1. Как Вы могли заметить, на форуме появился раздел дампов других форумов.
    Сливап, сеоха (В первом барыжат тем что юзеры выложили под хайд. Во втором, помимо барыжничества, еще говорят что в их приватном разделе есть крутые вещи, но вы узнаете что там только заплатив, а на деле оказывается что там галимый копипаст) и других копипаст форумов которые мусолят одни и те же курсы которые они друг у друга скачали|слили (нужное подчеркнуть).
    И соответсвенно Вы не могли не заметить какой там шлак Вам впаривают по 2000-3000 рублей за аккаунт, тьфу.
    Подробнее...

Ищем RATs/Keyloggers, которые установленные на PC

Информация:
Тема в разделе "Другое", создана пользователем Dump_Bot, 10 сен 2016.
  1. Dump_Bot

    Dump_Bot Бот дампов Бот форума
    • 3093/3811

    Сообщения:
    47.295
    Репутация:
    0
    Отдано:
    1 ГБ
    Скачано:
    0 байт
    Рейтинг:
    -

    Здравствуйте.

    В этой статье я покажу самый простой способ поиска вредоносного софта (RATs/Keyloggers и т.д.), который может быть установлен на вашем компьютере и отсылает данные в сеть на сервер злоумышленника без вашего ведома. Для того, чтобы осуществить поиск, сторонний софт нам не понадобится, мы все сделаем средствами из-под самой системы, а это: CMD, Диспетчер задач.

    Данный способ не поможет, если вредоносное ПО хорошо спрятано, но против большинства ратов и кейлоггеров способ подойдет. Приступим.


    1. Откроем диспетчер задач (для тех, кто не знает как это делается: CTRL+ALT+DEL).

    [​IMG]
    2. Как только откроется диспетчер, нажимаем на «Вид» и выбираем «Выбрать столбцы…»

    [​IMG]
    Нужно отметить «Ид процесса (PID)»:

    [​IMG]
    3. Теперь нужно нажать по колонке «PID», чтобы все процессы сортировались в определенном порядке. Этот пункт не обязателен, но желателен.

    [​IMG]
    4. Теперь, как мы открыли диспетчер и сделали вывод Ид процессов, переходим ко второй части статьи, нам необходимо запустить CMD (для тех, кто не знает — это командная строка). Запустить можно так: Пуск -> Выполнить -> cmd или же, если у Вас операционная система Windows 7, ввести cmd в строке поиска.

    5. После того, как мы открыли CMD, необходимо ввести следующую команду:

    netstat -ano

    [​IMG]
    Ее можно как скопировать и вставить в cmd, а можно ввести и руками. Нажимаем Enter.

    У нас должно получиться что-то типа этого:

    [​IMG]
    Мы видим разные статусы соединения, но на данный момент нас интересуют только те, что имеют статус «ESTABLISHED«.

    Справа от статуса, находится PID, если вы имеете много соединений со статусом «ESTABLISHED» и с разными PIDами, то вам придется повторить эту процедуру поиска для каждого из процесса.

    [​IMG]
    6. Заходим в Диспетчер задач и ищем процесс с интересующим нас PIDом.

    [​IMG]
    Смотрим, в моем случае — это оказался firefox, что является браузером и ничего вредоносного из себя не представляет. Если не нашли ничего подозрительного — значит всё в порядке. Например, кейлоггеры часто маскируют под системные процессы, в том числе и под «svchost.exe».

    Допустим, вам какой-то из процессов показался подозрительным, нажимаем по нему правой кнопкой мыши и выбираем «Открыть место хранения файла». Откроется папка, где находится данный процесс. Затем, вы можете его проверить на онлайн сканере, например на virustotal, чтобы убедиться, зараженный файл или нет.

    [​IMG]
    Как оказалось, все не так сложно.
     
    Загрузка...