Вопрос такой. Что делать, если случайно запустил вредонос. Всего лишь 1 раз. Взломали автора проги и он стал временно распространять прогу с зловредом.

Самый главный вопрос — чтобы оно не зацепилось в системе. В моменте, допустим, я не вводил пароли и не монтировал VeraCrypt. Т.е. оно не могло ничего сделать в моменте — разве что стащить файлы, но в тот момент только устанавливал систему и важных файлов не было...

Получается в идеале нужно восстанавливать систему из образа... Так же?

Потому что зацепиться оно могло так, что ты не найдешь. И не существует 100% достоверного способа его обнаружить.

Вот способы для зацепления:

Если программа запускалась без прав администратора, это ограничивает её возможности, но персистентность (автозапуск после перезагрузки/входа в систему) она всё равно может сделать на уровне текущего пользователя. Плюс есть риск, что она могла попытаться получить повышение прав через уязвимость/обход UAC — тогда ограничения уже не действуют.

Ниже — основные способы “зацепиться” без админ-прав (в Windows), и где это обычно проверять.

---

Что она может сделать без прав администратора (уровень пользователя)

1) Автозапуск через реестр (HKCU)
Самый частый вариант:

• HKCU\Software\Microsoft\Windows\CurrentVersion\Run

  
  

• HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

Это запускается при входе в аккаунт.

Как смотреть: Диспетчер задач → Автозагрузка (показывает часть), или Sysinternals Autoruns (лучше всего).

2) Папка “Автозагрузка” текущего пользователя
Ярлык/EXE могут положить сюда:

• %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup

Это тоже выполняется при входе пользователя.

3) Запланированная задача (Task Scheduler) от имени пользователя
Задачу можно создать без админа, если она запускается:

• при входе в систему
  
• по таймеру
  
• при простое

Где смотреть: Планировщик заданий → Библиотека планировщика (и подпапки). Autoruns тоже показывает задачи.

4) WMI-подписки (WMI Event Subscription) в пользовательском контексте
Более “тихий” вариант автозапуска. Не самый частый, но встречается.

Где смотреть: Autoruns (вкладка WMI), либо специализированными утилитами/скриптами (но Autoruns обычно достаточно).

5) “Прилипание” через расширения/плагины приложений
Без админ-прав можно поставить/подменить вещи в профиле пользователя:

• расширения браузера (Chrome/Edge/Firefox) и их политики в пределах профиля
  
• автозагрузка через мессенджеры/игровые лаунчеры/Office add-ins (в каталоге пользователя)
  
• подмена ярлыков/параметров запуска приложений в профиле пользователя

6) Дроп в AppData + запуск через легитимный процесс
Очень типично: файл кладётся в:

• %LOCALAPPDATA%

  
  

• %APPDATA%

и запускается через одну из точек выше.

7) Hijack на уровне пользователя (COM / file association / PATH в профиле)
Иногда делают перехват через:

• per-user COM hijacking (в реестре HKCU)
  
• ассоциации файлов (например, “.txt открывать вот этим”)
  
• пользовательские переменные окружения/порядок поиска

Это сложнее в диагностике, но Autoruns тоже многое подсвечивает (особенно COM).

---

Что обычно требует админ-прав (но могло быть сделано при повышении прав)
Если вдруг она всё же получила админ-доступ, появляются варианты:

• сервис (Windows Service)
  
• драйвер
  
• автозапуск в

  HKLM\...\Run

  
  
• “общая” папка автозагрузки для всех пользователей
  
• изменение политик/защитника/прав
  
• перехват системных DLL/компонентов

---

Как быстро проверить и вычистить (самые практичные шаги)

• Отключить сеть (чтобы не тянула/не передавала данные).
  
• Открыть Sysinternals Autoruns (от Microsoft) и посмотреть вкладки:
  Logon, Scheduled Tasks, Services, Drivers, WMI, Browser Helper Objects/Extensions и т.п.
  Ищите записи из

  %AppData%

  ,

  %LocalAppData%

  , Temp, с “мусорными” именами, без издателя.
  
• Проверить Диспетчер задач → Автозагрузка и Планировщик заданий.
  
• Прогнать Microsoft Defender Offline (офлайн-сканирование) + при желании вторым мнением (Malwarebytes и т.п.).
  
• Если есть подозрения на кражу паролей — сменить пароли (лучше с другого чистого устройства), включить 2FA.

Т.е. куча всего. Антивирус обнаружит только массовые сигнатуры, и то не сразу. Проактивная защита обнаружит только когда сильно системные функции юзаются.

Получается для чего все это сделано? Чтобы заставить платить. Ведь просто так чел. платить не будет — нужно его напугать — а у страха глаза велики. Вот когда риск утрат — чел. готов платить много. А если добровольно — не очень то...

Здравствуйте, Shmj, Вы писали:

S>Получается в идеале нужно восстанавливать систему из образа... Так же?

Мне кажется, что хватит сброса до заводских настроек.

https://support.microsoft.com/ru-ru/windows/%D0%B2%D0%BE%D0%B7%D0%B2%D1%80%D0%B0%D1%82-%D0%BA%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%D1%80%D0%B0-%D0%B2-%D0%B8%D1%81%D1%85%D0%BE%D0%B4%D0%BD%D0%BE%D0%B5-%D1%81%D0%BE%D1%81%D1%82%D0%BE%D1%8F%D0%BD%D0%B8%D0%B5-0ef73740-b927-549b-b7c9-e6f2b48d275e

А может быть, и это лишнее. Надо смотреть, что за вирус, что он может.

S>Вот способы для зацепления:

Да, вполне возможны.

S>Получается для чего все это сделано? Чтобы заставить платить. Ведь просто так чел. платить не будет — нужно его напугать — а у страха глаза велики. Вот когда риск утрат — чел. готов платить много. А если добровольно — не очень то...

За что платить — то ? За свои ошибки ? За них нужно платить, как минимум временем своей работы.

Здравствуйте, Pavel Dvorkin, Вы писали:

PD>Мне кажется, что хватит сброса до заводских настроек.

Так и что — потом пол дня тратить на установку всех программ? Из образа быстрее.

S>>Получается для чего все это сделано? Чтобы заставить платить. Ведь просто так чел. платить не будет — нужно его напугать — а у страха глаза велики. Вот когда риск утрат — чел. готов платить много. А если добровольно — не очень то...

PD>За что платить — то ? За свои ошибки ? За них нужно платить, как минимум временем своей работы.

Это не мои ошибки. Кто сказал что доступ к документам должен быть по умолчанию у всех программ? Это MS специально сделало — т.к. наверняка есть сговор — огромная индустрия, которая зарабатывает на безопасности.

Здравствуйте, Shmj, Вы писали:

S>Это не мои ошибки. Кто сказал что доступ к документам должен быть по умолчанию у всех программ?

Его и нет.

Прежде чем постить такие заявления, не мешало бы разобраться с правами доступа в NTFS.

Здравствуйте, Pavel Dvorkin, Вы писали:

PD>Его и нет.
PD>Прежде чем постить такие заявления, не мешало бы разобраться с правами доступа в NTFS.

Как это нет? Если пользователь зпустил программу от своего имени — она имеет доступ ко всем его документам.

Здравствуйте, Shmj, Вы писали:

S>Как это нет? Если пользователь зпустил программу от своего имени — она имеет доступ ко всем его документам.

Нет, потому что нет понятия "все его документы".

Документы могут быть расположены в самых разных папках, и к каждой из них можно настроить свой доступ. Например, сделать так, чтобы доступ был только под elevated privileges, то есть от админовского токена. И тогда программу надо запускать as administrator.

Папка "C:\Documents and Settings\юзер\Documents\" действительно доступна для всех программ, но это отнюдь не все документы. Я в ней вообще почти ничего не храню. Есть каталог "Dvorkin", в нем основное. Есть всякие прочие каталоги, например, для тех или иных проектов.

А сделать разграничение доступа на основе программ едва ли возможно. Я о таком никогда не слышал. Будет сумасшедший дом — как только понадобится получить доступ к данным папки другого приложения, придется настраивать доступ.
Такого нигде нет, AFAIK.

Здравствуйте, Shmj, Вы писали:

S>Вопрос такой. Если случайно запустил вредонос (без админа)...

Естественно, надо запустить повторно, но уже с правами админа иначе может не сработать

Здравствуйте, kov_serg, Вы писали:


S>>Вопрос такой. Если случайно запустил вредонос (без админа)...

_>Естественно, надо запустить повторно, но уже с правами админа иначе может не сработать

Здравствуйте, я — болгарский вирус. В виду бедности моего создателя и общей отсталости развития высоких технологий нашей страны, я не в силах причинить какой-либо вред вашему компьютеру. Пожалуйста, сотрите сами несколько самых нужных вам файлов, а затем разошлите меня по почте своим друзьям. Благодарю за понимание и сотрудничество.

p.s. Кстати о ии-поиске: ии-алиса сказала что этот вирус впервые появился в 2023, впервые обсуждался в 2019. Одновременно при этом показало ссылку на https://www.anekdot.ru/id/266630/ 2006г. а на исходник- юзенет фидоэхи 1994 не показало.

Все проблемы от жадности и глупости

Здравствуйте, Pavel Dvorkin, Вы писали:

PD>Нет, потому что нет понятия "все его документы".

Как это нет — есть папка Documents стандартная, есть папка sources стандартная.

PD>Документы могут быть расположены в самых разных папках, и к каждой из них можно настроить свой доступ.

Почему пользователь должен об этом думать?

PD>Например, сделать так, чтобы доступ был только под elevated privileges, то есть от админовского токена. И тогда программу надо запускать as administrator.

И чем это лучше? Фигня получится. И второго пользователя отдельно заводить — тоже фигня.

PD>Папка "C:\Documents and Settings\юзер\Documents\" действительно доступна для всех программ, но это отнюдь не все документы. Я в ней вообще почти ничего не храню. Есть каталог "Dvorkin", в нем основное. Есть всякие прочие каталоги, например, для тех или иных проектов.

Но по умолчанию в ней все все хранят. Более того — создай папку на диске D — будет по умолчанию все то же самое.

Где вы предлагаете хранить свои документы, проекты — чтобы любая прога без прав админа не могла их спереть?

PD>А сделать разграничение доступа на основе программ едва ли возможно. Я о таком никогда не слышал. Будет сумасшедший дом — как только понадобится получить доступ к данным папки другого приложения, придется настраивать доступ.
PD>Такого нигде нет, AFAIK.

Есть.

Но начиная с macOS Mojave (10.14) действует система приватности TCC, которая дополнительно защищает ряд мест и данных. Для них простых UNIX‑прав недостаточно — нужно явное разрешение пользователя.

Что защищено TCC и требует разрешения
Типичные примеры:

~/Desktop, ~/Documents, ~/Downloads
iCloud Drive
Photos, Contacts, Calendars, Reminders
Mail, Messages, Safari/браузерные данные (в зависимости от типа данных)
Time Machine backups и некоторые системные области
Если приложение без разрешения полезет, оно может получить ошибку доступа (например, EPERM/Operation not permitted) даже если пользователь “владелец” файла.

И это логично — пользователь где-то же должен хранить документы, которые он не хочет светить.

Но MS специально зная все это — оставила дыру. Чтобы даже одна маленькая ошибка пользователя по невнимательности (случайно не проверил ЭЦП и запустил прогу) — привела к полному краху и компрометации системы. Для чего это? А чтобы эту огромную индустрию безопасников харчевать, которые зарабатывают даже еще больше, чем производители и софта. Ведь купить софт — это нужно раскошелиться, ведь можно и бесплатно похуже найти. А когда дело о безопасности — то уже срабатывает страх и на страхе можно делать намного большие деньги. Ведь страшно — вдруг уворуют доступ к крипто-кошелькам, вдруг уворуют сканы документов, исходники проектов. И на этом страхе и делают деньги.

Здравствуйте, Shmj, Вы писали:

PD>>Документы могут быть расположены в самых разных папках, и к каждой из них можно настроить свой доступ. Например, сделать так, чтобы доступ был только под elevated privileges, то есть от админовского токена. И тогда программу надо запускать as administrator.
S>И чем это лучше? Фигня получится.
S>Где вы предлагаете хранить свои документы, проекты — чтобы любая прога без прав админа не могла их спереть?

Здравствуйте, Shmj, Вы писали:


S>Но по умолчанию в ней все все хранят. Более того — создай папку на диске D — будет по умолчанию все то же самое.

S>Где вы предлагаете хранить свои документы, проекты — чтобы любая прога без прав админа не могла их спереть?

Просто для справки: В правильно настроенной системе, даже без применения костылей типа разнообразных шифрований, у админа нет доступа к файлам пользователя.

Все проблемы от жадности и глупости

Здравствуйте, Stanislaw K, Вы писали:

SK>Просто для справки: В правильно настроенной системе, даже без применения костылей типа разнообразных шифрований, у админа нет доступа к файлам пользователя.

А у программы, которую этот пользователь запустил?

Здравствуйте, Shmj, Вы писали:

SK>>Просто для справки: В правильно настроенной системе, даже без применения костылей типа разнообразных шифрований, у админа нет доступа к файлам пользователя.

S>А у программы, которую этот пользователь запустил?

Если ты не доверяешь сам себе, стоит подумать о смене рода деятельности. Пойти в садовники или каменотесы, например.

Все проблемы от жадности и глупости

Здравствуйте, Stanislaw K, Вы писали:

S>>А у программы, которую этот пользователь запустил?
SK>Если ты не доверяешь сам себе, стоит подумать о смене рода деятельности. Пойти в садовники или каменотесы, например.

Глупая отмазка. Откуда ты знаешь что внутри проги, которую запускаешь? Автора проги могли взломать. Если проге не нужны твои документы, она может работать со совей папкой — нахрен она по умолчанию все-равно получает доступ?

Да и это важно не только разработчикам софта но и всем пользователям.

Нафиа покрывать очевидную дыру в безопасности — не ясно.

Здравствуйте, Shmj, Вы писали:

S>Глупая отмазка. Откуда ты знаешь что внутри проги, которую запускаешь? Автора проги могли взломать.

ага. взломали. инопланетяне. зеленые йети. с хвостами ящериц. узкими глазами.

S>Если проге не нужны твои документы, она может работать со совей папкой — нахрен она по умолчанию все-равно получает доступ?

Это условие продиктовано здравым смыслом.

S>Да и это важно не только разработчикам софта но и всем пользователям.

Никому из перечисленных.

S>Нафиа покрывать очевидную дыру в безопасности — не ясно.

Эта "дыра" только тебе "очевидна" и никому больше. Как думаешь — почему?

Все проблемы от жадности и глупости

Здравствуйте, Stanislaw K, Вы писали:

SK>ага. взломали. инопланетяне. зеленые йети. с хвостами ящериц. узкими глазами.

А в чем вопрос? Вы не знаете что появляются эксплойты нулевого дня? Не слышали? Думаете так уж не реально?

S>>Если проге не нужны твои документы, она может работать со совей папкой — нахрен она по умолчанию все-равно получает доступ?
SK>Это условие продиктовано здравым смыслом.

Каким смыслом? Если прога отображает погоду — нафига ей доступ к моим документам и всем моим файлам пользователя?

S>>Нафиа покрывать очевидную дыру в безопасности — не ясно.
SK>Эта "дыра" только тебе "очевидна" и никому больше. Как думаешь — почему?

Возможо потому что вы в жизни кроме венды ничего не видели, не понимаете что важно а что нет. Документы — это важно. Это то что нужно охранять, что не должо попасть в чужие руки. По сути атаки бывают двух типов:

1. Украсть информацию.
2. Удалить информацию.

Удалить при наличии бекапов — не страшно. Хрен бы с ним. А вот украсть информации — это единственное что потом никак не исправить.

Здравствуйте, Shmj, Вы писали:

SK>>ага. взломали. инопланетяне. зеленые йети. с хвостами ящериц. узкими глазами.

S>А в чем вопрос? Вы не знаете что появляются эксплойты нулевого дня? Не слышали? Думаете так уж не реально?

Я уже предлагал тебе стать садовником?

S>>>Если проге не нужны твои документы, она может работать со совей папкой — нахрен она по умолчанию все-равно получает доступ?
SK>>Это условие продиктовано здравым смыслом.

S>Каким смыслом? Если прога отображает погоду — нафига ей доступ к моим документам и всем моим файлам пользователя?

Лучше, все же, в каменотесы. В садовниках тебя насекомые вредители будут тревожить.

S>>>Нафиа покрывать очевидную дыру в безопасности — не ясно.
SK>>Эта "дыра" только тебе "очевидна" и никому больше. Как думаешь — почему?

S>Возможо потому что вы в жизни кроме венды ничего не видели, не понимаете что важно а что нет.

Напротив. Прекрасно понимаю. И по этому у меня вопрос — как важная информация попала на общедоступный компьютер?

Подсказываю — не вся информация важная и не всю информацию нужно защищать одинаково.

Все проблемы от жадности и глупости

Здравствуйте, Stanislaw K, Вы писали:

S>>А в чем вопрос? Вы не знаете что появляются эксплойты нулевого дня? Не слышали? Думаете так уж не реально?
SK>Я уже предлагал тебе стать садовником?

Ну допустим работаю садовником. Имею я право при этом еще и компьютер использовать? Имею право отсканировать свои документы и поместить в папку Documents? Или прежде чем сканировать документы нужно пройти курсы безопасника?

S>>Каким смыслом? Если прога отображает погоду — нафига ей доступ к моим документам и всем моим файлам пользователя?
SK>Лучше, все же, в каменотесы. В садовниках тебя насекомые вредители будут тревожить.

Т.е. ты хочешь унизить как-то, вот есть высшие профессии а есть низшие. Садовник так же пользуется компьютером, зарабатывает в 3 раза больше чем ты когда-либо зарабатывал в своей жизни. У него так же есть компьютер, есть сканер, есть документы, банковские счета. Имеет он право на безопасное использование компьютера?

S>>Возможо потому что вы в жизни кроме венды ничего не видели, не понимаете что важно а что нет.

SK>Напротив. Прекрасно понимаю. И по этому у меня вопрос — как важная информация попала на общедоступный компьютер?

Почему общедоступный. Твой. Но ты туда устанавливаешь программы, проверять что автора не взломали — ты не можешь.

SK>Подсказываю — не вся информация важная и не всю информацию нужно защищать одинаково.

Ну и как защищать важную информацию? Мне просто хочется чтобы доступ к файлам имели только те программы, которым я это разрешил. Причем чтобы был выбор — разрешить только к одному документу, а не ко всем сразу.

Здравствуйте, Shmj, Вы писали:

S>Т.е. ты хочешь унизить как-то, вот есть высшие профессии а есть низшие. Садовник так же пользуется компьютером, зарабатывает в 3 раза больше чем ты когда-либо зарабатывал в своей жизни. У него так же есть компьютер, есть сканер, есть документы, банковские счета. Имеет он право на безопасное использование компьютера?

Дело в том, что ты ультимативно выдвигаешь требования, превышающие необходимый и достаточный уровень безопасности многократно.

В частности у садовника на компьютере просто нет и не может быть документов, для которых может быть обоснован ТАКОЙ уровень безопасности.

S>>>Возможо потому что вы в жизни кроме венды ничего не видели, не понимаете что важно а что нет.
SK>>Напротив. Прекрасно понимаю. И по этому у меня вопрос — как важная информация попала на общедоступный компьютер?
S>Почему общедоступный. Твой.

Общедоступный потому, что информация с него может быть "украдена".

S>Но ты туда устанавливаешь программы, проверять что автора не взломали — ты не можешь.

Не устанавливай таких программ.

SK>>Подсказываю — не вся информация важная и не всю информацию нужно защищать одинаково.
S>Ну и как жащищать важную информацию? Мне просто хочется чтобы доступ к файлам имели только те программы, которым я это разрешил. Причем чтобы был выбор — разрешить только к одному документу, а не ко всем сразу.

Это легко сделать. Достаточно настроить соответствующим образом ОС. Персонально для тебя, персонально на твоем личном компьютере.

Для всех остальных, нормальных людей, такая настройка по умолчанию неприемлема в принципе.

Все проблемы от жадности и глупости

Здравствуйте, Stanislaw K, Вы писали:

SK>В частности у садовника на компьютере просто нет и не может быть документов, для которых может быть обоснован ТАКОЙ уровень безопасности.

Как не может? Копию паспорта сделал, чтобы заказать номер в отеле — сохранил в документы. Оно там лежит. Хочется тебе чтобы твой скан паспорта продавался в даркнете? Не думаю.

Далее, фотки своих любовных похождений имеет право человек сделать? Имеет. Хочет ли он их публикации или шантажа? Думаю, отчет очевиден.

Не думайте о людях примитивно.

SK>Общедоступный потому, что информация с него может быть "украдена".

Так зачем же такую дырявую ОС сделали? В чем проблема сделать доступ к файлам только если программе он действительно нужен?

S>>Но ты туда устанавливаешь программы, проверять что автора не взломали — ты не можешь.
SK>Не устанавливай таких программ.

Дело вот в чем — заранее ты этого знать не можешь. Автора могли взломать без его ведома, некоторое время он распространял свой софт, сам не зная что уже компрометирован.

А делается это очень легко — сейчас 100500 пакетов в каждый софт подкючают. Эти пакеты завязаны еще на другие пакеты. И достаточно чтобы автор одного из пакетов был взломан или даже продался темной стороне, чтобы сама прога оказалась с дырой.

SK>Это легко сделать. Достаточно настроить соответствующим образом ОС. Персонально для тебя, персонально на твоем личном компьютере.
SK>Для всех остальных, нормальных людей, такая настройка по умолчанию неприемлема в принципе.

Почему-то на Android именно так сделано и всем это нравится.