Симптомы и диагноз

Незваные гости

добавить в избранное

Симптомы и диагноз

Прочитали: 7549 Комментариев: 94 Рейтинг: 109

2 апреля 2018

В нашу службу техподдержки люди обращаются с самыми разными проблемами. Вот, например:

На моем компе при подключении к сайту ... загрузка процессора резко подскакивает до 100%. Я являюсь владельцем этого сайта и с этого компьютера его редактирую. При заходе с другого компьютера с установленным DRWEB антивирус сайт блокирует и выдает сообщение об обнаружении трояна Tool.BtcMine.1051 и блокирует сайт. У меня же на компе ничего не блокирует и при сканировании не находит.

Попробуем предположить, что произошло? Приступим к мозговому штурму.

Идея первая. Антивирус у пользователя не обновлен или имеет просроченную лицензию. Может такое быть? Вполне! Бывает, что пользователи игнорируют и изменившийся значок антивируса, и сообщения Dr.Web. Если же вирусные базы устарели, то, естественно, новейшие вредоносные программы обнаруживаться не будут.

Идея вторая. Компьютер пользователя заражен, и вредоносный процесс блокирует доступ антивируса к системе обновлений и/или использует средства маскировки вредоносного процесса. Может такое быть? Маловероятно: подавляющее большинство майнеров не особо скрывает свое присутствие. Но время идет, майнеры развиваются, учатся прятаться от пользователей (даже термин уже появился – «скрытые майнеры») и стремятся противодействовать антивирусу: удалять активные процессы, блокировать доступ к различным ресурсам.

Идея третья. А о каком антивирусе идет речь? Пользователь написал «DRWEB антивирус». Но это не название продукта, и определить, какие компоненты защиты имеются в его составе (и включены ли они) невозможно. Проблема пользователя явно связана с загрузкой контента с некоего сайта, который, в свою очередь, должен проверяться как минимум веб-антивирусом SpIDer Gate. Но есть ли этот компонент в составе используемого продукта – неизвестно.

Идея четвертая. Предположим, пользователь купил, установил и регулярно обновляет Dr.Web Security Space. Этого достаточно? Как сказать… В момент установки продукта пользователь может отказаться от установки ряда его компонентов. Если SpIDer Gate не установлен, файлы, загруженные браузером, не проверяются. Они просто не сохраняются на диск, а значит, не попадают в зону ответственности файлового монитора Dr.Web SpIDer Guard (если, конечно, браузер не начнет скидывать файлы на диск по тем или иным причинам).

Отбросим идею о том, что какой-либо модуль постоянно отключен. Модули отключаются специально только до ближайшей перезагрузки. Хотя если компьютер не выключался и не перезагружался, то модуль мог быть отключен давно.

Идея пятая. Исключения. Казалось бы, сколько раз предупреждали, но:

В отчете антивируса зафиксировано, что в исключения SpDIer Guard добавлены целиком диски C:, D: и E:, а также отдельно добавлены пути C:\Windows\Temp и C:\Windows\System32, то есть, по сути, полностью отключена антивирусная проверка дисков модулем SpDIer Guard.

И антивирус установлен, и все быстро работает…

Идея шестая. Компьютер взломан, и в настройки антивируса были внесены изменения.

Так как сделать это мог только пользователь с локальными администраторскими правами, это означает одно из двух: либо в системе есть незакрытые уязвимости, через которые злоумышленник получил доступ к администраторской учётной записи на сервере, либо логин и пароль администраторской учетной записи были скомпрометированы и попали к кому-то постороннему. Получивший доступ к серверу злоумышленник записал (скорее всего, вручную) файл майнера на диск и настроил систему на его запуск.

Идея седьмая. У разных пользователей – разные настройки. Tool.BtcMine.1051 относится, как это видно из названия, к потенциально опасным программам. Действие по отношению к таким программам отличается от мер, которые антивирус применяет к инфицированным объектам. Вполне возможно, что на стороне пользователя выбрано действие «Игнорировать», так как когда-то он использовал какую-то потенциально опасную утилиту типа VPN-клиента.

Это только варианты, которые первыми приходят в голову, – и все они рано или поздно встречаются в обращениях в техническую поддержку. В приведенном случае проблема заключалась в том, что у пользователя не был установлен веб-антивирус SpIDer Gate.

#настройки_Dr.Web #поддержка

Антивирусная правДА! рекомендует

Если при установке антивируса вы не установили один из его компонентов, вы всегда можете доустановить его: Панель управления → Программы и компоненты, в списке установленных программ необходимо найти используемый продукт Dr.Web, выбрать в меню пункт Изменить и, следуя запросам Мастера установки, доустановить необходимые компоненты.

Если же вы используете Антивирус Dr.Web, не имеющий в своем составе ряда компонентов, вы всегда можете перейти на продукт комплексной защиты – Dr.Web Security Space.

И убедительная просьба: если вы пишете обращение в техническую поддержку, указывайте точное наименование используемого продукта и не забывайте прикладывать отчет с техническими подробностями. Это экономит и время, и эмоции.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Slava90
15:50:16 2020-03-25

Спасибо за информацию, статья полезная.

Денисенко Павел Андреевич
12:53:30 2018-08-03

Самое лучшее решение это Dr.Web Security Space. Всем рекомендую.

Неуёмный Обыватель Собкор
15:52:56 2018-06-12

Компоненты разные нужны... Компоненты разные важны...

Lia00 Собкор
03:18:19 2018-04-05

спасибо за хорошие рекомендации по доустановке

Любитель пляжного футбола Собкор
23:43:20 2018-04-02

@Alex_1774, с прошедшим Днём рождения!!!

Andromeda
23:20:36 2018-04-02

@Natalya_2017, @sanek-xf, абсолютно с вами согласна!

Альфа
23:10:57 2018-04-02

Dr.Web Security Space - это наилучший выбор!

stavkafon
22:16:20 2018-04-02

Компоненты защиты включены! Антивирус должен быть установлен и все !

Littlefish Собкор
21:50:09 2018-04-02

@Alex_1774, поздравляю с прошедшим днём рождения!

Littlefish Собкор
21:45:33 2018-04-02

@Dvakota, не видя Ваш комментарий на ум пришло то же самое :-)

orw_mikle
21:38:46 2018-04-02

Использую Dr.Web Security Space со всеми компонентами.

Littlefish Собкор
21:38:32 2018-04-02

Если уж и приобретать, то комплексный продукт. Скупой платит дважды.

Littlefish Собкор
21:37:18 2018-04-02

@Беломойкин, "После установки и настройки программ незнакомыми, да и знакомыми, людьми, по мере сил постарайтесь проверить корректность настроек".
Скорее уж незнакомые настроят специально неправильно, знакомым нету смысла, если не правильно настроят, то больше им не будут рады в этом доме, да и остальным тоже расскажут, что человек ненадёжный, а молва распространяется быстро.

Littlefish Собкор
21:33:23 2018-04-02

И чем точнее и детальнее объяснять обстоятельства проблемы техподдержке, тем оперативней специалисты смогут разобраться в ситуации и помочь.

Littlefish Собкор
21:29:16 2018-04-02

Современные антивирусные программы - это комплекс различных экранов, эвристических и других механизмов, которые наилучшим образом работают именно при взаимодействии между собой. И даже если один из компонентов "не видит" угрозы, то остальные компоненты могут угрозу засечь и обезвредить. Т.е. каждый компонент страхует все остальные.
Один в поле не воин. Один за всех, и все за одного.

Marsn77
21:24:16 2018-04-02

Чем точнее описывается проблема для техподдержки, тем быстрее она решается

Littlefish Собкор
21:23:57 2018-04-02

Не совсем понятно зачем при установке антивируса не устанавливать какие-либо из компонентов антивируса.

Геральт Собкор
21:23:12 2018-04-02

Только комплексная защита!

Voin sveta Собкор
21:21:18 2018-04-02

Да, лучший антивирус в голове, и это бесспорно. Пользователь прежде всего должен знать азы работы с программами, а иногда и особенности чего-либо. Вот с "мозговым антивирусом" и помогает Антивирусная правда. За что ей респект)

Dvakota
21:18:06 2018-04-02

Комплексная защита всегда лучше ! Скупой платит дважды .

Беломойкин
21:18:03 2018-04-02

Оч-чень интересно.
ЦИТАТА:
= В отчете антивируса зафиксировано, что в исключения SpDIer Guard добавлены целиком диски C:, D: и E:, а также отдельно добавлены пути C:\Windows\Temp и C:\Windows\System32, то есть, по сути, полностью отключена антивирусная проверка дисков модулем SpDIer Guard. =
Если эти исключения для антивируса смог поставить хозяин компьютера, то значит, что в компьютере, он, вроде как - разбирается. Но такое, хозяин компьютера, не поставил бы! Ему проще было бы вообще антивирус тогда удалить. Значит, кто-то другой устанавливал и настраивал антивирус для этого пользователя. И этот кто-то приготовил уже для себя идеальную жертву. Заражай - не хочу! А хозяин, наивный, радуется, что он защищен!
ВЫВОД:
После установки и настройки программ незнакомыми, да и знакомыми, людьми, по мере сил постарайтесь проверить корректность настроек. Если вы находитесь рядом с этим человеком, когда он занимается установкой/настройкой, не стесняйтесь спрашивать его что и зачем он делает. Конечно, скорее всего, если вы в компьютерах ничего не понимаете, он "запудрит" вам мозги. Но может случиться и так, что вы его на лжи поймаете. Особенно, если вы имеете о компьютерах хоть какое-то представление. Просто прикиньтесь "чайником". ;о)

Damir Собкор
21:13:16 2018-04-02

Надо устанавливать продукт комплексной защиты – Dr.Web Security Space.

kva-kva
20:48:31 2018-04-02

Вариантов много, но криптовалюты майнили злоумышленники

zsergey
20:48:28 2018-04-02

Нужно ставить полный комплекс, он дает надежную защиту.

I46
20:32:09 2018-04-02

Простые и понятные рекомендации, которые нужно выполнять

mk.insta
19:59:12 2018-04-02

Поучительно, жаль финал не написан

Сергей
19:41:47 2018-04-02

Конечно лучше пользоваться Dr.Web Security Space.

GREII Собкор
19:33:14 2018-04-02

Понятное дело - если не установил сегодня-то можно добавить завтра...спасибо за защиту.
@Alex_1774, с Днюхой! Всех благ и хорошего настроения!

Toma
19:25:29 2018-04-02

@Alex_1774, С Днем рождения! Всего самого наилучшего!

Sapych
19:02:21 2018-04-02

Будни техподдержки... брр, как вспомню, так вздрогну.

Alex_1774
18:55:16 2018-04-02

@Шалтай_Александр_Болтай, приходится иметь при себе доказательства рождения )))

Дмитрий
18:47:55 2018-04-02

Полезная информация. Буду ставить Dr.Web Security Space!

Раш КХ
18:22:04 2018-04-02

Теперь владелец компа, должен быть вполне грамотным

Masha
18:16:09 2018-04-02

@Alex_1774, Поздравляю с Днем рождения! Желаю комплексной защиты от всех угроз!

Dmur
17:03:47 2018-04-02

В наше время нужна комплексная защита, конечно – Dr.Web Security Space!

razgen Собкор
16:42:24 2018-04-02

Делаю всё согласно рекомендаций "Антивирусной ПравДЫ". Все компоненты Dr.Web Security Space включены. Обновление согласно расписания.

razgen Собкор
16:38:55 2018-04-02

@Alex_1774, с Днём рождения! Всего наилучшего!

Шалтай Александр Болтай Собкор
16:30:19 2018-04-02

— Доктор! Больной, которого вы называли симулянтом, скончался! Вы по—прежнему уверены в правильности своего диагноза? — Видите ли, батенька, люди — странные существа. В некоторых из них упрямство сильнее инстинкта самосохранения!

Шалтай Александр Болтай Собкор
16:26:02 2018-04-02

@Alex_1774, с прошедшим Днем рождения! День рождения 1 апреля наверное очень веселый?

La folle
16:21:09 2018-04-02

Интересная статья, с удовольствием ознакомилась!

AxooxA
16:12:09 2018-04-02

Всяко бывает, всего не угадаешь, что и как у человека

Maat
15:06:00 2018-04-02

За работой компонентов и обновлением антивируса пользователь должен следить самостоятельно - это по сути основа и гарантия его безопасности. Работая с сетями и интернетом нужно выбирать антивирусы содержащие модули сетевой защиты, а не обходится лишь продуктом защищающим файловую систему. Спасибо за информативный выпуск.

maghan Собкор
15:04:14 2018-04-02

Если обращаетесь в любую техническую поддержку (устно или письменно), то сначала успокойтесь, соберитесь с мыслями и сформулируйте то, что хотели сказать. Для надежности произнесите вслух. А потом уже пишите обращение.

EvgenyZ
14:58:53 2018-04-02

Интересная информация. Dr.Web Security Space установлен и настроен!

achemolganskiy
14:53:44 2018-04-02

Что-то здесь не так.....

Alex_1774
14:49:49 2018-04-02

Потенциально опасные программы по умолчанию игнорируются и Гейтом, и Гардом. Печаль.

Ruslan
12:57:20 2018-04-02

Спасибо за советы и выпуск! Полезная информация

Biggurza Собкор
12:53:17 2018-04-02

Из обращения я понял следующее. У парня два ПК, с одного он входит в отладку сайта, а на другом стоит антивирус Dr.Web, на первом майнер не виден, но по загрузке процессора видна его работа, на другом майнер блокируется антивирусом.
Картина маслом: на первом ПК антивируса нет.
Насторожило другое - парень содержит сайт и не знает, как настроить антивирус.
Мне бы с ним пообщаться, задать парочку вопросов типа, какая вообще у него защита сайта, какое АВПО установлено, как давно обновлялись лицензии, модули, базы?
Думаю и с паролями там тоже беда.

@админ, Спасибо за трофеи, согревают душу!

Vlad
12:53:15 2018-04-02

Уж сколько раз твердили миру...
Что гнусен, вреден Нет; но только все не впрок, И в защите хакер иль глупец всегда отыщет уголок.

sanek-xf
12:11:58 2018-04-02

@Natalya_2017, и без своевременного обновления - никуда!

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Симптомы и диагноз

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей