суббота, 26 мая 2012 г.

Приложение Emsisoft HiJackFree


HiJackFree Emsisoft - подробный системный аналитический инструмент, который помогает усовершенствованным пользователям обнаруживать и удалять все типы HiJackers, Вредоносного программного обеспечения, Шпионящего ПО, Бесплатного ПО с размещенной в нем рекламой, Trojans и Worms. Это - лучший инструмент, который я использую, чтобы удалить весь тип вирусов, вредоносного программного обеспечения, trojans, поддельные антивирусы и т.д. эффективно.

Emsisoft HiJackFree управляют всеми типами автовыполнений в системе. Все вирусы, вредоносное программное обеспечение, torjans или поддельные антивирусы сконфигурируют себя, чтобы запуститься автоматически, когда Windows загрузятся. Emsisoft HiJackFree обнаружит всех их и позволит нам, чтобы удалить их эффективно.

Emsisoft HiJackFree управляют всем проводником и плагинами браузера (BHOs, панели инструментов, и т.д.). Это также управляет всеми рабочими процессами и их связанными модулями. Большинство опасного вредоносного программного обеспечения скрывает свои процессы так, чтобы они не могли быть обнаружены Диспетчером задач Windows. Однако, Emsisoft HiJackFree может обнаружить всех их и предложить нам, чтобы остановить процессы вредоносного программного обеспечения и одновременно, мы можем удалить файлы из зараженного компьютера.

Emsisoft HiJackFree управляют всеми службами, даже те окна, не выводит на экран. Это просматривает открытые порты и связанные процессы слушания. Это просматривает все записи DNS в файле hosts и управляет установленными многоуровневыми поставщиками услуг (LSPs). Это также анализирует конфигурацию системы с использованием живого онлайнового анализа

Загрузите HiJackFree Emsisoft теперь! Это свободно для личного пользования! Это идет с пакетами языка для английского, немецкого, французского, испанского, итальянского, японского и еще много.

Чтобы выборочно отключить автозапуск приложений


Чтобы выборочно отключить определенные опции Автовыполнения, можете или использовать Автонастройки выполнения, или должны изменить запись NoDriveTypeAutoRun в одном из следующих подключей ключа реестра:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\

Следующие значения показывают настройки для ключа реестра NoDriveTypeAutoRun.

Значение значения
0x1 или 0x80 Отключают AutoRun на дисках неизвестного типа
0x4 Отключает AutoRun на съемных дисках
0x8 Отключает AutoRun на фиксированных дисках
0x10 Отключает AutoRun на сетевых дисках
0x20 Отключает AutoRun на дисководах для компакт-дисков
0x40 Отключает AutoRun на псевдодисках
0xFF Отключает AutoRun на всех видах дисков


Значение ключа реестра NoDriveTypeAutoRun определяет, какой диск или управляет функциональностью Автовыполнения, будет отключен для. Например, если требуете отключить Автовыполнение для сетевых дисков только, должны установить значение ключа реестра NoDriveTypeAutoRun к 0x10.

Если требуете отключить Автовыполнение для многократных дисков, должны добавить соответствующие шестнадцатеричные значения к значению 0x10. Например, если требуете отключить Автовыполнение для съемных дисков и для сетевых дисков, должны добавить 0x4 и 0x10, который является математическим добавлением 2 шестнадцатеричных значений, чтобы определить значение, чтобы использовать. 0x4 + 0x10 = 0x14. Поэтому, в этом примере, установили бы значение записи NoDriveTypeAutoRun в 0x14.

Значение по умолчанию для ключа реестра NoDriveTypeAutoRun варьируется для различных операционных систем на базе Windows:

Значение по умолчанию операционной системы
Windows Server 2008 и Windows Vista 0x91
Windows Server 2003 0x95
Windows XP 0x91
Windows 2000 0x95

понедельник, 21 мая 2012 г.

Удаление вируса из авторана


Вирус или вредоносное программное обеспечение всегда используют функцию Autorun, чтобы распространиться от съемного диска / pendrive к нашему компьютеру. Когда мы отключаем опцию автовыполнения через тонкую настройку реестра, функция не может быть, отключают полностью. Теперь, Microsoft дала нам патч, чтобы отключить автовыполненный полностью. Я покажу, как отключить автовыполненный полностью.
Загрузка Отключает Автовыполнение Полностью 1.0 и выполняет его. Это сделает все это для, или можете выполнить шаги ниже:

Установите патч, описанный в статье KB 953252 (для Vista и Windows Server 2008) или 967715 (для XP, 2000, и Сервер 2003).

Для соображений безопасности это строго рекомендовало, чтобы отключили AutoRun для всех устройств. В недомашних версиях XP и Vista, используйте Редактора Групповой политики. В XP нажмите Start, Run. (В Vista нажмите Start.) Вводят gpedit.msc и нажимают Enter. В левой области, под Компьютерной Конфигурацией, разворачивают Административные Шаблоны.

В Профессионале XP выберите System в правильной области под Административными Шаблонами, щелкните правой кнопкой по Turn off Autoplay в правильной области и выберите Properties. Нажмите Enabled, выберите All drives в поле "Turn off Autoplay", нажмите "OK" и закройте Редактора Групповой политики.

В Бизнесе Vista и выше, разверните Компоненты Windows и выберите AutoPlay Policies. В правильной области дважды щелкните по Turn off Autoplay, нажмите Enabled, выберите, All drives в выпадающем меню рядом с "Выключают Автоматическое воспроизведение на," нажмите "OK" и закройте Редактора Групповой политики.

Чтобы отключить AutoRun в домашних версиях XP и Vista — у которых нет Редактора Групповой политики — используют Редактор реестра. В XP нажмите Start, Run. (В Vista нажмите Start.) Вводят regedit и нажимают Enter. Переместитесь к и выберите следующий ключ:

HKEY_LOCAL_MACHINE \программное обеспечение \Microsoft \Windows \CurrentVersion \политики \проводник

В правильной области дважды щелкните по NoDriveTypeAutoRun, введите 0xFF в поле "Value data", удостоверьтесь Шестнадцатеричные, выбран под Основой, нажмите "OK", и выйдите из Редактора реестра, или загрузите файл реестра здесь и дважды щелкните по файлу, чтобы изменить реестр.
Как только отключили AutoRun, должны будете использовать Windows Explorer, чтобы получить доступ к файлам данных на запоминающих устройствах USB и оптических носителях, которые вставляете в PC. Если загружаете диск, который содержит аудио или видео, можете требовать открыть любимый медиапроигрыватель, чтобы выполнить контент. Однако, это - маленькая цена, чтобы заплатить за край безопасности, который получаете, отключая AutoRun.

Примечание:
Если требуете настроить автонастройки выполнения так, чтобы автовыполнение на CD-ROM не было отключено, можете использовать Автонастройки выполнения, инструмент тонкой настройки автовыполнения.

вирус MyDisk как удалить?


MyDisk - поддельный инструмент оптимизации, которые обманывают пользователя, что он может оптимизировать производительность жесткого диска, памяти и системы. Фактически, MyDisk не может оптимизировать производительность, но просто может испугать пользователя с большим количеством поддельных ошибок в жестком диске и памяти. MyDisk определенно скажет пользователю, что есть ошибки в жестком диске и памяти. MyDisk даже остановит другую программу, такую как законный антивирус, чтобы удалить его из компьютера. MyDisk - просто ЖУЛЬНИЧЕСТВО. Это ничего не может сделать. MyDisk убедит пользователя купить полную версию MyDisk так, чтобы обмануть деньги от пользователя. Не покупайте MyDisk, поскольку он не может помочь оптимизировать или восстанавливать что-либо.

MyDisk может быть удален при помощи HiJackFree Emsisoft, чтобы остановить процессы и уничтожить файлы от жесткого диска. Затем, пользователь должен восстановить ключи реестра, добавленные и измененные MyDisk. Наконец, весь файл, связанный с MyDisk, должен быть удален из жесткого диска. Все они был показан в руководстве по удалению ниже.

MyDisk должен быть сразу удален!

Руководство по удалению MyDisk
Уничтожьте процесс
(Как уничтожить процесс эффективно?)
[СЛУЧАЙНЫЙ].exe

Файлы DLL нерегистра
% %Temp \[СЛУЧАЙНЫЙ].dll

Удалите реестр
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" [СЛУЧАЙНЫЙ].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run", [СЛУЧАЙНЫЙ]"

Удалите папки и файлы
%UserProfile %\Start Menu\Programs\MyDisk
%UserProfile %\Desktop\MyDisk.lnk
%ProgramFiles %\MyDisk
%Temp %\dfrg
%Temp %\dfrgr
% %Temp \[random].dll
% %Temp \[ random ].exe
% %Temp \[ random ]

Фальшивка или антивирус жулика?


Антивирус фальшивки или жулика обманул много людей в настоящее время. Обычно большинство людей было "внезапно" заражено антивирусом жулика или антишпионящим ПО, установленным, даже не зная его. Это устанавливает автоматически после щелчка по кнопке в веб-сайте, которые показывают очень убедительное сообщение, говоря, что имеете вирус или шпионящее ПО.

Поддельный Антивирус - тип вируса/вредоносного программного обеспечения, который маскирует себя, чтобы быть антивирусом. Это заражает компьютер, когда случайно щелкаете по ссылке в веб-сайте, который будет загружать вредоносное программное обеспечение в компьютер и работать автоматически, когда окна загрузятся. Это сканирует зараженный компьютер, и производит поддельные аварийные предупреждения. Это убеждает, что компьютер в опасности, и убедите купить бесполезную копию поддельного антивируса. Эти поддельные антивирусы должны быть сразу удалены.

Как это прибывается от нажатия кнопки в веб-сайте через браузер как Internet Explorer или Firefox, я строго рекомендую всем установить Sandboxie и Firefox использования как основной браузер.

Установите NoScript, чтобы предотвратить вредоносный сценарий, чтобы установить вирус в компьютере.

Затем, выполните браузер, Firefox, в Песочнице после установки Sandboxie так, чтобы никакой вирус не был установлен в компьютере. Почему? Считайте эту статью.

Я использовал Sandboxie в течение лет пары. Недо настоящего времени мой компьютер лишен любого вируса, и я просто использую Свободный AVG в качестве своего основного антивируса только. Попробуйте Sandboxie и Firefox (с установленным NoScript) теперь! Компьютер будет лишен большей части типа вирусов!

Windows первоклассное средство защиты - вирус!!!


Первоклассное Средство защиты Windows - поддельная антивирусная программа, которые пытаются делать деньги от пользователей зараженных компьютеров. Первоклассный дисплей Средства защиты Windows фальсифицирует предупреждения и сканирования компьютеры, которые возвращают ложные результаты только, чтобы убедить пользователей купить полную версию Windows Первоклассное Средство защиты. Первоклассное Средство защиты Windows утверждает, что может удалить компьютерные вирусы, шпионящее ПО или другие типы вредоносного программного обеспечения, если пользователи покупают полную версию Windows Первоклассное Средство защиты. Не обманывайтесь тем, чего это требовало, поскольку все они - ложь! Первоклассное Средство защиты Windows блокирует выполнение других программ, чтобы запугать предназначенных пользователей компьютера в размышление, что их системы повреждены с вредоносным программным обеспечением.

Windows Первоклассное Средство защиты обеспечивает поддельные функции те, которые обеспечивают поддельные функции, такие как Брандмауэр, Автоматические обновления, Антивирусная защита, Антифишинг, Усовершенствованное Управление процессом, менеджер по Автовыполнению, Менеджер по сервису, Единый Комплект, Быстрое Сканирование, Глубокое Сканирование, Пользовательское Сканирование и и т.д. Все они не могут защитить компьютер ни от какого вида вредоносного программного обеспечения.

Windows Первоклассное Средство защиты может быть удален сначала, останавливая его процессы и затем уничтожить свои файлы при помощи HiJackFree Emsisoft. Затем пользователь должен удалить все связанные файлы и папку. Наконец, восстановите ключи реестра, добавленные и измененные Windows Первоклассное Средство защиты (Чтение руководство по удалению ниже, чтобы удалить Windows Первоклассное Средство защиты успешно).

Windows Первоклассное Средство защиты должен быть сразу удален!

Windows первоклассное руководство по демонтажу средства защиты
Читайте, Как удалить вирус эффективно прежде, чем следовать за руководством ниже.

Уничтожьте процесс
[случайный].exe

Удалите реестр
Настройки HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet "WarnOnHTTPSToHTTPRedirect" = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableRegedit" = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableRegistryTools" = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Инспектор"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Settings "сеть" = 2012-3-1_2
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Settings "UID" = "fneqtdmtpi"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_ERROR_PAGE_BYPASS_ZONE_CHECK_FOR_HTTPS_KB954312
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image выполнение файла Options\ashCnsnt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image выполнение файла Options\avxmonitor9x.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image выполнение файла Options\fnrb32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image выполнение файла Options\mmod.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image выполнение файла Options\oasrv.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image выполнение файла Options\symtray.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image выполнение файла Options\windows управляют на основе политик Pro.exe
... и еще много записей Опций Выполнения Файла изображения.


Удалите папки и файлы
%AppData %\NPSWF32.dll
%AppData %\Protector-[случайный].exe
%AppData %\result.db
%CommonStartMenu %\Programs\Windows первоклассный Protector.lnk
%Desktop %\Windows первоклассный Protector.lnk

Главные правила удаления программ


$PROGRAMFILES, $PROGRAMFILES32, $PROGRAMFILES64
Каталог программных файлов (обычно C:\Program Files, но обнаруженный во времени выполнения). На Windows x64$PROGRAMFILES и $PROGRAMFILES32 указывают на C:\Program Files (x86), в то время как $PROGRAMFILES64 указывает на C:\Program Files. Используйте $PROGRAMFILES64 при устанавливании x64 приложений.

$COMMONFILES, $COMMONFILES32, $COMMONFILES64
Каталог общих файлов. Это - каталог для компонентов, которые совместно использованы по приложениям (обычно C:\Program Files\Common Files, но обнаружены во времени выполнения). На Windows x64$COMMONFILES и $COMMONFILES32 указывают на C:\Program Files (x86)\Common Files, в то время как $COMMONFILES64 указывает на C:\Program Files\Common Files. Используйте $COMMONFILES64 при устанавливании x64 приложений.

$DESKTOP
Настольный каталог Windows (обычно C:\Windows\Desktop, но обнаруженный во времени выполнения). Контекст этой константы (Все Пользователи или Текущий пользователь) зависит от установки SetShellVarContext. Значение по умолчанию - текущий пользователь.

$WINDIR
Каталог Windows (обычно C:\Windows или C:\WinNT, но обнаруженный во времени выполнения).

$SYSDIR
Системный каталог Windows (обычно C:\Windows\System или C:\WinNT\System32, но обнаруженный во времени выполнения).

$TEMP
Система временный каталог (обычно C:\Windows\Temp, но обнаруженный во времени выполнения).

$STARTMENU
Папка меню "Пуск" (полезный в добавлении использования элементов меню "Пуск" CreateShortCut). Контекст этой константы (Все Пользователи или Текущий пользователь) зависит от установки SetShellVarContext. Значение по умолчанию - текущий пользователь.

$SMPROGRAMS
Папка программ меню "Пуск" (используют это каждый раз, когда требуете $STARTMENU\Programs). Контекст этой константы (Все Пользователи или Текущий пользователь) зависит от установки SetShellVarContext. Значение по умолчанию - текущий пользователь.

$SMSTARTUP
Программы меню "Пуск" / запускают папку. Контекст этой константы (Все Пользователи или Текущий пользователь) зависит от установки SetShellVarContext. Значение по умолчанию - текущий пользователь.

$QUICKLAUNCH
Быстрая папка запуска для активного рабочего стола IE4 и выше. Если быстрый запуск не доступен, просто возвращает то же как $TEMP.

$DOCUMENTS
Каталог документов. Типичный путь для текущего пользователя - C:\Documents and Settings\Foo\My Documents. Контекст этой константы (Все Пользователи или Текущий пользователь) зависит от установки SetShellVarContext. Значение по умолчанию - текущий пользователь.
Эта константа не доступна на Windows 95 с Internet Explorer 4 не установленный.

$SENDTO
Каталог, который содержит элементы ярлыка меню Send To.

$RECENT
Каталог, который содержит ярлыки на недавно используемые документы пользователя.

$FAVORITES
Каталог, который содержит ярлыки на любимые веб-сайты пользователя, документы, и т.д. контекст этой константы (Все Пользователи или Текущий пользователь) зависит от установки SetShellVarContext. Значение по умолчанию - текущий пользователь.
Эта константа не доступна на Windows 95 с Internet Explorer 4 не установленный.

$MUSIC
Каталог музыкальных файлов пользователя. Контекст этой константы (Все Пользователи или Текущий пользователь) зависит от установки SetShellVarContext. Значение по умолчанию - текущий пользователь.
Эта константа доступна на Windows XP, Мэн и выше.

$PICTURES
Каталог файлов изображения пользователя. Контекст этой константы (Все Пользователи или Текущий пользователь) зависит от установки SetShellVarContext. Значение по умолчанию - текущий пользователь.
Эта константа доступна на Windows 2000, XP, ME и выше.

$VIDEOS
Каталог видеофайлов пользователя. Контекст этой константы (Все Пользователи или Текущий пользователь) зависит от установки SetShellVarContext. Значение по умолчанию - текущий пользователь.
Эта константа доступна на Windows XP, Мэн и выше.

$NETHOOD
Каталог, который содержит объекты ссылки, которые могут существовать в папке My Network Places/Network Neighborhood.
Эта константа не доступна на Windows 95 с Internet Explorer 4 и Active Desktop, не установленный.

$FONTS
Каталог шрифтов системы.

$TEMPLATES
Каталог шаблонов документов. Контекст этой константы (Все Пользователи или Текущий пользователь) зависит от установки SetShellVarContext. Значение по умолчанию - текущий пользователь.

$APPDATA
Каталог данных приложения. Обнаружение текущего пользовательского пути требует Internet Explorer 4 и выше. Обнаружение всего пользовательского пути требует Internet Explorer 5 и выше. Контекст этой константы (Все Пользователи или Текущий пользователь) зависит от установки SetShellVarContext. Значение по умолчанию - текущий пользователь.
Эта константа не доступна на Windows 95 с Internet Explorer 4 и Active Desktop, не установленный.

$LOCALAPPDATA
Локальная переменная (нероуминг) каталог данных приложения.
Эта константа доступна на Windows 2000 и выше.

$PRINTHOOD
Каталог, который содержит объекты ссылки, которые могут существовать в папке Printers.
Эта константа не доступна на Windows 95 и Windows 98.

$INTERNET_CACHE
Временный интернет-каталог файлов Internet Explorer.
Эта константа не доступна на Windows 95 и Windows NT с Internet Explorer 4 и Active Desktop, не установленный.

$COOKIES
Каталог cookie Internet Explorer.
Эта константа не доступна на Windows 95 и Windows NT с Internet Explorer 4 и Active Desktop, не установленный.

$HISTORY
Каталог истории Internet Explorer.
Эта константа не доступна на Windows 95 и Windows NT с Internet Explorer 4 и Active Desktop, не установленный.

$PROFILE
Каталог профиля пользователя. Типичный путь - C:\Documents and Settings\Foo.
Эта константа доступна на Windows 2000 и выше.

$ADMINTOOLS
Каталог, где средства администрирования сохранены. Контекст этой константы (Все Пользователи или Текущий пользователь) зависит от установки SetShellVarContext. Значение по умолчанию - текущий пользователь.
Эта константа доступна на Windows 2000, Мэн и выше.

$RESOURCES
Каталог ресурсов, который хранит темы и другие ресурсы Windows (обычно C:\Windows\Resources, но обнаруженный во времени выполнения).
Эта константа доступна на Windows XP и выше.

$RESOURCES_LOCALIZED
Локализованный каталог ресурсов, который хранит темы и другие ресурсы Windows (обычно C:\Windows\Resources\1033, но обнаруженный во времени выполнения).
Эта константа доступна на Windows XP и выше.

$CDBURN_AREA
Каталог, где ожидание файлов, которое будет записано к CD, сохранены.
Эта константа доступна на Windows XP и выше.

$HWNDPARENT
Десятичный HWND родительского окна.

HKCR = HKEY_CLASSES_ROOT
HKLM = HKEY_LOCAL_MACHINE
HKCU = HKEY_CURRENT_USER
HKU = HKEY_USERS
HKCC = HKEY_CURRENT_CONFIG
HKDD = HKEY_DYN_DATA
HKPD = HKEY_PERF=MANCE_DATA
SHCTX = SHELL_CONTEXT

SetShellVarContext (current|all)
Устанавливает контекст $SMPROGRAMS и других папок оболочки. Если установлено в 'текущий' (значение по умолчанию), папки оболочки текущего пользователя используются. Если установлено во 'все', 'все пользователи' папка оболочки используются. Вся пользовательская папка не может поддерживаться на всех Ose. Если вся пользовательская папка не будет найдена, то текущая пользовательская папка будет использоваться.

воскресенье, 13 мая 2012 г.

Предупреждение! Загрузите Adobe Flash Player только в Adobe.com!


Все пользователи компьютера должны знать об этом предупреждении и никогда не загружать Adobe Flash Player ни через какой источник кроме Adobe.com веб-сайт.

Если когда-либо сомнительны из Обновления Flash player, может быть лучше отменить работу и переместиться к http://www.adobe.com и загрузить обновление.

Почему? Как вирусное распространение через поддельный Adobe Flash Player такой как Adobe_Player11.exe загружено с другого веб-сайта.

Удаление вируса Windows Sleek Performance


Гладкая Производительность Windows - поддельная антивирусная программа, которая обманывает пользователя, чтобы купить полную версию Windows Гладкая Производительность, показывая поддельное обнаружение компьютера. Когда Windows, Гладкая Производительность установлена в компьютере, она запустится автоматически, когда Windows загрузятся. Затем, Windows Гладкая Производительность отсканирует компьютер и конечно утвердит, что есть много файлов в компьютере, заражены вредоносным программным обеспечением. Гладкая Производительность Windows убедит пользователя купить полную версию Windows Гладкая Производительность, чтобы удалить все вредоносное программное обеспечение. Однако, Windows Гладкая Производительность не может обнаружить и удалить любое вредоносное программное обеспечение из компьютера. Все обнаружение - ложь. Windows Гладкая Производительность симулирует быть связанным с Microsoft при помощи значка Windows и всестороннего и удобного для пользователя интерфейса.

Windows Гладкая Производительность может быть удален, останавливая все процессы со случайным именем и также уничтожить свои файлы. Затем, все ключи реестра добавили и изменили, должен быть очищен при помощи Редактора реестра Windows.

Windows Гладкая Производительность обеспечивает поддельные функции те, которые обеспечивают поддельные функции, такие как Брандмауэр, Автоматические обновления, Антивирусная защита, Антифишинг, Усовершенствованное Управление процессом, менеджер по Автовыполнению, Менеджер по сервису, Единый Комплект, Быстрое Сканирование, Глубокое Сканирование, Пользовательское Сканирование и и т.д. Все они не могут защитить компьютер ни от какого вида вредоносного программного обеспечения

Windows Гладкая Производительность должен быть сразу удален!

Windows гладкое руководство по удалению производительности
Уничтожьте процесс
[случайный].exe

Удалите реестр
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "WarnOnHTTPSToHTTPRedirect" = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableRegedit" = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableRegistryTools" = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Inspector"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Settings "net" = 2012-3-1_2
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Settings "UID" = "fneqtdmtpi"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_ERROR_PAGE_BYPASS_ZONE_CHECK_FOR_HTTPS_KB954312
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashCnsnt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avxmonitor9x.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\fnrb32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmod.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\oasrv.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\symtray.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\windows Police Pro.exe
... and many more Image File Execution Options entries.

Remove Folders and Files
%AppData%\NPSWF32.dll
%AppData%\Protector-[random].exe
%AppData%\result.db
%CommonStartMenu%\Programs\Windows Protection Unit.lnk
%Desktop%\Windows Protection Unit.lnk

Удаление вируса Windows Pro Solutions


Windows Pro Решения - поддельная антивирусная программа, которая не МОЖЕТ ОБНАРУЖИТЬ И УДАЛИТЬ любой вид вируса, вредоносного программного обеспечения и троянский. Windows Pro Решения могут сделать, только просто показывают всплывающие окна, чтобы убедить пользователя, что компьютер был заражен вредоносным программным обеспечением и убеждает пользователя купить полную версию Windows Pro Решения. Windows Pro инфекции Решений, как известно, распространяются посредством поддельных онлайновых системных предупреждений, которые предупреждают пользователя об инфекциях, которые требуют, чтобы пользователь загрузил Windows Pro Решения удалить их. Windows Pro Решения запустятся автоматически, когда Windows загрузятся. Затем Windows Pro Решения сделают поддельное сканирование на компьютере, и затем это покажет поддельный отчет. Не покупайте Windows Pro Решения, поскольку он ничего не может сделать. Пользователь должен переключиться на Безопасный режим, чтобы удостовериться, что любые сканирования обнаруживают Windows Pro Решения и удаляют Windows Pro Решения с приложениями антивредоносного программного обеспечения, которые разработаны, чтобы обработать такие угрозы.

Windows Pro Решения обеспечивают поддельные функции те, которые обеспечивают поддельные функции, такие как Брандмауэр, Автоматические обновления, Антивирусная защита, Антифишинг, Усовершенствованное Управление процессом, менеджер по Автовыполнению, Менеджер по сервису, Единый Комплект, Быстрое Сканирование, Глубокое Сканирование, Пользовательское Сканирование, и и т.д. Все они не могут защитить компьютер ни от какого вида вредоносного программного обеспечения.

Windows Pro Решения может быть удален при помощи HiJackFree Emsisoft, чтобы остановить процессы и уничтожить файлы от жесткого диска. Затем, пользователь должен восстановить ключи реестра, добавленные и измененные Windows Pro Решения. Наконец, весь файл, связанный с Windows Pro Решения, должен быть удален из жесткого диска. Все они был показан в руководстве по удалению ниже.

Пользователи компьютера должны помнить, что любое время, когда они встречаются с веб-страницей, которая утверждает, что компьютер заражен, они не должны верить им, поскольку большинство этих страниц - жульничества, пытающиеся заставить их устанавливать фактическую инфекцию. Второй метод, который может использоваться, чтобы установить этот поддельный антивирус, через взломанные веб-сайты, которые устанавливают Windows Pro Решения на компьютере без их знания, используя уязвимости в устаревших программах.

Windows Pro Решения должен быть сразу удален!

Windows Pro руководство по удалению решений
Уничтожьте процесс
(Как уничтожить процесс эффективно?)
[случайный].exe

Удалите реестр
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "WarnOnHTTPSToHTTPRedirect" = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableRegedit" = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableRegistryTools" = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Inspector"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Settings "net" = 2012-3-1_2
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Settings "UID" = "fneqtdmtpi"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_ERROR_PAGE_BYPASS_ZONE_CHECK_FOR_HTTPS_KB954312
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashCnsnt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avxmonitor9x.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\fnrb32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmod.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\oasrv.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\symtray.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\windows Police Pro.exe
... and many more Image File Execution Options entries.

Remove Folders and Files
%AppData%\NPSWF32.dll
%AppData%\Protector-.exe
%AppData%\result.db
%CommonStartMenu%\Programs\Windows Pro Solutions.lnk
%Desktop%\Windows Malware Sleuth.lnk

пятница, 4 мая 2012 г.

выключите или отключите центр обеспечения безопасности на Винде


1. Нажмите Win+R или Click Start и затем нажмите Run.
2. Введите services.msc и нажмите Enter.
3. В правильной области прокрутите вниз, пока не будете видеть Центр обеспечения безопасности. Щелкните правой кнопкой по нему и нажмите Stop.
4. Щелкните правой кнопкой по нему снова и нажмите Properties.
5. Выберите Отключенный в поле списка Startup Type.
6.Нажмите кнопку OK.

Как усилить защиту компьютера?


Должны иметь мгновенные Брандмауэры. "Брандмауэр" разделит внутреннюю сеть и Интернет. Брандмауэр выполняет некоторую фильтрацию, когда две сети связываются. Это позволяет данным, что позволяете вводить сеть, и также блокировать данные, которые отвергаете от сети. Это может препятствовать тому, чтобы вредоносное программное обеспечение изменило, копировало или уничтожило материал. Должны сохранить обновление брандмауэра, чтобы удостовериться, чтобы оно работало отлично.

Затем, должны препятствовать тому, чтобы вирус ввел компьютер. Должны установить Антивирусное программное обеспечение и запустить процесс контроля в реальном времени и сохранить программное обеспечение и вирусный файл определения актуальными, устанавливая процесс обновления в ежедневном режиме. Должны сканировать компьютер каждую неделю с последним обновленным антивирусом. Должны отсканировать перьевой диск USB прежде, чем включите компьютер, поскольку это - один из самых быстрых путей вирусное инфицирование и распространение в компьютере и к другим компьютерам.

Наконец, должны принять меры против Шпионящего ПО. Шпионящее ПО - программа, которая установлена без пользовательской авторизации. Это может получить информацию и отправить третьей стороне. Шпионящее ПО может автоматически присоединить в программном обеспечении, исполнимая программа отображают и врываются в пользовательский компьютер. Они используются, чтобы отследить информацию использования компьютера, записать хиты клавиатуры или получить снимок экрана. Чтобы избавиться от шпионящего ПО, должны повысить уровень безопасности браузера, программное обеспечение установки, чтобы принять меры от шпионящего ПО и проверить с официальным сайтом о программном обеспечении, которое хотели бы установить. Можете установить Sandboxie, чтобы защитить компьютер от атаки шпионящих ПО.

Не нужно отключать UAC на компьютере,это приводит к заряжению компьютера вирусами!!


UAC или Управление учетными записями пользователей - одна из очень хороших функций, обеспеченных Windows Vista и Windows 7. Однако, много людей пытаются отключить его, поскольку они думают, что UAC бесполезен!




Вредоносное программное обеспечение атакует компьютеры, изменяя системные файлы и реестр так, чтобы он был выполнен автоматически каждый раз, когда компьютер включает. UAC спросит наше разрешение прежде, чем позволить вредоносному программному обеспечению атаковать наши компьютеры. Вредоносное программное обеспечение никогда не будет иметь возможности атаковать наш компьютер, если мы не отключим UAC и нажмем кнопку "No / Cancel", когда UAC спрашивают наше разрешение. Просто не нажимайте кнопку "Yes / Continue", если мы действительно не знаем, какова программа!





Большинство людей пытается отключить UAC, поскольку они чувствуют себя сердитыми за подсказку UAC выяснение у них разрешение выполнить программу. Однако, когда мы отключаем UAC, больше подсказки UAC, чтобы препятствовать тому, чтобы вредоносное программное обеспечение атаковало наш компьютер. Не доверяйте антивирусу, что он может защитить наш компьютер от вредоносного программного обеспечения, поскольку вредоносное программное обеспечение всегда обновляет быстрее, чем антивирус! Об обновлении антивируса его определение после нового вредоносного программного обеспечения сообщают. Однако, факт - то, что есть столько вредоносного программного обеспечения, которое необнаружимо лучшим обновленным антивирусом (как Kaspersky), поскольку они становятся очень очень очень быстрыми.

Таким образом никогда не отключайте UAC, или станете одной из жертвы, атакованной вредоносным программным обеспечением!

Никогда не нажимайте кнопку "Yes / Continue" (в подсказке UAC), если действительно не знаете, какова программа!

Нажмите кнопку "No / Cancel" (в подсказке UAC), если не знаете, что программа - вредоносное программное обеспечение или нет.

Лучшая политика:

Установите настройки UAC в высший уровень:

Антивирусы обманки


Антивирус фальшивки или жулика обманул много людей в настоящее время. Обычно большинство людей было "внезапно" заражено антивирусом жулика или антишпионящим ПО, установленным, даже не зная его. Это устанавливает автоматически после щелчка по кнопке в веб-сайте, которые показывают очень убедительное сообщение, говоря, что имеете вирус или шпионящее ПО.

Поддельный Антивирус - тип вируса/вредоносного программного обеспечения, который маскирует себя, чтобы быть антивирусом. Это заражает компьютер, когда случайно щелкаете по ссылке в веб-сайте, который будет загружать вредоносное программное обеспечение в компьютер и работать автоматически, когда окна загрузятся. Это сканирует зараженный компьютер, и производит поддельные аварийные предупреждения. Это убеждает, что компьютер в опасности, и убедите купить бесполезную копию поддельного антивируса. Эти поддельные антивирусы должны быть сразу удалены.

Как это прибывается от нажатия кнопки в веб-сайте через браузер как Internet Explorer или Firefox, я строго рекомендую всем установить Sandboxie и Firefox использования как основной браузер.

Установите NoScript, чтобы предотвратить вредоносный сценарий, чтобы установить вирус в компьютере.

Затем, выполните браузер, Firefox, в Песочнице после установки Sandboxie так, чтобы никакой вирус не был установлен в компьютере. Почему? Считайте эту статью.

Я использовал Sandboxie в течение лет пары. Недо настоящего времени мой компьютер лишен любого вируса, и я просто использую Свободный AVG в качестве своего основного антивируса только. Попробуйте Sandboxie и Firefox (с установленным NoScript) теперь! Компьютер будет лишен большей части типа вирусов!

четверг, 3 мая 2012 г.

Зачем использовать Firefox вместо IE?


1. Internet Explorer (IE) становится одной из главных целей хакеров во всем мире. Им нравится взламывать IE. Они чувствуют себя настолько восхищенными после успешного взламывания в нем. Они делают много троянов и червей, чтобы атаковать IE.

2. Скорость для Firefox в загрузке страницы намного быстрее, чем IE. Можете судить себя. Firefox загрузки здесь.

3. Есть много дополнений, обеспеченных в Firefox, но у IE нет таких хороших функций.

4. Мы можем обновить Firefox легко по сравнению с IE.

5. Firefox свободен, но IE интегрирован в исходных Windows, которые стоят сотни долларов.

6. Firefox может быть сделан переносимым, но  не IE. Переносимый Firefox может быть принесен к где угодно при помощи перьевого диска или съемного диска.

7. Firefox предоставляет нам очень хорошее дополнение менеджера загрузок (DownThemAll), которые увеличивают скорость загрузки приблизительно для 400%, но у IE нет таких функций. Обеспеченный менеджер загрузок не хорош, поскольку скорость загрузки очень медленная.

Безопасный Браузер


Безопасный Браузер - Браузер, по которому можете переместиться безопасно во все время, не позволяя вирусу, чтобы заразить компьютер. Действительно ли такой браузер доступен в мире? Я подтверждаю, что нет такого браузера. Однако, мы можем использовать программное обеспечение, чтобы сделать браузер, чтобы стать безопасным браузером. Что это? Sandboxie - ответ.

Это даст 100%-ую защиту компьютеру, когда осуществите навигацию в интернете. Как это может сделать? Смотрите на изображение ниже:

Красные стрелки указывают на изменения, вытекающие из рабочей программы в компьютер. Поле маркировало Жесткий диск (никакая песочница) показывает изменения программой, работающей обычно. Поле маркировало Жесткий диск (с песочницей), показывает изменения программой, работающей под Sandboxie. Анимация иллюстрирует, что Sandboxie в состоянии прервать изменения и изолировать их в песочнице, изображенной как желтый прямоугольник. Это также иллюстрирует, что собирание в группу изменений упрощает удалять всех их сразу.

Можете выполнить Веб-браузер при защите Sandboxie, что все вредоносное программное обеспечение, загруженное браузером, захвачено в песочнице и может быть отброшено тривиально. Это означает, что все вредоносное программное обеспечение не будет зараженный компьютер, поскольку они захвачены в песочнице. Они не могут внести изменения в реестр или создать любой файл к компьютеру, поскольку они могут просто работать в песочнице только. Я буду использовать эту программу почти два года. Я чувствую себя очень безопасным до сих пор. Никакой вирус не заразил мой компьютер, так как я использую эту программу.

Как использовать его?
После установки программа, выполненная Веб-браузер Выполнения ярлыка sandboxed. Это автоматически выполнит браузер по умолчанию в Песочницу, и можете начать обладать 100%-ым безопасным перемещением. Попробуйте его.

Бойся лже антивируса!!!


Советник Windows Daily - поддельная антивирусная программа, которая обманывает пользователя, чтобы купить полную версию Советника Windows Daily, показывая поддельное обнаружение компьютера. Советник When Windows Daily установлен в компьютере, он запустится автоматически, когда Windows загрузятся. Затем, Советник Windows Daily отсканирует компьютер и конечно утвердит, что есть много файлов в компьютере, заражены вредоносным программным обеспечением. Советник Windows Daily убедит пользователя купить полную версию Советника Windows Daily, чтобы удалить все вредоносное программное обеспечение. Однако, Советник Windows Daily не может обнаружить и удалить любое вредоносное программное обеспечение из компьютера. Все обнаружение - ложь. Советник Windows Daily симулирует быть аффилированным с Microsoft при помощи значка Windows и всестороннего и удобного для пользователя интерфейса.

Советник Windows Daily может быть удален, останавливая все процессы со случайным именем и также уничтожить его файлы. Затем, все ключи реестра добавили и изменили, должен быть очищен при помощи Редактора реестра Windows.

Советник Windows Daily обеспечивает поддельные функции те, которые обеспечивают поддельные функции, такие как Брандмауэр, Автоматические обновления, Антивирусная защита, Антифишинг, Усовершенствованное Управление процессом, менеджер по Автовыполнению, Менеджер по сервису, Единый Комплект, Быстрое Сканирование, Глубокое Сканирование, Пользовательское Сканирование, и и т.д. Все они не могут защитить компьютер ни от какого вида вредоносного программного обеспечения

Советник Windows Daily должен быть сразу удален!

Советник Windows Daily руководство по удалению:

Kill Process
[random].exe

Delete Registry
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "WarnOnHTTPSToHTTPRedirect" = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableRegedit" = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableRegistryTools" = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Inspector"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Settings "net" = 2012-3-1_2
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Settings "UID" = "fneqtdmtpi"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_ERROR_PAGE_BYPASS_ZONE_CHECK_FOR_HTTPS_KB954312
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ashCnsnt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avxmonitor9x.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\fnrb32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmod.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\oasrv.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\symtray.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\windows Police Pro.exe
... and many more Image File Execution Options entries.

Remove Folders and Files
%AppData%\NPSWF32.dll
%AppData%\Protector-[random].exe
%AppData%\result.db
%CommonStartMenu%\Programs\Windows Daily Adviser.lnk
%Desktop%\Windows Daily Adviser.lnk

среда, 2 мая 2012 г.

Как выбрать пароль


он эра внутренних букв и почтовых поздравлений приближается к концу. Сегодня мы могли едва найти человека, который использует почтовую службу, чтобы войти в контакт с родственниками благодаря техническим разработкам. У прибытия новых проигрывателей как телекоммуникации и Интернет было выставление традиционных служб как почтовый из основы игры. Сегодня очень трудно найти человека без ID электронного письма. У всех нас нас есть ID электронного письма и пароль, чтобы открыть почтовый ящик. Пароль создается во время создания ID электронного письма. Так как пароль может быть украден или предположен, большинство поставщиков услуг электронного письма позволяет изменять пароль. При создании пароля большинство пользователей создает пароль небрежно. Некоторые из них даже забывают пароль после того, как учетная запись будет создаваться. Пароль должен быть выбран очень мудро, так как Интернет - лучший способ распространить плохое впечатление от человека великому числу людей.
Microsoft рекомендует, чтобы пароль был по крайней мере 14 символами долго. Сила пароля определена различными типами символов, которые используете. Всегда лучше не использовать слова, находят в словарях как пароли. Если слова из словарей используются, хакер может легко предположить пароль учетной записи. Также примите во внимание, не используют общие пароли. Большинство людей использует 123456 в качестве пароля. Как просто хакер может найти такой пароль? Также не используйте локально используемые слова в качестве пароля. Это - очень общая тенденция в Керале, чтобы записать число PIN по картам ATM. Это походит на ключ обработки учетной записи вору.

Sality вирус: узнать больше?


Теперь я думаю, что больше информации должно быть предоставлено innorder, чтобы удовлетворить посетителей. Sality также известен как W32/Kookoo-A [Sophos]. Sality был обнаружен в 2003 4 июня. Это влияет на Операционные системы - Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows 2000.

Это заразит исполняемые файлы на локальных, съемных и удаленных совместно используемых дисках. Вирус также создает одноранговый ботнет (P2P) и получает URL дополнительных файлов, чтобы загрузить. Это тогда пытается отключить защитное программное обеспечение. Когда это заразило мою систему, это отключило мое антивирусное программное обеспечение (BitDefender Free Edition) и программное обеспечение антивредоносного программного обеспечения (MalwareBytes Свободный Выпуск). Это также предотвращает использование анти-rootkit программного обеспечения Rootkit Revealer.
 Некоторые формы вируса Sality, как сообщают, крадут нажатия клавиш от зараженных машин во вредоносных целях. W32. Sality заразит исполняемые файлы на локальных, съемных и удаленных совместно используемых дисках. Это заменяет исходный код узла в точке входа исполнимой программы, чтобы перенаправить выполнение к полиморфному зараженному вирусом коду, который был зашифрован и вставлен в последний раздел файла узла. В дополнение к инфицированию локальных и удаленно совместно используемых исполняемых файлов, W32. Sality будет преднамеренно искать определенные подключи реестра, чтобы заразить исполняемые файлы, которые работают, когда Windows запускается. Таким образом зараженный компьютер походит на страну по правилу террористов. Вся безопасность будет парализована, ведя к полному, сломили системы. Sality также предотвратит установку антивируса в к зараженному компьютеру.
В 2003, когда это было сначала обнаружено, W32. Sality был менее сложным файловым вирусом, предварительно ожидая его зараженный вирусом код к файлу узла и имея тайную возможность и keylogging функциональность. Поскольку годы передавались, это стало более сложным включением дополнительных функций, которые помогают подобному червю распространению, обеспечивают его выживание и выполняют злонамеренно разрушительные действия. Среди этих действий децентрализованная одноранговая сеть (P2P) это W32. Sality-зараженные компьютеры создают и заполняют.
Как затемнение точки входа (EPO) полиморфный файловый вирус, вирус получает контроль над телом узла, перезаписывая файл со сложными и зашифрованными инструкциями кода. Цель сложного кода состоит в том, чтобы сделать анализ более трудным для исследователей видеть реальную цель и функциональность, реализованную в коде. Это распространяется, заражая исполняемые файлы на локальных, съемных и удаленных совместно используемых дисках. У зараженных файлов будут свои исходные, начальные инструкции перезаписанными инструкциями сложного кода с зашифрованным телом зараженного вирусом кода расположенный в последнем разделе файла.
Загрузка и выполнение другого вредоносного программного обеспечения или угроз безопасности являются одной из основных целей этого вируса. Поставивший под угрозу узел переносит с ним список URL HTTP, которые указывают на ресурсы, которые будут загружены, дешифрованы и выполнены. Эти URL могут также указать на большее количество URL. Используемое шифрование является RC4 со статическими ключами, встроенными в поставивший под угрозу узел.

Мир Интернет


Уведенный дни, когда компьютер только использовался для конкретной цели, такой как поддержание учетных записей и данных и т.д., компьютеры Этого дня используются в различных целях и не только для бизнеса и т.д., Компьютер когда соединено с Интернетом способен к тому, чтобы быть используемым для различных факторов. Это могло или быть для того, чтобы заказать онлайновые билеты авиакомпаний, поезда или шины. Компьютер также полезен для социальных сетей и других материалов.
Все больше людей особенно подростковая генерация так используется к компьютеру и Интернету, что они просто не могут жить без него. Не можете ожидать жить повседневная жизнь без использования компьютера и Интернета. Это полностью доминировало над нашей жизнью. Таким образом, мы могли видеть лучшую производительность в нашей карьере и образовании также.
Компьютер открывает совершенно новую дверь для изучения и образования. Можете исследовать партию много вещей с использованием компьютера. Компьютер когда соединено с Интернетом более полезен, а не автономен. Таким образом, можете обеспечить лучшее использование компьютера, чем хранение, это бездействует.
Лучшая вещь о компьютере состоит в том, что он дает более быстрые результаты и вывод. Когда находитесь перед компьютером, это несомненно даст лучшие результаты в зависимости от вводов, которые обеспечиваете. У Интернета есть много опасностей также. Вирус - большая проблема. Компьютер когда затронуто с вирусом трудно убрать, и поэтому для становится очень трудным использовать его.
Как только компьютером управляет вирус, который это склонное, чтобы скомпрометировать с данными. Удостоверьтесь, что не позволяете, которые происходят и устанавливают хороший анти-вирус, который может держать такие угрозы отдельно. Предотвращение всегда лучше, чем средство исправления, и поэтому имейте анти-вирус в распоряжении вместо того, чтобы форматировать систему когда затронуто.

Почему на компьютере антивирус постоянно обновляется


Если выполняете надежную антивирусную программу на компьютере, можете раздражаться тем, сколько обновлений должны загрузить и как часто он сканирует систему. В то время как это может казаться неудобным, факт - то, что частые обновления - фактически знак эффективной антивирусной программы
Поскольку люди, которые создают вирусы, являются постоянным продумыванием новых способов вредить остальной части нас, антивирусные разработчики должны вдвое работать усиленно, чтобы не отставать от новых вирусов и вредоносных программ. Поскольку они не могут знать то, что плохие парни продумают затем, они могут только работать в ответ на вирусы, которые уже являются там.
К сожалению, они плохо парни постоянно на работе. Антивирусные программы должны постоянно пересматриваться, добавляться к и улучшаться, чтобы не отставать от числа вирусов, которые созданы и обнаружены ежедневно.
Когда покупаете антивирусный продукт, только покупаете лицензию за программное обеспечение, покупаете защиту сроком на время, обычно год. Это означает, что названы на все обновления и улучшения, которые необходимы, чтобы бережно хранить компьютер. Как только вирусы обнаружены, антивирусная компания создает фиксацию, которая тогда передана.
Антивирусное программное обеспечение не статично: это постоянно изменяется и улучшается. Обновления должны там предоставить последние исправления и бережно хранить компьютер от новых открытий. Это также разработано, чтобы отсканировать систему часто, чтобы обнаружить новые вирусы. Это бережно хранит компьютер и препятствует тому, чтобы вирус распространился другим.
В то время как это может казаться неудобным, важно помнить, что частые обновления - знак эффективного антивирусного инструмента. Это означает, что получаете денежный эквивалент от продукта и что это активно пытается предоставить лучшие защитные меры.

Avast! Бесплатный антивирус для Mac


С недавней вспышкой Ретроспективного кадра все еще полностью под управлением, все больше пользователей Mac осознает свою потребность в антивирусной защите. Последнее стой! Свободный Антивирус для (свободного) Mac имеет новый GUI и автоматические обновления. Это сканирует для вредоносного программного обеспечения по требованию и в режиме реального времени и предлагает премию веб-создания отчетов репутации.

Как Антивирус Sophos для Mac Home Edition (Свободная) версия 8, Стой в частности свободно для некоммерческого использования. Avira Бесплатная (Бесплатная) Безопасность Mac был выпущен как бесплатный продукт для любых пользователей, рекламы или потребителя.

В дополнение к сканированию целой системы, Стой может в частности отсканировать локальные, сетевые, или съемные объемы, отсканировать домашнюю папку пользователя или выполнить пользовательское сканирование. Это в частности ищет вирусы Mac, в отличие от Avira, Kaspersky Virus Scanner (для Mac) (прямые 9.99$), и VirusBarrier x6 (прямые $49.95/лет), которые также проверяют на вирусы Windows, проходящие через Mac. Однако, пользователи могут наблюдать и за Mac и за системами Windows, используя свободное Стой система Учетной записи.

Защита в реальном времени
Защита в реальном времени прибывает в форму трех экранов. Веб-Экран удостоверился, чтобы случайно не загружали вредоносные файлы. Экран Файловой системы проверяет все файлы на доступе. Вредоносный файл, который пытается запуститься, будет изолирован вместо этого. Почтовый Экран проверяет связь электронного письма и аннулирует любые вредоносные присоединения.

Можете просмотреть уровень действия для каждого экрана в графике в реальном времени или вырыть в отчеты относительно точно, какие меры они приняли. Раскрывающиеся уведомления сохраняют информируемыми о защитных действиях программы в режиме реального времени. Можете ограничить, раскрывается к критическим сообщениям, и управляйте, сколько времени они остаются экранными.

Веб-репутация
Веб-система репутации Avast не определенная ни для какой операционной системы. Также связанный стой! Свободный Антивирус 7 (свободный, 4 звезды) и стой! Защита в сети Интернет 7 (69.99$, прямые для трех лицензий, 3.5 звезд), веб-кнопка браузера репутации выводит на экран красный или зеленый значок для сайтов с полной плохой или хорошей репутацией.

Информация репутации прибывает от пользователей как. Когда нажимаете кнопку, можете оценить сайт в пяти масштабных шкалах от плохо до пользы и также тегировать ее с любым из пяти хороших и пяти плохих атрибутов. Значок кнопки браузера также показывает, есть ли у сайта нижний уровень, носитель или высокое число голосов.

Стой! Свободный Антивирус для Mac доступен как бесплатная загрузка в www.avast.com/free-antivirus-mac.

Comodo Antivirus 2012 лучшее для вас


Движение онлайн без антивирусной утилиты, чтобы охранять спину просто глупо. Даже самый безопасный, самый большой сайт может быть взломан так, чтобы просто посещение его заработало для нежелательную атаку вредоносного программного обеспечения. Стоимость не оправдание, не, когда есть свободные варианты как Антивирус Comodo 2012. Но будьте предупреждены: основанная на поведении Защита Comodo + модуль включит в список как существенный элемент борющейся с вредоносным программным обеспечением команды.

Установка
Антивирус Comodo, установленный без труда на всех кроме одной из моих 12 наполненных вредоносным программным обеспечением систем тестирования. Процесс установки чувствовал себя довольно долгим с требуемой перезагрузкой, сопровождаемой долгим антивирусным обновлением подписи. Сразу при окончании обновления, Comodo запустил полное сканирование. Это целесообразно — первая вещь, которую большинство пользователей требует сделать, удостоверяются, что нет никаких потаенных угроз.

В одной проблемной системе установка Comodo перестала работать с сообщением об ошибке каждый раз из-за интерференции вредоносным программным обеспечением. Установка в Безопасном режиме не работала, таким образом, я очистил систему, используя Comodo Очистка Основ (свободный, 4.5 звезды). После этого антивирус установлен без проблемы.

Средняя очистка
В конце каждого сеанса очистки вредоносного программного обеспечения Comodo сообщил, что он нашел вредоносное программное обеспечение и предложил иметь дескриптор эксперта GeekBuddy процесс очистки. Я счел это немного вводящим в заблуждение, так как служба GeekBuddy не свободна. В каждом случае я щелкал далеко по предложению.

Comodo перечисляет все угрозы вредоносного программного обеспечения, которые он нашел, вместе со связанным файлом и трассировками Реестра. Это присваивает каждый найденный элемент уровень риска, но отмечает угрозы всех уровней для удаления. В нескольких случаях это требовало перезагрузки, чтобы завершить очистку.

Comodo обнаружил 85 процентов угроз, просто волосок ниже среднего числа. Плохое удаление трассировок это действительно считало заработанным это посредственный счет удаления вредоносного программного обеспечения, 5.4 из 10 возможных точек. Это оставило позади исполнимые трассировки для близко к половине обнаруженных угроз, и для почти половины из тех, по крайней мере один процесс все еще бежал за воображаемым удалением. Comodo оставил позади все неисполнимые трассировки для многих из остальных. Антивирус AVG Свободный 2012 (свободный, 4 звезды), Выбор наших Редакторов для свободного антивируса, выиграл 6.5 в этом тесте.

Этот антивирус оказался особенно слабым против rootkits, обнаруживая 85 процентов из них и выигрывая низкие, низкие 3.9 точки, то же как McAfee AntiVirus Плюс 2012 (прямые 39.99$, 3.5 звезды). Очистка Comodo Основ удалила два rootkits, чтобы позволить установку Антивируса Comodo. Из обнаруженных одним только антивирусом, весь оставался работать с их rootkit технологией, все еще активной.

Антивирус Comodo действительно обнаруживал все scareware выборки, но большинство продуктов управляет тем подвигом. Счет Comodo 8.3 для scareware удаления фактически низок, учитывая, что хорошо более чем половина текущего соревнования выиграла 9.5 или выше. Norton AntiVirus 2012 (прямые 39.99$, 4.5 звезды) и Антивредоносное программное обеспечение Malwarebytes Свободные 1.51 (свободный, 4 звезды) успешно справился этот тест с совершенными 10.

McAfee Mobile Security 2.0 0 (для Android)

В прошлом месяце McAfee запустил Мобильную Безопасность 2.0, всесторонний мобильный комплект безопасности, который добавляет контроль приложения и функции блокирования текста/речи поверх мощной антивирусной и противоугонной защиты, сначала замеченной в прошлогоднем McAfee Мобильная Безопасность (прямые 29.99$). Это важно, учитывая, что вредоносные приложения - главный вектор вредоносного программного обеспечения. С этими двумя ключевыми дополнениями мудрый функцией McAfee складывает до Мобильного Наблюдения Выбора Редакторов. На нижней стороне это отправляет предупреждения подробно и занимает время, чтобы сконфигурировать, чтобы заставить его чувствовать себя столь же "невидимым" как другие мобильные приложения безопасности.

McAfee, который Мобильная Безопасность 2.0 бесплатная загрузить и использовать в течение 7 дней, затем будет стоить 29.99$ в год. Существующий McAfee Мобильные подписчики Безопасности получает обновление бесплатно. Инструмент также доступен для BlackBerry и пользователей Symbian, но без функции защиты приложения.

Я протестировал это приложение на загруженной приложением Галактике Samsung, Nexus с Android 4.0.2 и фабрикой сбрасывал Галактику Samsung S II с Android 2.3.5.

Начало
Начало работы с McAfee заняло несколько минут, которые могут чувствовать себя подобно времени жизни для мобильного приложения (в сравнении, Наблюдение и приложения BitDefender заняли секунды). После установки приложения должны зарегистрироваться в допустимом телефонном номере, добавьте "безопасных" приятелей, которые будут предупреждены, если устройство будет украдено, или SIM-карта заменена и устанавливала PIN. Будете требовать PIN, который не возражаете вводить каждый раз, когда открываете приложение или повторно активировать приложение, когда телефон вводит Режим ожидания. Я понимаю достоинства, но в действительности это - неприятность. Теперь установлены. Домашний экран McAfee выводит на экран все свои функции: сканирование вредоносного программного обеспечения, защита приложения, вызов и текстовые фильтры, резервное копирование, восстанавливает/вытирает/блокирует, и безопасный браузер

ПОЛУЧИТЕ БОЛЬШЕ ПОКРЫТИЯ APP ANDROID:
75 Лучших Приложений Android
40 Лучших Бесплатных Приложений Android
10 Обязательных Приложений Android
Руководство пользователя по приложениям Android
Антивирусная защита
К сожалению, здесь в PCMag, у нас нет средств, чтобы протестировать живое мобильное вредоносное программное обеспечение, таким образом, я не могу говорить о тщательности сканирований или скорости удаления вредоносного программного обеспечения. Когда главные тестовые лаборатории прокрутят наше тестирование вредоносного программного обеспечения Android, мы будем сообщать о тех результатах. McAfee говорит, что сканирует все присоединения, карты памяти, приложения, интернет-загрузки и текстовые сообщения, и или удаляет или сообщает о вредоносном программном обеспечении от устройства. Сканирование занимает до минуты или два, дольше, чем Наблюдение и BitDefender, но я не обнаруживал системного замедления, в то время как это работало. Я также смог запустить другие приложения без любой значимой задержки. Можете ежедневно планировать сканирования, еженедельно, или по требованию. Вирусные определения ежедневно обновляются.

До несколько интернет-угрозы назад, версия Android блокирует потенциальные сайты фишинга, браузер использует, и вредоносные коды QR. Однако, чтобы использовать это должны запустить браузер из приложения McAfee, которое является процессом с тремя шагами, который мог бы препятствовать тому, чтобы люди использовали его. Наблюдение, BitDefender, F-Secure и Защита семьи McAfee автоматически запускают защищенный браузер, когда пытаетесь открыть ссылку.

Управление приложением
McAfee Мобильная Безопасность 2.0 добавляет функцию управления приложением как те из BitDefender, F-Secure и Наблюдения, то, которое предупреждает каждый раз, загружаете приложение, и дает упрощенный обзор того, каких полномочий каждое приложение по телефону требует. Когда наслаждаетесь этот раздел из главного меню, McAfee составляет список всех приложений по телефону, включая собственные приложения как VZMessages (приложение обмена текстовыми сообщениями Verizon), и открывает простой, графический вид типов требуемых полномочий. Да, можете столь же легко найти эту информацию посредством собственных настроек Android, но McAfee организует это аккуратно, чтобы отметить чрезмерно агрессивные полномочия.

Это не может блокировать индивидуальное разрешение — никакое приложение безопасности не может — но можете щелкнуть, чтобы удалить его, неудобны с одними из полномочий. Например, приложение резервирования перемещения я использую, Каяк, значки полномочий выделений для Расположения, Сети и доступа Контактов. McAfee также выведет на экран все веб-сайты, к которым приложение может получить доступ — главным образом сторонние автоматизированные системы бронирования и объявления в случае Каяка — и примечания, если приложение представляет какую-либо угрозу конфиденциальности. Я не большой поклонник приложений, собирающих мою информацию расположения, таким образом, я удалил ее.

Как только рассмотрели приложение, оно удалено из этого списка, хотя я предпочел бы, чтобы он остался именно так, я могу видеть обзор полномочий всех приложений каждый раз, когда я требую.

вторник, 1 мая 2012 г.

Цифровой дела криминалистики объявления: Бесплатные инструменты, охота за сокровищами, попутными атаками и шпионажем


Как всегда, если имеете интересный элемент, думаете, должен быть включен в Цифровой Случай судебной экспертизы, Приводит сообщения, можете отправить его в caseleads@sans.org.

Инструменты:

В начале месяца AccessData выпускал новую версию их популярного (и свободный) утилита, Формирователь изображения FTK. У версии 3 есть много полезных функций, таких как возможность загрузить судебные изображения в VMware и возможности смонтироваться УТВЕРДИТЕЛЬНЫЙ, DD, E01 и форматы изображения S01 как физические устройства или буквы логического диска. Последняя версия приложения также поддерживает HFS +, VxFS (Файловая система Veritas), exFAT, EXT4, VHD Microsoft (Виртуальный Жесткий диск) и сжатые и несжатые файлы DMG. Ожидайте! Есть больше! У инструмента также есть возможность создать и просмотреть УТВЕРДИТЕЛЬНЫЙ (Усовершенствованный Судебный Формат) изображения.

Paraben Corporation выпускала обновление к своей свободной и профессиональной версии проводника P2. Профессиональные и бесплатные версии отличаются несколькими способами (главным образом, в 64-разрядной поддержке и поддержке VMware и изображений VirtualPC), но обе версии смонтируют большинство судебных форматов изображения как физические или логические диски.
Хорошие чтения:
Цифровой Поиск сокровищ Безопасности судебной экспертизы, создаваемый Rob Lee, Mike Murr и Командой Проблемы DC3, является онлайновой средой, разработанной, чтобы помочь идентифицировать людей с цифровым интересом судебной экспертизы и навыками. Различные проблемы, найденные на сайте, тестируют знание участников и навыки в областях, таких как диск, память и сетевая судебная экспертиза. Все могут участвовать.
Если будет любопытно на предмет атак браузера "на автомобиле", то будете требовать смотреть на анализ Corey Harrell в "Анатомии Нападения из автомобиля" часть 1 & часть 2. (Автор предостерегает, что некоторые ссылки могут быть "недружелюбными".) В анализе Corey использует несколько инструментов включая log2timeline и ОТСЕЯТЬ рабочую станцию, обоими из которых обладали на этом блоге.

Новости:
Получил GPS? После чтения этого можете требовать проверить автомобиль. Можете вспомнить, что 9-ый американский Окружной апелляционный суд выпустил мнение, утверждая, что законно для проведения законов в жизнь поместить устройство отслеживания в автомобиль подозреваемого без ордера. Кажется, что Калифорнийский студент колледжа вызвал некоторое американское Федеральное агентство достаточно беспокойства, что они решили поместить устройство отслеживания в его автомобиль. Устройство было обнаружено, когда машина была взята для замены масла, и механик заметил некоторое "необычное" проводное соединение.

Осведомленный о расположении просмотр или как веб-сайт может определить местоположение без GPS. Статья комментариями Ben Grubb о пути беспроводные MAC-адреса (собранный уличными автомобилями Представления Google) позволяет веб-сайтам определить географическое местоположение посетителя.
Иногда это грубо - шпион. Как упомянуто в более раннем Случае Ведет, шпионы иногда отсылаются домой, продаются за других шпионов или заключаются в тюрьму когда поймано. Если, оказалось, были шпионом в Иране, и были связаны с заражением, что ядерные установки страны с Stuxnet, возможно, были обращенным к "завершению".

Легкомыслие:
Для наших британских читателей около Уэмбли, если недавно посетили IKEA и пришли домой загруженные мехом кошки, у нас есть причина. Проведите следующие четыре минуты и семь секунд, обнаруживая то, что происходит, когда 100 кошек выпущены в IKEA.
Если когда-либо теряете домашнее животное, осторожны, кого просите справку.

Вредоносные Проблема анализа, чтобы укрепить навыки


Приблизительно год назад я сотрудничал с людьми в Lake Missoula Group, чтобы создать сетевую проблему судебной экспертизы на тему вредоносного программного обеспечения. То соревнование теперь закончено; однако, я хотел бы обеспечить возможность учиться из сценария, определенного в той проблеме усиливать аналитические навыки вредоносного программного обеспечения. Если это звучит интересным, я предлагаю, чтобы продолжились следующим образом:

Считайте сценарий, описанный в исходном puzzle:Ms. Таинственное Вредоносное программное обеспечение Moneymany.
Получите файл PCAP, содержащий вредоносные артефакты от исходной страницы проблемы, соединенной выше.
Полагайте, что ответ на эти 7 вопросов в исходной проблеме усиливает сетевые навыки судебной экспертизы
Рассмотрите рассмотрение победы и ответов финалиста на исходную проблему.
Ответьте на 7 последующих вопросов ниже.
Отправьте решения онлайн и добавьте комментарий к этому сообщению в блоге со ссылкой к нему.
Важный: ответы на эту последующую проблему не будут градуироваться и нет никакого приза. Это - просто возможность усилить аналитические навыки вредоносного программного обеспечения и помочь другим учиться на опыте. Я отправлю корректные ответы на последующие вопросы спустя приблизительно месяц после того, как это сообщение в блоге будет опубликовано. Кроме того, быть осторожным при анализе вредоносных файлов, на которые ссылаются выше: заразите систему реальным вредоносным программным обеспечением, если не будете осторожны относительно обработки их в изолированной лаборатории вредоносного программного обеспечения.
Последующие вопросы для этой проблемы ниже. Они обращаются к вредоносной исполнимой программе и другим артефактам, которые должны сначала извлечь из файла PCAP, на который ссылаются.

Когда вредоносная исполнимая программа Windows работает на зараженной системе, она создает скрытый каталог, где она хранит два файла. Каково имя этого каталога?
Вредоносная исполнимая программа Windows создает скрытый ключ реестра, чтобы удостовериться исполнимые выполнения каждый раз, когда перезагрузки жертвы и журналы в систему Windows. Каков полный путь того ключа реестра?
Вредоносная веб-страница, которую загрузил браузер пользователя, использовала путаницу JavaScript, чтобы защитить часть ее содержания. deobfuscated страница включала "iframe" элемент HTML. Что на URL сослался этот "iframe"?
Один из апплетов Java, загруженных браузером пользователя, предназначался для уязвимости в среде выполнения Java (JRE). Каково было имя файла, который непосредственно реализовывал использование?
Вредоносная исполнимая программа Windows пытается ввести код в несколько процессов. То, которое функционирует в WININET.dll исполнимой программе, сцепляется, чтобы вмешаться в нормальное функционирование зараженной системы?
Вредоносная исполнимая программа Windows пытается удалить файлы в зараженной системе. Какие категории файла исполнимая программа пытается удалить?
Чем другими интересными характеристиками обладает вредоносная исполнимая программа Windows? Это - несколько открытый вопрос. Это разработано, чтобы помочь тем, кто ответил на другие вопросы, чтобы выделиться.
При совместном использовании ответов обеспечьте объяснение того, как прибыли и ответы, таким образом, мы можем все извлечь уроки из подхода.
Если в новинку для анализа вредоносного программного обеспечения, вот несколько ресурсов, чтобы помочь начинать:

Создание аналитического инструментария вредоносного программного обеспечения При помощи бесплатных инструментов
При помощи VMware для анализа вредоносного программного обеспечения
Введение в аналитический вебкаст вредоносного программного обеспечения

Есть Anti-Virus действительно мертв?Реальные моделирования создан для судебной данных дает удивительные результаты


Одна из самых больших жалоб, что многие имеют в сообществе DFIR, является нехваткой реалистических данных, чтобы извлечь уроки из. Запускаясь год назад, я запланировал изменить это посредством создания реалистического сценария на основе опыта от всех кадров преподавателей в SANS и дополнительных экспертов, которые рассмотрели и советовали атаке "сценарий". Мы создали невероятно богатый и реалистический сценарий атаки по многократным системам на базе Windows в корпоративной среде. Сценарий атаки создавался для нового FOR508: Усовершенствованная судебная экспертиза и курс IR, дебютирующий в мае в SecWest SANS.

Цель состоит в том, чтобы дать посетителям новой реальной файловой системы FOR508 и отображений памяти, которые они исследуют в классе, чтобы обнаружить, идентифицировать, и forensicate основанные на APT действия по этим системам в классе. Цель состоит в том, чтобы дать студентам, которые посещают данные "реального мира" курса, чтобы проанализировать. Цель состояла в том, чтобы создать данные атаки, чтобы использовать в наших курсах в SANS, таким образом, у наших студентов могло быть прямое чувство для того, на что это походит, чтобы исследовать усовершенствованных противников.

На этой прошлой неделе мы пробегали осуществление. У меня была команда имитатора атакующих действия усовершенствованного противника, подобного APT. Видя тактику APT на собственном опыте, я написал сценарий осуществления, но также и требовал создать реалистическую среду, которая будет подражать домашним корпоративным сетям многих организаций. Моя команда атаки (John Strand и Tim Tomes) изучила быстро различие между тестом на проникновение и тестом, который копировал типичные действия APT.

За неделю я извлекал некоторые очень ценные уроки способностью наблюдать команду атаки непосредственно. Больше в будущих статьях блога, но первом вопросе я имел в своем списке, был: "A/V действительно мертвый?"

A/V действительно мертв?

За эти годы я знал, что это может обойтись, но пока я не выручил план, и выполните это осуществление, я был представлен истине на собственном опыте. Во многих инцидентах за эти годы (включая многие APT), мы и другие команды IR нашли, что A/V обнаружил знаки проникновений, но они часто игнорировались. Я ожидал, по крайней мере, некоторые из тех знаков существовать на этой прошлой неделе при пробежке упражнений, которые мы создавали. Я надеялся по-другому, но после недели использования сети, используя те же методы APT, что мы видели, что наши противники используют, я думаю, что оно красит очень темное изображение для как полезный A/V в остановке усовершенствованных и способных противников. Это не anti-AV или рецензия HIDS, но дать что-то, чтобы думать о когда дело доходит до того, что мы вслепую ищем. Я никогда не рекомендовал бы, чтобы кто-то пошел без него, но это четкое, что, чтобы найти и защитить от усовершенствованных противников, которых мы должны сделать, больше, чем полагаются на A/V.
Честно говоря, у меня фактически была некоторая надежда на часть уровня предприятия A/V и продукты HIDS, чтобы поймать некоторые более основные методы, которые мы использовали (поскольку я требовал, чтобы артефакт был обнаружен посетителями), но A/V оказался простым обойти моей командой. В то время как я уверен все, что многие из этих продуктов останавливают низко зависающие фруктовые атаки, мы нашли, что в основном сделали то, что мы требовали без управляемого основанного на узле A/V нашего предприятия и комплекта безопасности, повышающего вспышку.

Что? Ничто?

Что связано в этот комплект?-> Антивирус, Антишпионящее ПО, Безопасное перемещение, Против спама, Управление Устройством, Локальное управление, БЕДРА Системы предотвращения проникновений Узла связывались в Комплекте Защиты Конечной точки McAfee — http://shop.mcafee.com/Catalog.aspx. Я также отдельно покупаю их настольную часть предотвращения проникновения узла и встроил это в McAfee EPO и развернул это по среде также.
Чтобы помочь понимать, как это, возможно, произошло, многие попросили детали сети и атаки.

Windows основанная корпоративная сеть:

Сеть была установкой, чтобы подражать "защищенной" корпоративной сети стандарта, используя стандартные контрольные списки соответствия. Мы не включали дополнительных мер безопасности, которые обычно реализуются инциденты APT сообщения. Это, как предполагалось, подражало сети в "День 0" компромиссов, не активно поиск, используя интеллект угрозы, белое перечисление, и больше. Однако, мы действительно имели существенный брандмауэр, A/V, размещали базируемый IDS, исправляя автоматически сделанный, и больше. Мы также имели довольно строгих пользователей на нем, но включали некоторые дурные привычки, найденные в большинство настроек предприятия (плохая политика пароля администратора, локальный администратор считает w/same пароль, пользователя XP с администраторскими правами локально),