Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (59)
  • добавить в избранное
    Добавить в закладки

Симптомы и диагноз

Прочитали: 2006 Комментариев: 96 Рейтинг: 97

В нашу службу техподдержки люди обращаются с самыми разными проблемами. Вот, например:

На моем компе при подключении к сайту ... загрузка процессора резко подскакивает до 100%. Я являюсь владельцем этого сайта и с этого компьютера его редактирую. При заходе с другого компьютера с установленным DRWEB антивирус сайт блокирует и выдает сообщение об обнаружении трояна Tool.BtcMine.1051 и блокирует сайт. У меня же на компе ничего не блокирует и при сканировании не находит.

Попробуем предположить, что произошло? Приступим к мозговому штурму.

Идея первая. Антивирус у пользователя не обновлен или имеет просроченную лицензию. Может такое быть? Вполне! Бывает, что пользователи игнорируют и изменившийся значок антивируса, и сообщения Dr.Web. Если же вирусные базы устарели, то, естественно, новейшие вредоносные программы обнаруживаться не будут.

Идея вторая. Компьютер пользователя заражен, и вредоносный процесс блокирует доступ антивируса к системе обновлений и/или использует средства маскировки вредоносного процесса. Может такое быть? Маловероятно: подавляющее большинство майнеров не особо скрывает свое присутствие. Но время идет, майнеры развиваются, учатся прятаться от пользователей (даже термин уже появился – «скрытые майнеры») и стремятся противодействовать антивирусу: удалять активные процессы, блокировать доступ к различным ресурсам.

Идея третья. А о каком антивирусе идет речь? Пользователь написал «DRWEB антивирус». Но это не название продукта, и определить, какие компоненты защиты имеются в его составе (и включены ли они) невозможно. Проблема пользователя явно связана с загрузкой контента с некоего сайта, который, в свою очередь, должен проверяться как минимум веб-антивирусом SpIDer Gate. Но есть ли этот компонент в составе используемого продукта – неизвестно.

Идея четвертая. Предположим, пользователь купил, установил и регулярно обновляет Dr.Web Security Space. Этого достаточно? Как сказать… В момент установки продукта пользователь может отказаться от установки ряда его компонентов. Если SpIDer Gate не установлен, файлы, загруженные браузером, не проверяются. Они просто не сохраняются на диск, а значит, не попадают в зону ответственности файлового монитора Dr.Web SpIDer Guard (если, конечно, браузер не начнет скидывать файлы на диск по тем или иным причинам).

Отбросим идею о том, что какой-либо модуль постоянно отключен. Модули отключаются специально только до ближайшей перезагрузки. Хотя если компьютер не выключался и не перезагружался, то модуль мог быть отключен давно.

Идея пятая. Исключения. Казалось бы, сколько раз предупреждали, но:

В отчете антивируса зафиксировано, что в исключения SpDIer Guard добавлены целиком диски C:, D: и E:, а также отдельно добавлены пути C:\Windows\Temp и C:\Windows\System32, то есть, по сути, полностью отключена антивирусная проверка дисков модулем SpDIer Guard.

И антивирус установлен, и все быстро работает…

Идея шестая. Компьютер взломан, и в настройки антивируса были внесены изменения.

Так как сделать это мог только пользователь с локальными администраторскими правами, это означает одно из двух: либо в системе есть незакрытые уязвимости, через которые злоумышленник получил доступ к администраторской учётной записи на сервере, либо логин и пароль администраторской учетной записи были скомпрометированы и попали к кому-то постороннему. Получивший доступ к серверу злоумышленник записал (скорее всего, вручную) файл майнера на диск и настроил систему на его запуск.

Идея седьмая. У разных пользователей – разные настройки. Tool.BtcMine.1051 относится, как это видно из названия, к потенциально опасным программам. Действие по отношению к таким программам отличается от мер, которые антивирус применяет к инфицированным объектам. Вполне возможно, что на стороне пользователя выбрано действие «Игнорировать», так как когда-то он использовал какую-то потенциально опасную утилиту типа VPN-клиента.

Это только варианты, которые первыми приходят в голову, – и все они рано или поздно встречаются в обращениях в техническую поддержку. В приведенном случае проблема заключалась в том, что у пользователя не был установлен веб-антивирус SpIDer Gate.

#настройки_Dr.Web #поддержка

Dr.Web рекомендует

Если при установке антивируса вы не установили один из его компонентов, вы всегда можете доустановить его: Панель управленияПрограммы и компоненты, в списке установленных программ необходимо найти используемый продукт Dr.Web, выбрать в меню пункт Изменить и, следуя запросам Мастера установки, доустановить необходимые компоненты.

Если же вы используете Антивирус Dr.Web, не имеющий в своем составе ряда компонентов, вы всегда можете перейти на продукт комплексной защиты – Dr.Web Security Space.

И убедительная просьба: если вы пишете обращение в техническую поддержку, указывайте точное наименование используемого продукта и не забывайте прикладывать отчет с техническими подробностями. Это экономит и время, и эмоции.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: