я продовжував витрачати годину за годиною на усунення несправностей, і врешті-решт я просто відвіз комп’ютер у ремонтну майстерню, де було виявлено, що є вірус.

Моє запитання не суб'єктивне, я не запитую, яке найкраще антивірусне програмне забезпечення використовувати. Я запитую, як я можу бути впевнений, що у мене немає вірусів, коли популярні та загалом ефективні антивірусні сканування не виявляють абсолютно нічого?

У минулому моїм розпорядженням було б переглядати список запущених процесів і запуску програм, а також використовувати онлайн-ресурси, щоб спробувати знайти щось шкідливе. Ця рутина здавалася мені відносно нерозумною перед усіма цими антивірусними програмами, і я думав, що буде ефективніше запускати сканування, ніж самостійно шукати вручну.

Очевидно, що ІТ-фірми мають якийсь ефективний метод ідентифікації вірусів, і я сумніваюся, що ці компанії просто запускають якийсь сканер вірусів. Зрозуміло, що досвід змусив би мене визначити власну проблему як вірус, але я відчуваю, що існують усілякі способи виявлення невиявленого вірусу, тому я не хочу покладатися лише на досвід.

Редагувати:

Я мушу трохи уточнити це. Мені не обов’язково шукати якийсь "кінцевий" контрольний список дій, щоб зробити ідентифікацію вірусів, але явно існують способи їх виявлення, коли наші звичайні антивірусні сканування провалюються, і мені цікаво, які можуть бути деякі з цих підходів.


"Я думав, що буде ефективніше запускати сканування, ніж вручну дивитися самостійно". => Повністю неправильна людина ( з достатньою кількістю досвіду та хорошої підготовки ) - набагато ефективніша система виявлення / видалення вірусів, ніж будь-яке програмне рішення сьогодні. Програмне забезпечення не може перемогти евристичних сканів IT-осіб.
Сампо Саррала - codidact.org

1
Якщо ви ставите під сумнів безпеку системи, єдине реальне рішення - це форматування системи. Що було виявлено вірусів, ці комп’ютерні майстерні з ремонту комп’ютерів мають цю неприємну звичку знаходити речі, яких насправді не існує. Опублікуйте файл журналу, який підтвердив, що у вас є вірус, якщо він не може цього доставити, я б просив повернути вам гроші. Якщо вони стверджують, що вони це знімають, попросіть повернути гроші, бо це означає, що вони насправді нічого не знайшли.
Рамхаунд

Що стосується антивірусного програмного забезпечення, ви (певною мірою) отримуєте те, за що платите. З трьох перерахованих вами пакетів, лише eSet, мабуть, є повністю комерційним AV-продуктом, і якщо ви використовували "безкоштовну пробну версію", ви, ймовірно, отримали скалічену версію. (У мене складається враження, що у вас на ноутбуці не було жодного AV-продукту, і ви намагалися закрити сільськогосподарський портал лише після того, як великі рогатої худоби.)
Даніель Р Хікс

Спробуйте ComboFix - це гарний детектор шкідливих програм.
avirk

Чи випадково в ньому було Mcafee? Я витратив 4 години на усунення подібної проблеми, і виявилося, що Mcafee вислав поганий патч, який унеможливив мережу.
Філіп Р.

Відповіді:


13

Жоден антивірусний пакет не ідеальний. Я бачив віруси, які я надсилаю на http://virusscan.jotti.org/en, і лише 2 або 3 пакети їх виявляють. У мене також був вірус, який, як повідомлялося, чистий для всіх.

Отже, якщо мені потрібно чистити / сканувати машину на наявність вірусу, це деякі з речей, які я роблю.

Попередня перевірка

Перевірте та, можливо, видаліть файли в папці temp, а також тимчасові Інтернет-файли. Якщо файлів десять тисяч або більше, їх видалення може значно скоротити час, необхідний для повного сканування. Однак для цього можливо видалити вірус, що зберігається в цих місцях, перш ніж його можна буде ідентифікувати.

1 етап

Завантажте чистий CD / DVD, наприклад, компакт-диск Bart або спеціальний компакт-диск AntiVirus

  • Запустіть сканування декількома різними антивірусними, анти-шкідливими програмами та програмами rootkit
  • Налаштуйте Провідник для показу прихованих файлів і папок та пошуку файлів, які нещодавно додані до папок кореневих файлів, Windows, Windows \ System32 та Програмних файлів. Також шукайте в цих місцях приховані файли та / або папки. Наявність таких файлів не обов'язково означає проблему, але я зазвичай намагаюся визначити їх, щоб переконатися, що вони є законними)

2 етап

Завантажте в операційній системі нормально

  • Запустіть сканування декількома різними антивірусними, анти-шкідливими програмами та програмами rootkit
  • Запускайте такі програми, як Autoruns і Hijackthis, які показують все, що запускається автоматично, або речі, які зачепляються у Windows (наприклад, аддони до Windows). Жодна з цих програм не намагається визначити, що добре, а що таке погано, але натомість вони дають вам інформацію, і ви вирішуєте, чи є ці записи надійними.
  • Запустіть TaskManager або Process Explorer, щоб побачити, які процеси виконуються.
  • Подивіться в додавання / видалення програм і подивіться, які програми перевстановлені та видаліть непотрібні. Не хочеться згадувати жодних імен, але є деякі панелі інструментів, ігри в покер та деякі програми обміну файлами, які, як видається, завжди викликають програми, і часто користувач / власник комп'ютера навмисно їх не встановлював. (Наприклад, панелі інструментів, які постачаються в комплекті з іншими програмами)

Етап 3 (час, що дозволяє)

  • Перезавантажте вікна та підключіться до Інтернету, залиште на деякий час, а потім повторіть Етап 1, щоб переконатися, що машина все ще чиста.

Етап 4

  • Тримайте пальці схрещеними та / або моліться, щоб машина була чистою.

Я даю вам відповідь, тому що ви надали тут хороший розпорядок, який, на мою думку, був би дуже ефективним. Я пройду ці кроки наступного разу, коли наткнуся на невиявлений вірус, перш ніж вдаватись до вбивства / переформатування.
JonathonG

У мене є чисте зображення (із програмами та оновленнями), яке я відновлюю щороку або близько того, навіть якщо щось підлість знайде свій шлях до моєї системи, воно все-таки зминеться з часом.
Остін 'Небезпека' Повноваження

5

Як бути впевненим, у вас немає вірусу, коли антивірусні сканери нічого не знаходять

Ви не можете.

Однак якщо ви хочете бути впевнені, що вірус не викликає проблем з доступом до Інтернету, просто завантажте його з живого CD або USB. Якщо ви не можете отримати доступ до мережі Internet, у вас може виникнути проблема з обладнанням. Переважно один, створений за іншою та чистою системою.


Я знаю, що ви не можете бути впевнені на 100%, але повинні бути кращі способи, ніж ТІЛЬКИ що працюють антивірусні сканери з основним потоком, які ніколи не здаються на 100% ефективними для мене. Що стосується вашої пропозиції, я, як правило, завантажуюся в альтернативну ОС через чисті портативні носії інформації, як правило, Ubuntu. У цьому конкретному випадку я цього не мав як варіант. Крім того, якщо чиста ОС успішно отримує доступ до Інтернету, це говорить мені лише про те, що я можу розраховувати на проблему з моєю звичайною ОС / файлами / драйверами, не обов'язково як я можу знайти цю проблему (чи це вірус чи ні.)
JonathonG

@JonathonG: Я не поділяю ваше переконання. ІТ-фірми використовують комерційні AV. Єдиними іншими методами є контрольні суми, виготовлені з використанням чистого живого компакт-диска, порівняно щодня (скажімо) проти контрольних сум, що зберігаються на носіях, які ніколи не підключені до вразливих систем, окрім випадків завантаження з живого CD. Ось стара, але цікава стаття, яка не допоможе безпосередньо :-)
RedGrittyBrick

Дякую. Я розумію, що "комерційні AV" рішення будуть відрізнятися від чогось, наприклад, безкоштовного сканування eSet. Однак мені все одно цікаво, чому так, що в 3 окремих повністю оновлених вірусних сканерах не вдалося знайти навіть жодного шкідливого файлу, і сканер вірусів IT компанії знайшов це без проблем.
JonathonG

@JonathonG: Ми можемо лише міркувати: Можливо, вони запустили інший AV та пощастило. Можливо, вони налаштували AV для проведення найжорсткіших перевірок (а отже, найбільш трудомістких та процесорних тестів, яких звичайні користувачі не терплять).
RedGrittyBrick

0

Я не аналітик зловмисних програм, але я поділюся з вами своїми незначними знаннями. Мої два центи -

Шукайте такі речі - дивні файли у вашому запуску, папка Windows та великі коливання вільного місця на жорсткому диску. Іноді назви файлів зловмисних програм схожі на імена файлів ОС Windows, такі як% svchost% .exe або% Splwow64% .exe тощо. Також шукайте "дивні" процеси в диспетчері завдань.

Ви не можете бути впевнені, що АВ навіть зможе виявити шкідливе програмне забезпечення, записане та виявлене 1 рік тому. Як? Якщо ця зловмисна програма зашифрована належним чином, вона стане невизначеною. Кліптери можна придбати на нелегальних інтернет-ринках. Ось відео, яке рекламує криптер з великою кількістю функцій. Не знаю, наскільки ефективно це зробити FUD зловмисних програм.

http://www.youtube.com/watch?v=wlaO7flygKQ

Також розгляньте можливість стати членом bleepingcomputer.com. IMHO, це краще місце для задачі подібного типу питань та для читання безкоштовних підручників для забезпечення домашніх комп'ютерів, а також для стратегій проти зловмисного програмного забезпечення.

HTH


-3

Для будь-якого вірусу, виготовленого компетентним програмістом, того, що було зазначено, недостатньо, на щастя, більшість вірусів виробляються 15-річними дітьми, використовуючи візуальний базовий. Це не був жарт, це факт, але ось ще трохи інформації.

Оскільки Microsoft настільки "чудовий" NTFS має спосіб приховати файли, його називають альтернативними потоками даних, нічого там не видно, хоча Explorer або командний рядок, деякі антивіруси навіть не сканують його, помилково.

Переконайтеся, що ви використовуєте Windows 8 або терку, чи були давно прострочені оновлення безпеки, які "запобігають" прямій маніпуляції об'єктом ядра, перш ніж це було так просто, як кілька рядків коду, і ви могли приховати процес зі списку процесів.

Більшість вірусів створені виключно для Windows, але Windows має кращу безпеку в багатьох аспектах, таких як захист пам’яті.

Найкращий захист від вірусів - це знання, навчити людей та змусити їх дотримуватися правил безпеки, наприклад, не завантажувати нічого, що не зроблено надійними компаніями.


Дякую за відповідь, я знаю, що питання було трохи смішним. Зараз я перебуваю на Windows 10, але рухаюся до Linux для всіх моїх потреб у розробці.
JonathonG

Я оновив свій пост і змінив деякі мої помилки.
Аарон

1
Починаючи зі складеної статистики (більшість вірусів 'складають підлітки з ВБ). Продовження з випадковими непотрібними ("чудовими" NTFS, Альтернативними потоками даних). Завершення непотрібної інформації (більшість вірусів створено для вікон). Нічого з цього не відповідає на питання: як я можу бути впевнений, що у мене немає вірусу, незважаючи на те, що сканери мені все зрозуміли? "Найкращий захист - це знання" ... ось що просили про явно не надане тут ...
WernerCD
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.