Симптомы и диагноз
2 апреля 2018
В нашу службу техподдержки люди обращаются с самыми разными проблемами. Вот, например:
На моем компе при подключении к сайту ... загрузка процессора резко подскакивает до 100%. Я являюсь владельцем этого сайта и с этого компьютера его редактирую. При заходе с другого компьютера с установленным DRWEB антивирус сайт блокирует и выдает сообщение об обнаружении трояна Tool.BtcMine.1051 и блокирует сайт. У меня же на компе ничего не блокирует и при сканировании не находит.
Попробуем предположить, что произошло? Приступим к мозговому штурму.
Идея первая. Антивирус у пользователя не обновлен или имеет просроченную лицензию. Может такое быть? Вполне! Бывает, что пользователи игнорируют и изменившийся значок антивируса, и сообщения Dr.Web. Если же вирусные базы устарели, то, естественно, новейшие вредоносные программы обнаруживаться не будут.
Идея вторая. Компьютер пользователя заражен, и вредоносный процесс блокирует доступ антивируса к системе обновлений и/или использует средства маскировки вредоносного процесса. Может такое быть? Маловероятно: подавляющее большинство майнеров не особо скрывает свое присутствие. Но время идет, майнеры развиваются, учатся прятаться от пользователей (даже термин уже появился – «скрытые майнеры») и стремятся противодействовать антивирусу: удалять активные процессы, блокировать доступ к различным ресурсам.
Идея третья. А о каком антивирусе идет речь? Пользователь написал «DRWEB антивирус». Но это не название продукта, и определить, какие компоненты защиты имеются в его составе (и включены ли они) невозможно. Проблема пользователя явно связана с загрузкой контента с некоего сайта, который, в свою очередь, должен проверяться как минимум веб-антивирусом SpIDer Gate. Но есть ли этот компонент в составе используемого продукта – неизвестно.
Идея четвертая. Предположим, пользователь купил, установил и регулярно обновляет Dr.Web Security Space. Этого достаточно? Как сказать… В момент установки продукта пользователь может отказаться от установки ряда его компонентов. Если SpIDer Gate не установлен, файлы, загруженные браузером, не проверяются. Они просто не сохраняются на диск, а значит, не попадают в зону ответственности файлового монитора Dr.Web SpIDer Guard (если, конечно, браузер не начнет скидывать файлы на диск по тем или иным причинам).
Отбросим идею о том, что какой-либо модуль постоянно отключен. Модули отключаются специально только до ближайшей перезагрузки. Хотя если компьютер не выключался и не перезагружался, то модуль мог быть отключен давно.
Идея пятая. Исключения. Казалось бы, сколько раз предупреждали, но:
В отчете антивируса зафиксировано, что в исключения SpDIer Guard добавлены целиком диски C:, D: и E:, а также отдельно добавлены пути C:\Windows\Temp и C:\Windows\System32, то есть, по сути, полностью отключена антивирусная проверка дисков модулем SpDIer Guard.
И антивирус установлен, и все быстро работает…
Идея шестая. Компьютер взломан, и в настройки антивируса были внесены изменения.
Так как сделать это мог только пользователь с локальными администраторскими правами, это означает одно из двух: либо в системе есть незакрытые уязвимости, через которые злоумышленник получил доступ к администраторской учётной записи на сервере, либо логин и пароль администраторской учетной записи были скомпрометированы и попали к кому-то постороннему. Получивший доступ к серверу злоумышленник записал (скорее всего, вручную) файл майнера на диск и настроил систему на его запуск.
Идея седьмая. У разных пользователей – разные настройки. Tool.BtcMine.1051 относится, как это видно из названия, к потенциально опасным программам. Действие по отношению к таким программам отличается от мер, которые антивирус применяет к инфицированным объектам. Вполне возможно, что на стороне пользователя выбрано действие «Игнорировать», так как когда-то он использовал какую-то потенциально опасную утилиту типа VPN-клиента.
Это только варианты, которые первыми приходят в голову, – и все они рано или поздно встречаются в обращениях в техническую поддержку. В приведенном случае проблема заключалась в том, что у пользователя не был установлен веб-антивирус SpIDer Gate.
#настройки_Dr.Web #поддержкаАнтивирусная правДА! рекомендует
Если при установке антивируса вы не установили один из его компонентов, вы всегда можете доустановить его: Панель управления → Программы и компоненты, в списке установленных программ необходимо найти используемый продукт Dr.Web, выбрать в меню пункт Изменить и, следуя запросам Мастера установки, доустановить необходимые компоненты.
Если же вы используете Антивирус Dr.Web, не имеющий в своем составе ряда компонентов, вы всегда можете перейти на продукт комплексной защиты – Dr.Web Security Space.
И убедительная просьба: если вы пишете обращение в техническую поддержку, указывайте точное наименование используемого продукта и не забывайте прикладывать отчет с техническими подробностями. Это экономит и время, и эмоции.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Slava90
15:50:16 2020-03-25
Денисенко Павел Андреевич
12:53:30 2018-08-03
Неуёмный Обыватель
15:52:56 2018-06-12
Lia00
03:18:19 2018-04-05
Любитель пляжного футбола
23:43:20 2018-04-02
Andromeda
23:20:36 2018-04-02
Альфа
23:10:57 2018-04-02
stavkafon
22:16:20 2018-04-02
Littlefish
21:50:09 2018-04-02
Littlefish
21:45:33 2018-04-02
orw_mikle
21:38:46 2018-04-02
Littlefish
21:38:32 2018-04-02
Littlefish
21:37:18 2018-04-02
Скорее уж незнакомые настроят специально неправильно, знакомым нету смысла, если не правильно настроят, то больше им не будут рады в этом доме, да и остальным тоже расскажут, что человек ненадёжный, а молва распространяется быстро.
Littlefish
21:33:23 2018-04-02
Littlefish
21:29:16 2018-04-02
Один в поле не воин. Один за всех, и все за одного.
Marsn77
21:24:16 2018-04-02
Littlefish
21:23:57 2018-04-02
Геральт
21:23:12 2018-04-02
Voin sveta
21:21:18 2018-04-02
Dvakota
21:18:06 2018-04-02
Беломойкин
21:18:03 2018-04-02
ЦИТАТА:
= В отчете антивируса зафиксировано, что в исключения SpDIer Guard добавлены целиком диски C:, D: и E:, а также отдельно добавлены пути C:\Windows\Temp и C:\Windows\System32, то есть, по сути, полностью отключена антивирусная проверка дисков модулем SpDIer Guard. =
Если эти исключения для антивируса смог поставить хозяин компьютера, то значит, что в компьютере, он, вроде как - разбирается. Но такое, хозяин компьютера, не поставил бы! Ему проще было бы вообще антивирус тогда удалить. Значит, кто-то другой устанавливал и настраивал антивирус для этого пользователя. И этот кто-то приготовил уже для себя идеальную жертву. Заражай - не хочу! А хозяин, наивный, радуется, что он защищен!
ВЫВОД:
После установки и настройки программ незнакомыми, да и знакомыми, людьми, по мере сил постарайтесь проверить корректность настроек. Если вы находитесь рядом с этим человеком, когда он занимается установкой/настройкой, не стесняйтесь спрашивать его что и зачем он делает. Конечно, скорее всего, если вы в компьютерах ничего не понимаете, он "запудрит" вам мозги. Но может случиться и так, что вы его на лжи поймаете. Особенно, если вы имеете о компьютерах хоть какое-то представление. Просто прикиньтесь "чайником". ;о)
Damir
21:13:16 2018-04-02
kva-kva
20:48:31 2018-04-02
zsergey
20:48:28 2018-04-02
I46
20:32:09 2018-04-02
mk.insta
19:59:12 2018-04-02
Сергей
19:41:47 2018-04-02
GREII
19:33:14 2018-04-02
@Alex_1774, с Днюхой! Всех благ и хорошего настроения!
Toma
19:25:29 2018-04-02
Sapych
19:02:21 2018-04-02
Alex_1774
18:55:16 2018-04-02
Дмитрий
18:47:55 2018-04-02
Раш КХ
18:22:04 2018-04-02
Masha
18:16:09 2018-04-02
Dmur
17:03:47 2018-04-02
razgen
16:42:24 2018-04-02
razgen
16:38:55 2018-04-02
Шалтай Александр Болтай
16:30:19 2018-04-02
Шалтай Александр Болтай
16:26:02 2018-04-02
La folle
16:21:09 2018-04-02
AxooxA
16:12:09 2018-04-02
Maat
15:06:00 2018-04-02
maghan
15:04:14 2018-04-02
EvgenyZ
14:58:53 2018-04-02
achemolganskiy
14:53:44 2018-04-02
Alex_1774
14:49:49 2018-04-02
Ruslan
12:57:20 2018-04-02
Biggurza
12:53:17 2018-04-02
Картина маслом: на первом ПК антивируса нет.
Насторожило другое - парень содержит сайт и не знает, как настроить антивирус.
Мне бы с ним пообщаться, задать парочку вопросов типа, какая вообще у него защита сайта, какое АВПО установлено, как давно обновлялись лицензии, модули, базы?
Думаю и с паролями там тоже беда.
@админ, Спасибо за трофеи, согревают душу!
Vlad
12:53:15 2018-04-02
Что гнусен, вреден Нет; но только все не впрок, И в защите хакер иль глупец всегда отыщет уголок.
sanek-xf
12:11:58 2018-04-02