12. Мастер поиска и устранения проблем

В последнюю секцию текстового протокола выводятся сообщения о результатах поиска ошибок и проблем безопасности и производительности системы. По преимуществу это некорректные таймауты завершения служб и процессов, нарушения файловых ассоциаций, сообщения о блокировке тех или иных системных функций. Выводимые данные следует принимать к сведению как возможные симптомы инфекции и / или показания к применению восстановления системы, однако, как и в других случаях, не стоит абсолютизировать эту информацию.

В случае отсутствия проблем секция завершается:

9. Мастер поиска и устранения проблем

Проверка завершена

В случае наличия – выводятся предупреждения:

9. Мастер поиска и устранения проблем

>> Нарушение ассоциации COM файлов

>> Нарушение ассоциации PIF файлов

>> Нарушение ассоциации BAT файлов

>> Нарушение ассоциации SCR файлов

>> Internet Explorer - заблокирована настройка домашней страницы

>> Таймаут завершения служб находится за пределами допустимых значений

Проверка завершена

Текстовый протокол закрывается данными о завершении сканирования:

Просканировано файлов: XXX, извлечено из архивов: X, найдено вредоносных программ X, подозрений - X

Сканирование завершено в XX.XX.XXXX XX:XX:XX

Сканирование длилось XX:XX:XX

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться в конференцию - http://virusinfo.info

В зависимости от конфигурации выполненного Стандартного скрипта в конец протокола выводятся те или иные дополнительные информационные сообщения.

Совет. Обращайте внимание на дату сканирования: иногда пользователь обращается за помощью с протоколами, подготовленными за несколько дней до обращения.

Критерии вредоносности файла

Теперь, когда вы имеете представление о структуре протокола, можно переходить собственно к диагностике – определению по протокольным данным вредоносного программного обеспечения. Эта задача не из простых, поскольку разработчики вредоносного ПО наблюдают за работой специалистов, изучают методы, при помощи которых консультанты отличают malware от легитимных файлов, и адаптируют свои продукты с целью сделать их сколь возможно более незаметными в протоколе. Вместе с тем все еще существует ряд факторов, которые позволяют судить о вредоносности файла, и мы сейчас их перечислим. При обнаружении объекта, соответствующего двум и более критериям, щелкайте по ссылке «Карантин», чтобы поместить его в список подозрительных файлов.

Ниже мы опишем дальнейшие процедуры верификации объектов.

Итак, критерии возможной вредоносности файла:

1. Отсутствие в базе безопасных объектов AVZ

2. Специфичные имя и адрес:

a) бессмысленное имя, не соотносимое с копирайтом и описанием

б) имитация имени системного файла

в) размещение в системной папке

г) исполняемый файл или библиотека в папке пользовательского профиля

3. Отсутствие описания и копирайта

или имитация их наличия

4. Подозрение на Rootkit или маскировку

>>>> Подозрение на маскировку процесса 2144 c:\windows\system.exe

Комментарий. Подозрение на маскировку может характеризовать процесс, запущенный во время исследования системы, или рабочую активность серверной ОС

5. Детектирование и / или подозрение от сигнатурного сканера AVZ

d:\docume~1\orachin\locals~1\temp\maindll.dll >>>>> Backdoor.Win32.Agent.uu

C:\WINDOWS\system32\nnnmnnn.dll >>> подозрение на AdvWare.Win32.Virtumonde.hs ( 0BBE5154 0169598B 00223F12 00275DAF 26685)

6. Присутствие в результатах эвристической проверки системы

>>> D:\WINDOWS\Downloaded Program Files\popcaploader.dll ЭПС: подозрение на Downloader.PopCapLoader (высокая степень вероятности)

Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "D:\WINDOWS\System32\tmp_6f0.dll"