Jak mieć pewność, że nie masz wirusa, gdy skanery antywirusowe nie wykryją niczego złośliwego? (System Windows 7)


16

Niedawno spędziłem wiele godzin na rozwiązywaniu problemów z laptopem, który nie mógł połączyć się z Internetem. Laptop nie wykazywał innych nienaturalnych zachowań, więc moje pierwsze myśli to próba połączenia z innymi sieciami, wypróbowania nowej karty sieciowej itp. Pytanie, które zamieściłem, można znaleźć tutaj bardziej szczegółowo. Jedną z pierwszych rzeczy, które zrobiłem, było sprawdzenie wirusów za pomocą MalwareBytes, eSet i Panda Cloud Antivirus ... Wszystkie 3 skanowania były uruchamiane osobno i niezależnie od siebie i nie znaleziono wirusa. Następnie spędziłem godziny na rozwiązywaniu problemów, a ostatecznie zabrałem komputer do warsztatu, w którym wykryto wirusa.

Moje pytanie nie jest subiektywne, nie pytam, jakie oprogramowanie antywirusowe jest najlepsze do użycia. Pytam, skąd mam mieć pewność, że nie mam wirusów, skoro popularne i ogólnie skuteczne skany antywirusowe absolutnie niczego nie wykrywają?

W przeszłości moją rutyną było przeglądanie listy uruchomionych procesów i programów startowych oraz korzystanie z zasobów online w celu znalezienia czegoś złośliwego. Ta procedura wydawała mi się dość głupia w obliczu wszystkich programów antywirusowych i pomyślałem, że bardziej skuteczne byłoby uruchamianie skanów niż samodzielne sprawdzanie.

Oczywiście firmy informatyczne dysponują skuteczną metodą identyfikacji wirusów i wątpię, aby te firmy tylko uruchomiły skaner antywirusowy. Najwyraźniej doświadczenie doprowadziłoby mnie do zidentyfikowania własnego problemu jako wirusa, ale wydaje mi się, że istnieją różne sposoby, w jakie może się nie wykryć wirus, więc nie chcę polegać wyłącznie na doświadczeniu.

Edytować:

Powinienem to trochę wyjaśnić. Niekoniecznie szukam „ostatecznej” listy kontrolnej rzeczy, które należy zrobić, aby zidentyfikować wirusy, ale najwyraźniej istnieją sposoby, aby je zidentyfikować, gdy nasze normalne skanowanie antywirusowe zakończy się niepowodzeniem, i zastanawiam się, jakie mogą być niektóre z tych podejść.


„Pomyślałem, że bardziej skuteczne byłoby uruchamianie skanów niż samodzielne sprawdzanie”. => Całkowicie niepoprawny, ludzki ( z wystarczającym doświadczeniem i dobrym przeszkoleniem ) jest znacznie bardziej skutecznym systemem wykrywania / usuwania wirusów niż jakiekolwiek inne oprogramowanie dzisiaj. Oprogramowanie nie może pokonać heurystycznych skanów osób IT.
Sampo Sarrala - codidact.org

1
Jeśli kwestionujesz bezpieczeństwo systemu, jedynym prawdziwym rozwiązaniem jest jego sformatowanie. Wirusy, które zostały odkryte, mają te okropne nawyki znalezienia rzeczy, które tak naprawdę nie istnieją. Opublikuj plik dziennika, który potwierdził, że masz wirusa, jeśli nie jest w stanie go dostarczyć, poprosiłbym o zwrot pieniędzy. Jeśli twierdzą, że je usunęli, poproś o zwrot pieniędzy, ponieważ oznacza to, że nigdy niczego nie znaleźli.
Ramhound

Jeśli chodzi o oprogramowanie antywirusowe, dostajesz (do pewnego stopnia) to, za co płacisz. Z wymienionych trzech pakietów tylko eSet jest najwyraźniej w pełni komercyjnym produktem AV, a jeśli użyłeś „bezpłatnej wersji próbnej”, prawdopodobnie masz okaleczoną wersję. (Mam wrażenie, że nie miałeś na początku produktu AV na laptopie i próbowałeś zamknąć portal rolniczy, gdy bydło było na miejscu.)
Daniel R Hicks

Spróbuj ComboFix , to dobry wykrywacz złośliwego oprogramowania.
avirk

Czy to przypadkiem Mcafee? Spędziłem 4 godziny na rozwiązywaniu podobnego problemu i okazało się, że Mcafee wysłał złą łatkę, która uniemożliwiła tworzenie sieci.
Phillip R.

Odpowiedzi:


13

Żaden pakiet antywirusowy nie jest idealny. Widziałem wirusy, które przesyłam na http://virusscan.jotti.org/en i wykrywają je tylko 2 lub 3 pakiety. Miałem też wirusa, który został zgłoszony przez nich wszystkich jako czysty.

Więc jeśli muszę wyczyścić / przeskanować maszynę w poszukiwaniu wirusów, to niektóre z rzeczy, które robię.

Kontrola wstępna

Sprawdź i ewentualnie usuń pliki w folderze tymczasowym, a także tymczasowe pliki internetowe. Jeśli plików jest dziesięć lub więcej, usunięcie ich może znacznie skrócić czas potrzebny na wykonanie pełnego skanowania. Możliwe jest jednak usunięcie wirusa przechowywanego w tych lokalizacjach, zanim będzie można go zidentyfikować.

Scena 1

Uruchom czysty dysk CD / DVD, na przykład dysk CD Bart lub specjalny dysk CD z programem AntiVirus

  • Uruchom skanowanie za pomocą kilku różnych programów antywirusowych, anty-malware i rootkit
  • Skonfiguruj Eksploratora, aby wyświetlał ukryte pliki i foldery i szukał plików ostatnio dodanych do folderów głównych, Windows, Windows \ System32 i folderów plików Program. Poszukaj również ukrytych plików i / lub folderów w tych miejscach. Obecność takich plików niekoniecznie oznacza problem, ale zwykle staram się je zidentyfikować, aby upewnić się, że są zgodne z prawem)

Etap 2

Uruchom system operacyjny normalnie

  • Uruchom skanowanie za pomocą kilku różnych programów antywirusowych, anty-malware i rootkit
  • Uruchamiaj programy takie jak Autoruns i Hijackthis, które pokazują wszystko, co jest uruchamiane automatycznie lub rzeczy, które zaczepiają się w systemie Windows (np. Dodatki do systemu Windows). Żaden z tych programów nie próbuje ustalić, co jest dobre, a co złe, ale podają one informacje i od Ciebie zależy, czy wpisy będą prawidłowe.
  • Uruchom TaskManager lub Process Explorer, aby zobaczyć, jakie procesy są uruchomione.
  • Szukaj w Dodaj / Usuń programy i zobacz, jakie programy zostały ponownie zainstalowane, i usuń wszelkie śmieci. Nie chcę wymieniać żadnych nazw, ale istnieją paski narzędzi, gry pokerowe i niektóre programy do udostępniania plików, które zawsze wydają się powodować programy i dość często użytkownik / właściciel komputera nie instalował ich celowo. (Na przykład paski narzędzi dołączone do innych programów)

Etap 3 (w miarę możliwości)

  • Uruchom ponownie system Windows, połącz się z Internetem i wyjdź na chwilę, a następnie powtórz etap 1, aby upewnić się, że urządzenie jest nadal czyste.

Etap 4

  • Trzymajcie kciuki i / lub módlcie się, aby maszyna była czysta.

Dam ci odpowiedź, ponieważ zapewniłeś tutaj dobrą rutynę, która moim zdaniem byłaby bardzo skuteczna. Przejdę się przez te kroki następnym razem, gdy napotkam niewykrytego wirusa, zanim ucieknę się do killdisking / przeformatowania.
JonathonG

Mam czysty obraz (z aplikacjami i aktualizacjami), który przywracam co roku, więc nawet jeśli coś podstępnego znajdzie się w moim systemie, ostatecznie i tak zostanie usunięte.
Austin „Danger” Powers

5

Jak upewnić się, że nie masz wirusa, gdy skanery antywirusowe niczego nie znajdą

Nie możesz

Jeśli jednak chcesz mieć pewność, że wirus nie powoduje problemów z dostępem do Internetu, po prostu uruchom komputer z płyty CD lub USB na żywo. Jeśli to nie może uzyskać dostępu do Internetu, możesz mieć problem ze sprzętem. Najlepiej taki stworzony w innym i czystym systemie.


Wiem, że nie możesz być w 100% pewien, ale muszą istnieć lepsze sposoby niż TYLKO uruchamianie skanerów antywirusowych głównego strumienia, które nigdy nie wydają mi się w 100% skuteczne. Co do twojej sugestii, generalnie uruchamiam alternatywny system operacyjny za pomocą czystych, przenośnych nośników, zazwyczaj Ubuntu. Jednak w tym konkretnym przypadku nie miałem takiej opcji. Ponadto w przypadku, gdy czysty system operacyjny z powodzeniem uzyskuje dostęp do Internetu, mówi mi to tylko, że mogę spodziewać się problemu z moim normalnym systemem / plikami / sterownikami, niekoniecznie jak mogę znaleźć ten problem (czy to wirus czy nie.)
JonathonG

@JonathonG: Nie podzielam twojego przekonania. Firmy IT używają komercyjnego AV. Jedynymi innymi technikami są sumy kontrolne wytwarzane przy użyciu czystej płyty CD na żywo, porównywane codziennie (powiedzmy) z sumami kontrolnymi przechowywanymi na nośnikach, które nigdy nie są podłączone do podatnych na zagrożenia systemów innych niż po uruchomieniu z płyty CD na żywo. Oto stary, ale interesujący artykuł , który nie pomoże bezpośrednio :-)
RedGrittyBrick

Dziękuję Ci. Rozumiem, że rozwiązania „komercyjne AV” będą się różnić od czegoś takiego jak darmowy skan eSet. Jednak nadal muszę się zastanawiać, dlaczego 3 oddzielne, w pełni zaktualizowane skanery antywirusowe nie znalazły nawet jednego złośliwego pliku, a skaner antywirusowy firmy IT znalazł go bez problemu.
JonathonG

@JonathonG: Możemy tylko spekulować: Być może mieli inną wersję AV i mieli szczęście. Być może skonfigurowali system AV do przeprowadzania najbardziej rygorystycznych kontroli (a zatem najbardziej czasochłonnych i obciążających procesor testów, których zwykli użytkownicy nie tolerują).
RedGrittyBrick

0

Nie jestem analitykiem złośliwego oprogramowania, ale podzielę się z Wami moją małą wiedzą. Moje dwa centy -

Poszukaj takich rzeczy - dziwne pliki na starcie, folder Windows i duże wahania wolnego miejsca na dysku twardym. Czasami nazwy plików złośliwego oprogramowania są podobne do nazw plików systemu operacyjnego Windows, takich jak% svchost% .exe lub% Splwow64% .exe itp. Poszukaj też „dziwnych” procesów w menedżerze zadań.

Nie możesz być pewien, że AV będzie w stanie wykryć złośliwe oprogramowanie napisane i wykryte 1 rok temu. W jaki sposób ? Jeśli to złośliwe oprogramowanie zostanie odpowiednio zaszyfrowane, stanie się niewykrywalne. Kryptory można kupić na nielegalnych rynkach internetowych. Oto wideo, które reklamuje szyfr z wieloma funkcjami. Nie wiem jednak, jak skuteczny jest w tworzeniu złośliwego oprogramowania FUD.

http://www.youtube.com/watch?v=wlaO7flygKQ

Zastanów się też, czy nie zostać członkiem bleepingcomputer.com. IMHO jest lepszym miejscem do zadawania tego typu pytań i do czytania bezpłatnych samouczków na temat zabezpieczania komputerów domowych, a także strategii przeciw złośliwemu oprogramowaniu.

HTH


-3

Dla każdego wirusa stworzonego przez kompetentnego programistę to, o czym wspomniano, nie wystarczy, na szczęście większość wirusów jest wytwarzana przez 15-latków przy użyciu Visual Basic. To nie był żart, to fakt, ale tutaj jest trochę więcej informacji.

Ponieważ Microsoft jest tak „świetny”, że NTFS ma sposób na ukrywanie plików, nazywa się to alternatywnymi strumieniami danych, nic nie jest widoczne w eksploratorze lub wierszu poleceń, niektóre programy antywirusowe nawet go nie skanują, nie.

Upewnij się, że korzystasz z systemu Windows 8 lub nowszego, były już długo spóźnione aktualizacje zabezpieczeń, które „zapobiegały” bezpośredniej manipulacji obiektami jądra, zanim było to tak proste, jak kilka wierszy kodu i można było ukryć proces na liście procesów.

Większość wirusów jest stworzona wyłącznie dla systemu Windows, ale system Windows ma lepsze zabezpieczenia w wielu aspektach, takich jak ochrona pamięci.

Najlepszą obroną przed wirusami jest wiedza, szkolenie ludzi i zmuszanie ich do przestrzegania zasad bezpieczeństwa, na przykład niepobieranie niczego, co nie zostało wykonane przez zaufane firmy.


Dzięki za odpowiedź, wiem, że pytanie było trochę śmieszne. Korzystam teraz z systemu Windows 10, ale zmierzam w kierunku Linuksa, aby spełnić wszystkie moje potrzeby programistyczne.
JonathonG

Zaktualizowałem swój post i zmieniłem niektóre z moich nieporozumień.
Aaron,

1
Począwszy od gotowych statystyk (większość wirusów jest wytwarzana przez nastolatków z VB). Kontynuacja losowych śmieci („świetny” NTFS, alternatywne strumienie danych). Kończenie niepotrzebnymi informacjami (większość wirusów jest stworzona dla systemu Windows). Żadna z tych odpowiedzi nie odpowiada na pytanie: Jak mogę się upewnić, że nie mam wirusa, mimo że skanery dały mi wszystko jasne? „Najlepszą obroną jest wiedza” ... o to pytano o wyraźnie nie zapewnione tutaj ...
WernerCD,
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.