У одного из наших пользователей периодически возникает проблема с вирусом. Это случилось с этим пользователем на двух разных машинах, каждый раз заражая одну и ту же программу одним и тем же вирусом.
Байты вредоносного ПО обнаруживают вредоносное ПО, и вчера я очистил систему. Обратите внимание, что MSE ничего не находит. Сканер вредоносных байтов в реальном времени тоже работает, но сегодня я проверил еще раз, и система повторно заражена.
Это система Win 7 Pro с пакетом обновления 1 (SP1), в ней установлены последние обновления, она работает с брандмауэром Windows (а также находится за корпоративным брандмауэром), MSE и MBAM в системе, и все же она снова заражается!
Я просканировал сетевые диски пользователя на случай, если они заберут его оттуда, но пока ничего не найдено.
Как я могу разобраться в этой повторяющейся вирусной проблеме и предотвратить заражение системы раз и навсегда?
Trojan.Agent.Gen - это Общий подпись. Это означает, что эвристика Malwarebytes что-то обнаружила, но приложение не знает, что это такое, поэтому оно удаляет приложение. только, поэтому любые резервные или замаскированные копии все еще можно оставить в системе. Есть даже небольшой шанс, что это вообще не вирус. Если это вирус, нам сначала нужно установить сигнатуру.
Пожалуйста, сделайте следующее:
P.S. Microsoft Essentials и Malwarebytes не заменяют хорошие продукты для обеспечения безопасности конечных точек. Они не могут справиться с большим количеством вирусов, потому что им не хватает сложных компонентов безопасности, необходимых для их обнаружения. Если вы не хотите снова сталкиваться с такими проблемами, подумайте о приобретении стандартного программного обеспечения для конечных точек от McAffee, Kaspersky или ESET. Особенно, если вы работаете в корпоративной среде.
В дополнение к ответу Грега Аскью вот несколько мыслей.
Если за пользователем следует эта инфекция, это должно быть что-то особенное в привычках или учетной записи этого пользователя.
Обычно это могут быть перемещаемые профили, которые, как вы сказали, не используются.
Повторное заражение подразумевает использование какой-либо программы-дроппера или скрытой от руткитов программы, которая повторно загружает программное обеспечение после маскировки; пользователь работает с повышенными привилегиями? В этом случае единственный способ избавиться от повторного заражения - это переформатировать компьютер и полностью запустить его, даже удалив загрузочный сектор. Если что-то маскируется в фоновом режиме, и повторно загрузите программное обеспечение, которое является обнаружен, это сотрет его полностью.
В противном случае вам придется прибегнуть к проверке привычек пользователя при просмотре. У вас есть прокси-система, которая отслеживает активность в Интернете? Могут ли его журналы сообщить вам, какие сайты посещает ваш пользователь во время заражения? (Если программное обеспечение загружается через http, ваш прокси-сервер также может быть настроен на блокировку сайта загрузки, в зависимости от того, что это ... это может помочь предотвратить некоторые векторы повторного заражения)
Еще одна мысль; это ложное срабатывание. Возьмите исполняемый файл и загрузите его в онлайн-сканер вирусов, который проверяет исполняемые файлы на нескольких антивирусных движках и проверяет, действительно ли он запускает большинство из них. В прошлом у меня были проблемы с ложными срабатываниями. Опять же, прокси-сервер или анализатор пакетов могут помочь определить, действительно ли компьютер делает то, чего не должен. Наличие сигнала тревоги от AV не означает, что компьютер на самом деле делает то, чего не должен.
Вы сказали, что заражение приводит к зависанию компьютера; для меня это немного странно, поскольку цель большинства вредоносных программ сегодня не в том, чтобы изо всех сил стараться быть обнаруженными, заставляя компьютер вести себя совершенно странно и привлекать к себе внимание. Может быть, что-то повреждает исполняемый файл? Может ли быть совпадением, что машина блокируется?
Повторное заражение и невозможность найти удаленную установку (например, общие ресурсы или домашний каталог, в котором находится зараженный объект) будут означать мониторинг привычек пользователя, уничтожение установки на рабочей станции и переустановку с нуля для устранения скрытых комплектов, а также использование ограничений привилегий, чтобы пользователь мог только «заразите» его собственные каталоги, к которым у него есть доступ, и убедитесь, что зараженный исполняемый файл действительно заражен, используя для сканирования сторонний веб-сайт.
Обычные подозреваемые:
У вошедшего в систему пользователя несоответствующие повышенные разрешения или права.
Установлен уязвимый и устаревший помощник для браузера Adobe Flash.
Установлена уязвимая и устаревшая программа для чтения PDF-файлов.
Установлена уязвимая и устаревшая среда выполнения Java.
Использование зараженного съемного носителя (USB-накопитель).
Обратите внимание, что для многих APT (продвинутых постоянных угроз) легко создать одноразовое, настраиваемое, уникальное враждебное приложение, которое может быть загружено жертвой. Они не могут быть отмечены сканированием из-за шифрования двоичного файла. В некоторых случаях необходимо профилировать сетевую активность, чтобы обнаружить вторжение. Это один из отличий таких продуктов, как FireEye и Trend Deep Security, от традиционного клиентского антивирусного приложения.
Я рекомендую найти любые резервные копии вредоносного программного обеспечения, запустив HijackThis с правами администратора и используя инструмент анализа журналов, чтобы найти любые подозрительные записи в реестре Windows. Кроме того, неплохо было бы сканировать с помощью Adwcleaner и средства защиты от руткитов.