Nätverksskanner för virus. Hur man skannar ett stort nätverk

Antivirusskannrar är utformade för att skanna din dator efter skadlig programvara och eliminera upptäckta hot. Ett antivirusprogram kontrollerar systemet vid slumpmässiga tillfällen och ger inte konstant skydd för datorn.

Detta visar skillnaden mellan antivirusskannrar och bildskärmar (antivirus). En antivirusskanner gör engångsskanningar på begäran, och ett antivirus installerat på en dator skyddar hela tiden datorn.

Varför behöver vi antivirusprogram - skannrar? Antivirusskannrar för Windows är nödvändiga för att skanna din dator i de fall där den inte är stillastående installerade antivirus kan inte göra sitt jobb. Till exempel började systemet sakta ner kraftigt utan någon uppenbar anledning, vissa program började uppleva fel osv.

Det är möjligt att skadlig programvara har kommit in i din dator. Därför är det vettigt att kontrollera och, om något hittas, bota datorn och eliminera de problem som har uppstått.

Vissa användare använder inte antivirusprogram på sina datorer. I sådana fall bör du kontrollera systemet då och då med hjälp av en antivirusskanner för förebyggande syfte.

Vissa skannrar använder molnservrar i sitt arbete, som de interagerar med när de skannar en dator. Därför krävs en internetanslutning för att den här typen av program ska fungera.

Andra antivirusskannrar är helt autonoma de inkluderar alla aktuella antivirusdatabaser när programmet laddas ned. För ny check du bör ladda ner den senaste versionen av antivirusskannern.

I den här artikeln kommer vi att titta på gratis antivirusskannrar (det finns tyvärr också betalda program av denna typ) som fungerar utan installation på datorn. Sådana applikationer har vissa fördelar, eftersom det finns situationer när det, som ett resultat av en allvarlig infektion av systemet, blir omöjligt att installera ett antivirusprogram på datorn. Den bärbara, bärbara versionen av antivirusskannern låter dig köra programmet inte bara från en datordisk utan också från flyttbara media, till exempel från ett USB-minne.

För att söka efter virus bör du använda en skanner från en annan tillverkare, som inte är utvecklaren av antivirusprogrammet som är installerat på datorn.

Den här handboken presenterar de bästa antivirusskannrarna som stöder det ryska språket och körs på Windows operativsystem.

Dr.Web CureIt! - kraftfullt helande verktyg

Dr.Web CureIt! - en populär antivirusskanner för att behandla infekterade datorer från ryskt företag Dr. Web. Dr.Web CureIt-skannern upptäcker olika typer av skadlig programvara och har inga konflikter med antivirus installerade på datorn.

Ladda ner helande verktyget Dr.Web CureIt! från den officiella webbplatsen för Doctor Web. För att skanna din dator igen, ladda ner den senaste versionen av programmet med de senaste databaserna (uppdateringar släpps ofta, flera gånger om dagen).

Så här använder du verktyget Dr.Web CureIt:

1. När nedladdningen är klar kör du programmet på din dator (programmet har ett namn från en uppsättning tecken för att motverka virus så att de inte kan blockera verktyget från att köras på datorn).
2. Efter att ha startat verktyget
3. Klicka på knappen "Starta skanning" eller välj enskilda föremål för kontroll.

Om skadlig programvara upptäcktes som ett resultat av en systemgenomsökning, desinficera din dator för virus.

Lär dig mer om hur du använder Dr.Web CureIt! Läs artikeln.

Kaspersky Virus Removal Tool - en kraftfull antivirusskanner

Kaspersky Virus Borttagningsverktyg(KVRT) är en produkt från det ryska företaget Kaspersky Lab för att upptäcka och ta bort virus från en dator. Applikationen klarar effektivt de uppgifter som tilldelats den.

Ladda ner Kaspersky-verktyget Virusborttagning Verktyg från den officiella webbplatsen för Kaspersky Lab. Ladda ner för en ny skanning senaste versionen KVRT (applikationen uppdateras flera gånger om dagen).

Virussökningsprocessen i Kaspersky Virus Removal Tool sker i flera steg:

1. Starta KVRT på din dator.
2. Acceptera villkoren licensavtal.
3. I fönstret "Allt är klart för skanning" klickar du på knappen "Starta skanning".

Ta emot en skanningsrapport, desinficera eller ta bort upptäckta skadliga element från din dator.

För att lära dig mer om hur Kaspersky Virus Removal Tool fungerar, gå till.

Emsisoft Emergency Kit - akutbehandlingskit

Emsisoft Emergency Kit - en nöduppsättning verktyg för att behandla infekterade datorer. Programmet innehåller flera verktyg för att motverka skadlig programvara: det grafiska verktyget Emergency Kit Scanner och Commandline Scanner-verktyget, som startas från kommandoraden.

Ladda ner Emsisoft Emergency Kit från den officiella webbplatsen för det nyzeeländska företaget Emsisoft och följ sedan dessa steg:

1. Packa upp programmet på din dator. Med standardinställningarna skapas mappen "EEK" på enheten "C:".
2. Sedan öppnas mappen med programmet, där du måste klicka på applikationen "Starta Emergency Kit Scanner".
3. Acceptera villkoren i licensavtalet och uppdatera sedan programmet.
4. Klicka på knappen "Skanna".

1. Välj skanningstyp: " Snabb kontroll", "Sök efter hot", "Snabbsökning".
2. Börja skanna.
3. Upptäckta hot sätts i karantän, ta bort virus från din dator.

Läs mer om hur Emsisoft Emergency Kit-applikationen fungerar.

ESET Online Scanner - online virusskanner

ESET online Scanner är en onlineskanner för att skanna din dator och ta bort upptäckta hot från din PC. I sitt arbete använder verktyget molnteknik att skydda sig mot olika typer hot.

Först måste du ladda ner ESET Online Scanner från den officiella webbplatsen för det slovakiska företaget ESET.

Följ sedan dessa steg:

1. Acceptera licensavtalet.
2. Konfigurera skanningsinställningar.
3. Klicka på knappen "Skanna".

När genomsökningen är klar tar du bort de hot som hittats.

Läs mer om ESET Online Scanner på sidan.

F-Secure Online Scanner - molnskanner

F-Secure Online Scanner är en molnbaserad onlineskanner för att kontrollera din dator efter skadlig programvara. Applikationen använder en moln antivirusdatabas när du skannar din dator.

Ladda ner applikationen F-Secure Online Scanner från den officiella webbplatsen för det finska företaget F-Secure.

Kontrollera med F-Secure Online Scanner genom att följa stegen:

1. Efter att ha startat programmet accepterar du villkoren i licensavtalet.
2. Klicka på knappen "Acceptera och verifiera".
3. Skanna och rensa ditt system från skadliga filer och applikationer.

Du kommer att lära dig mer om hur F-Secure Online Scanner fungerar i artikeln.

Norton Power Eraser - identifierar virushot

Norton Power Eraser är ett verktyg för att identifiera hot som är svåra att upptäcka med ett vanligt antivirusprogram. Programmet använder aggressiv skanningsteknik för att identifiera skadlig programvara.

Norton Power Eraser kan laddas ner från den officiella webbplatsen för det amerikanska företaget Symantec.

Följ dessa steg när du kontrollerar:

1. Starta programmet.
2. Klicka på knappen "Sök efter hot".

1. Ta bort upptäckta hot.

Om det behövs, i Norton-programmet Power Eraser kan utföra avancerade skanningar.

En detaljerad artikel om Norton Power Eraser finns tillgänglig.

Microsoft Safety Scanner - en virusskanner

Ett antivirusverktyg från ett amerikanskt företag - Microsoft Safety Scanner upptäcker och tar bort skadlig programvara i Windows-operativsystemet. För att utföra skanningen måste användaren ladda ner verktyget och sedan starta skannern på datorn.

Innan du laddar ner, Microsoft sida Säkerhetsskanner för den officiella webbplatsen, välj språk och bitversion (64-bitars eller 32-bitars) av applikationen. Antivirusskannern förblir i drift i 10 dagar. För nästa genomsökning måste du ladda ner en ny version av verktyget med de senaste antivirusdatabaserna.

Microsoft Safety Scanner söker igenom din dator efter virus i följande ordning:

1. Springa Microsoft program Safety Scanner på din dator.
2. Acceptera villkoren i licensavtalet.
3. I nästa fönster klickar du på knappen "Nästa".
4. Välj skanningstyp: "Snabbskanning", " Full check", "Anpassad skanning".

1. Kör en virussökning.
2. Vänta tills skanningsresultaten visas.
3. Om virus eller annan skadlig programvara upptäcks, ta bort farliga föremål från din dator.

Läs en detaljerad artikel om Microsoft använder Säkerhetsskanner.

COMODO Cleaning Essentials - antivirusverktyg

COMODO Cleaning Essentials är en uppsättning verktyg för att identifiera och ta bort virus och farliga processer från din dator. Applikationen innehåller en antivirusskanner som upptäcker olika typer av virus.

Ladda ner från den officiella webbplatsen för det amerikanska företaget Comodo. På nedladdningssidan väljer du operativt bitdjup Windows-system installerat på din dator. Packa upp arkivet med applikationen på en bekväm plats.

Gör följande för att utföra kontrollen:

1. Öppna först mappen med namnet "cce_scanner_version_number" och sedan mappen "cce_x64" eller "cce_86, beroende på den valda systembitheten.
2. Klicka på filen "CCE" (applikation) för att starta programmet.
3. Acceptera villkoren i licensavtalet.
4. Välj skanningstyp: Smart Scan, Full Scan eller Custom Scan.

När skanningen är klar tar du bort skadliga element från din dator.

Slutsatser av artikeln

Artikeln diskuterar de bästa antivirusskannrarna som inte kräver installation på din dator. Program kan startas från valfri plats på datorn, inklusive från flyttbara media. Antivirusskannrar startas av användaren oberoende för en engångsskanning av datorn. Applikationer skannar systemet och tar bort virus och skadlig programvara från datorn.

Problemet med en epidemi av nätverksmaskar är relevant för alla lokala nätverk. Förr eller senare kan en situation uppstå när ett nätverk eller e-postmask penetrerar LAN och inte upptäcks av antiviruset som används. Ett nätverksvirus sprids över ett LAN genom operativsystemsårbarheter som inte stängdes vid infektionstillfället eller genom skrivbara sårbarheter delade resurser. Mail virus, som namnet antyder, distribueras via e-post, förutsatt att den inte blockeras av klient-antivirus och antivirus på e-postservern. Dessutom kan en epidemi på ett LAN organiseras inifrån som ett resultat av en insiders aktiviteter. I den här artikeln kommer vi att överväga praktiska metoder för operativ analys av LAN-datorer med olika metoder, särskilt med hjälp av författarens AVZ-verktyg.

Formulering av problemet

Om en epidemi eller någon onormal aktivitet upptäcks i nätverket måste administratören snabbt lösa minst tre uppgifter:

• upptäcka infekterade datorer i nätverket;
• hitta prover av skadlig programvara att skicka till ett antiviruslaboratorium och utveckla en motåtgärdsstrategi;
• vidta åtgärder för att blockera spridningen av viruset på LAN och förstöra det på infekterade datorer.

När det gäller insideraktivitet är huvudstegen i analysen identiska och oftast handlar det om behovet av att upptäcka programvara från tredje part installerad av insidern på LAN-datorer. Exempel på sådan programvara inkluderar verktyg fjärradministration, keyloggers och olika trojanska bokmärken.

Låt oss överväga mer i detalj lösningen på var och en av uppgifterna.

Sök efter infekterade datorer

För att söka efter infekterade datorer i nätverket kan du använda minst tre metoder:

• automatisk fjärranalys av PC - få information om körande processer, laddade bibliotek och drivrutiner, sökning efter karakteristiska mönster - till exempel processer eller filer med givna namn;
• studera PC-trafik med en sniffer - denna metod är mycket effektiv för att fånga spambots, e-post och nätverksmaskar, men den största svårigheten med att använda en sniffer beror på det faktum att ett modernt LAN är byggt på basis av switchar och, som ett resultat kan administratören inte övervaka trafiken i hela nätverket. Problemet kan lösas på två sätt: genom att köra en sniffer på routern (som gör att du kan övervaka datautbytet mellan datorn och internet) och genom att använda switcharnas övervakningsfunktioner (många moderna switchar låter dig tilldela en övervakningsport till vilken trafik för en eller flera switchportar som specificerats av administratören är duplicerad);
• studie av nätverksbelastning - i det här fallet är det mycket bekvämt att använda smarta switchar, som gör att du inte bara kan bedöma belastningen utan också att fjärrinaktivera portar som anges av administratören. Denna operation är mycket förenklad om administratören har en nätverkskarta, som innehåller information om vilka datorer som är anslutna till motsvarande switchportar och var de finns;
• användning av honungskrukor - det rekommenderas starkt att skapa flera honungskrukor på det lokala nätverket som gör det möjligt för administratören att i tid upptäcka en epidemi.

Automatisk analys av datorer i nätverket

Automatisk PC-analys kan reduceras till tre huvudsteg:

• genomföra en fullständig PC-undersökning - köra processer, laddade bibliotek och drivrutiner, autorun;
• bedriva operativ forskning - till exempel söka efter karakteristiska processer eller filer;
• karantän av föremål enligt vissa kriterier.

Alla ovanstående uppgifter kan lösas med hjälp av författarens AVZ-verktyg, som är utformat för att startas från en nätverksmapp på servern och stöder ett skriptspråk för automatisk PC-inspektion. För att köra AVZ på användardatorer måste du:

1. Placera AVZ i en nätverksmapp på servern som är öppen för läsning.
2. Skapa LOG- och Qurantine-underkataloger i den här mappen och låt användare skriva till dem.
3. Starta AVZ på LAN-datorer med hjälp av rexec-verktyget eller inloggningsskriptet.

Start av AVZ i steg 3 ska göras med följande parametrar:

\\min_server\AVZ\avz.exe Prioritet=-1 nw=Y nq=Y HiddenMode=2 Skript=\\min_server\AVZ\my_script.txt

I det här fallet sänker parametern Priority=-1 prioriteten för AVZ-processen, parametrarna nw=Y och nq=Y ändrar karantänen till " nätverkslansering"(i detta fall skapas en underkatalog i karantänmappen för varje dator, vars namn sammanfaller med nätverksnamn PC), instruerar HiddenMode=2 att neka användaren åtkomst till GUI- och AVZ-kontrollerna, och slutligen den mest viktig parameter Skript anger det fullständiga namnet på skriptet med kommandon som AVZ kommer att köra på användarens dator. Manusspråk AVZ är ganska enkel att använda och fokuserar uteslutande på att lösa problem med datorundersökning och behandling. För att förenkla processen att skriva skript kan du använda en specialiserad skriptredigerare, som innehåller en onlineprompt, en guide för att skapa standardskript och verktyg för att kontrollera det skrivna skriptets korrekthet utan att köra det (Fig. 1).

Ris. 1. AVZ-skriptredigerare

Låt oss titta på tre typiska skript som kan vara användbara i kampen mot epidemin. Först behöver vi ett PC-forskningsskript. Manusets uppgift är att genomföra en studie av systemet och skapa ett protokoll med resultaten i en given nätverksmapp. Skriptet ser ut så här:

ActivateWatchDog(60 * 10);

// Börja skanna och analysera

// Systemutforskning

ExecuteSysCheck(GetAVZDirectory+

'\LOG\'+GetComputerName+'_log.htm');

//Stäng av AVZ

Under körningen av detta skript kommer HTML-filer med resultaten från studien av nätverksdatorer att skapas i LOG-mappen (förutsatt att den skapas i AVZ-katalogen på servern och är tillgänglig för användare att skriva), och för att säkerställa unikhet, namnet på den dator som undersöks ingår i protokollnamnet. I början av skriptet finns ett kommando för att aktivera en watchdog-timer, som med kraft kommer att avbryta AVZ-processen efter 10 minuter om fel uppstår under skriptkörning.

AVZ-protokollet är bekvämt för manuella studier, men det är till liten nytta för automatiserad analys. Dessutom känner administratören ofta till namnet på skadlig programvara och behöver bara kontrollera närvaron eller frånvaron av denna fil, och om den finns, sätta den i karantän för analys. I det här fallet kan du använda följande skript:

// Aktivera watchdog timer i 10 minuter

ActivateWatchDog(60 * 10);

// Sök efter skadlig programvara efter namn

QuarantineFile('%WinDir%\smss.exe', 'Misstänkt på LdPinch.gen');

QuarantineFile('%WinDir%\csrss.exe', 'Mistanke om LdPinch.gen');

//Stäng av AVZ

Det här skriptet använder QuarantineFile-funktionen för att försöka sätta de angivna filerna i karantän. Administratören kan endast analysera innehållet i karantänen (mappen Quarantine\nätverksnamn_PC\quarantine_date\) för förekomsten av filer i karantän. Observera att QuarantineFile-funktionen automatiskt blockerar karantän för filer som identifieras av den säkra AVZ-databasen eller Microsofts digitala signaturdatabase. För praktisk användning kan detta skript förbättras - organisera laddningen av filnamn från en extern textfil, kontrollera de hittade filerna mot AVZ-databaserna och generera ett textprotokoll med resultaten av arbetet:

// Sök efter en fil med det angivna namnet

function CheckByName(Fname: string): boolean;

Resultat:= FileExists(FName) ;

om Resultat sedan börja

case CheckFile(FName) of

1: S:= ', åtkomst till filen är blockerad';

1: S:= ', upptäckt som skadlig programvara ('+GetLastCheckTxt+')';

2: S:= ', misstänkt av filskannern ('+GetLastCheckTxt+')';

3: utgång; // Säkra filer ignoreras

AddToLog(‘Filen ‘+NormalFileName(FName)+’ har ett misstänkt namn’+S);

//Lägg till specificerad fil i karantän

QuarantineFile(FName,'misstänkt fil'+S);

SuspNames: TStringList; // Lista över namn på misstänkta filer

// Kontrollerar filer mot den uppdaterade databasen

om FileExists(GetAVZDirectory + ‘files.db’) börja sedan

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('filer.db');

AddToLog('Namndatabasen laddad - antal poster = '+inttostr(SuspNames.Count));

// Sök loop

för i:= 0 till SuspNames.Count - 1 do

CheckByName(SuspNames[i]);

AddToLog('Fel vid laddning av lista med filnamn');

SaveLog(GetAVZDirectory+’\LOG\’+

GetComputerName+’_files.txt’);

För att det här skriptet ska fungera är det nödvändigt att skapa karantän- och LOG-katalogerna i AVZ-mappen som är tillgängliga för användare att skriva, samt textfilen files.db - varje rad i den här filen kommer att innehålla namnet på den misstänkta filen. Filnamn kan innehålla makron, de mest användbara är %WinDir% (sökvägen till Windows-mappen) och %SystemRoot% (sökvägen till System32-mappen). En annan analysriktning kan vara en automatisk granskning av listan över processer som körs på användardatorer. Information om pågående processer finns i systemforskningsprotokollet, men för automatisk analys är det bekvämare att använda följande skriptfragment:

procedur ScanProcess;

S:= ''; S1:= '';

//Uppdaterar listan över processer

RefreshProcessList;

AddToLog(‘Antal processer = ‘+IntToStr(GetProcessCount));

// Analyscykel av den mottagna listan

för i:= 0 till GetProcessCount - 1 börjar

S1:= S1 + ‘,’ + ExtractFileName(GetProcessName(i));

// Sök efter process efter namn

om pos(‘trojan.exe’, LowerCase(GetProcessName(i))) > 0 då

S:= S + GetProcessName(i)+’,’;

om S<>''sedan

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

Studiet av processer i detta skript utförs som en separat ScanProcess-procedur, så det är lätt att placera det i ett eget skript. ScanProcess-proceduren bygger två listor med processer: full lista processer (för efterföljande analys) och en lista över processer som, ur administratörens synvinkel, anses vara farliga. I det här fallet, för demonstrationsändamål, anses en process som heter 'trojan.exe' vara farlig. Information om farliga processer läggs till i textfilen _alarm.txt, data om alla processer läggs till filen _all_process.txt. Det är lätt att se att du kan komplicera skriptet genom att lägga till det, till exempel kontrollera processfiler mot databasen säkra filer eller kontrollera namnen på körbara processfiler mot en extern databas. En liknande procedur används i AVZ-skript som används i Smolenskenergo: administratören studerar regelbundet den insamlade informationen och modifierar skriptet och lägger till namnet på processerna för program som är förbjudna enligt säkerhetspolicyn, till exempel ICQ och MailRu.Agent, vilket tillåter Du kan snabbt kontrollera förekomsten av förbjuden programvara på de datorer som studeras. En annan användning för processlistan är att hitta datorer som saknar en nödvändig process, till exempel ett antivirus.

Avslutningsvis, låt oss titta på det sista av de användbara analysskripten - ett skript för automatisk karantän för alla filer som inte känns igen av den säkra AVZ-databasen och Microsofts digitala signaturdatabase:

// Utför autokarantän

ExecuteAutoQuarantine;

Automatisk karantän undersöker pågående processer och laddade bibliotek, tjänster och drivrutiner, cirka 45 autostartmetoder, webbläsar- och utforskartilläggsmoduler, SPI/LSP-hanterare, schemaläggarjobb, utskriftssystemhanterare, etc. En speciell egenskap med karantän är att filer läggs till den med upprepningskontroll, så att autokarantänfunktionen kan anropas upprepade gånger.

Fördelen med automatisk karantän är att administratören med dess hjälp snabbt kan samla in potential misstänkta filer från alla datorer i nätverket för att studera dem. Den enklaste (men mycket effektiva i praktiken) formen av att studera filer kan vara att kontrollera den resulterande karantänen med flera populära antivirus i maximalt heuristiskt läge. Det bör noteras att samtidig lansering av autokarantän på flera hundra datorer kan skapa en hög belastning på nätverket och filservern.

Trafikforskning

Trafikforskning kan utföras på tre sätt:

• manuellt använda sniffers;
• i halvautomatiskt läge - i det här fallet samlar sniffern information, och sedan bearbetas dess protokoll antingen manuellt eller av någon programvara;
• automatiskt med hjälp av intrångsdetekteringssystem (IDS) som Snort (http://www.snort.org/) eller deras mjukvara eller hårdvara analoger. I det enklaste fallet består en IDS av en sniffer och ett system som analyserar informationen som sniffern samlar in.

Ett intrångsdetekteringssystem är ett optimalt verktyg eftersom det låter dig skapa uppsättningar regler för att upptäcka anomalier i nätverksaktivitet. Dess andra fördel är följande: de flesta moderna IDS tillåter trafikövervakningsagenter att placeras på flera nätverksnoder - agenterna samlar in information och överför den. Om du använder en sniffer är det mycket bekvämt att använda konsolen UNIX sniffer tcpdump. För att till exempel övervaka aktivitet på port 25 (SMTP-protokoll) räcker det att köra sniffern med kommandorad typ:

tcpdump -i em0 -l tcp port 25 > smtp_log.txt

I detta fall fångas paket via em0-gränssnittet; information om fångade paket kommer att lagras i filen smtp_log.txt. Protokollet är relativt lätt att analysera manuellt i det här exemplet, genom att analysera aktivitet på port 25 kan du identifiera datorer med aktiva spam bots.

Applicering av Honeypot

En föråldrad dator vars prestanda inte tillåter att den används för att lösa produktionsproblem kan användas som honungskruka. Till exempel, i författarens nätverk, används en Pentium Pro med 64 MB RAM framgångsrikt som en fälla. På den här datorn bör du installera det vanligaste operativsystemet på LAN och välja en av strategierna:

• Installera ett operativsystem utan uppdateringspaket - det kommer att vara en indikator på utseendet på en aktiv nätverksmask på nätverket som utnyttjar någon av de kända sårbarheterna för detta operativsystem;
• installera ett operativsystem med uppdateringar som är installerade på andra datorer i nätverket - Honeypot kommer att vara analog med någon av arbetsstationerna.

Varje strategi har både sina för- och nackdelar; Författaren använder huvudsakligen alternativet utan uppdateringar. Efter att ha skapat Honeypot bör du skapa en diskavbildning för snabb återhämtning systemet efter att det har skadats av skadlig programvara. Som ett alternativ till en diskavbildning kan du använda system för återställning av ändringar som ShadowUser och dess analoger. Efter att ha byggt en Honeypot bör du ta hänsyn till att ett antal nätverksmaskar söker efter infekterade datorer genom att skanna IP-intervallet, beräknat från IP-adressen för den infekterade datorn (vanliga typiska strategier är X.X.X.*, X.X.X+1.*, X.X.X-1.*), - därför bör det helst finnas en Honeypot på varje subnät. Som ytterligare element Innan du förbereder bör du definitivt öppna åtkomst till flera mappar på Honeypot-systemet, och flera exempelfiler bör placeras i dessa mappar olika format, minsta uppsättning - EXE, JPG, MP3.

Naturligtvis, efter att ha skapat en Honeypot måste administratören övervaka dess funktion och svara på eventuella avvikelser som upptäcks på den här datorn. Revisorer kan användas som ett sätt att registrera förändringar; en sniffer kan användas för att registrera nätverksaktivitet. En viktig punkt är att de flesta sniffers har möjlighet att konfigurera att skicka en varning till administratören om en viss nätverksaktivitet upptäcks. Till exempel, i CommView sniffer, innebär en regel att specificera en "formel" som beskriver nätverkspaket, eller ställa in kvantitativa kriterier (sända mer än ett specificerat antal paket eller byte per sekund, skicka paket till oidentifierade IP- eller MAC-adresser) - Fig. 2.

Ris. 2. Skapa och konfigurera en nätverksaktivitetsvarning

Som en varning är det mest bekvämt att använda e-postmeddelanden som skickas till Brevlåda administratör - i det här fallet kan du få snabba varningar från alla fällor i nätverket. Dessutom, om sniffern låter dig skapa flera varningar, är det vettigt att skilja nätverksaktivitet genom att lyfta fram arbetet med via e-post, FTP/HTTP, TFTP, Telnet, MS Net, ökad trafik mer än 20-30 paket per sekund för vilket protokoll som helst (fig. 3).

Ris. 3. Aviseringsbrev skickat
om paket som matchar de angivna kriterierna upptäcks

När du organiserar en fälla är det en bra idé att placera flera sårbara nätverkstjänster som används på nätverket på den eller installera en emulator för dem. Det enklaste (och gratis) är det proprietära APS-verktyget, som fungerar utan installation. Funktionsprincipen för APS handlar om att lyssna på många TCP- och UDP-portar som beskrivs i dess databas och att ge ett förutbestämt eller slumpmässigt genererat svar vid anslutningsögonblicket (fig. 4).

Ris. 4. Huvudfönster för APS-verktyget

Bilden visar en skärmdump tagen under en riktig APS-aktivering på Smolenskenergo LAN. Som framgår av figuren registrerades ett försök att ansluta en av klientdatorerna på port 21. Analys av protokollen visade att försöken är periodiska och registreras av flera fällor på nätverket, vilket gör att vi kan dra slutsatsen att nätverket skannas för att söka efter och hacka FTP-servrar genom att gissa lösenord. APS för loggar och kan skicka meddelanden till administratörer med rapporter om registrerade anslutningar till övervakade portar, vilket är bekvämt för att snabbt upptäcka nätverksskanningar.

När du skapar en Honeypot är det också bra att bekanta dig med onlineresurser om ämnet, särskilt http://www.honeynet.org/. I avsnittet Verktyg på den här webbplatsen (http://www.honeynet.org/tools/index.html) kan du hitta ett antal verktyg för att registrera och analysera attacker.

Borttagning av skadlig programvara på distans

I idealfallet, efter att ha upptäckt skadlig programvara, skickar administratören dem till antiviruslaboratoriet, där de omgående studeras av analytiker och motsvarande signaturer läggs till i antivirusdatabasen. Dessa signaturer igenom automatisk uppdatering komma in på användarens dator och antivirusprogrammet tar automatiskt bort skadlig programvara utan administratörsingripande. Denna kedja fungerar dock inte alltid som förväntat, särskilt följande orsaker till misslyckanden är möjliga:

• av ett antal skäl oberoende av nätverksadministratören kan det hända att bilderna inte når antiviruslaboratoriet;
• otillräcklig effektivitet hos antiviruslaboratoriet - idealiskt tar det inte mer än 1-2 timmar att studera prover och lägga in dem i databasen, vilket innebär att uppdaterade signaturdatabaser kan erhållas inom en arbetsdag. Dock inte alla antiviruslaboratorier de fungerar så snabbt och du kan vänta på uppdateringar i flera dagar (i sällsynta fall, till och med veckor);
• hög prestanda av antivirus - ett antal skadliga program, efter aktivering, förstöra antivirus eller på annat sätt störa deras funktion. Klassiska exempel- lägga till i fil värdposter, blockering normalt arbete antivirus automatiska uppdateringssystem, radering av processer, tjänster och antivirusdrivrutiner, skador på deras inställningar osv.

Därför måste du i ovanstående situationer hantera skadlig programvara manuellt. I de flesta fall är detta inte svårt, eftersom resultaten av datorundersökningen avslöjar de infekterade datorerna, såväl som de fullständiga namnen på skadliga filer. Allt som återstår är att ta bort dem på distans. Om det skadliga programmet inte är skyddat från radering kan det förstöras med följande AVZ-skript:

// Ta bort en fil

DeleteFile('filnamn');

ExecuteSysClean;

Detta skript tar bort en specificerad fil (eller flera filer, eftersom det kan finnas ett obegränsat antal DeleteFile-kommandon i ett skript) och rensar sedan automatiskt registret. I ett mer komplext fall kan skadlig programvara skydda sig från att raderas (till exempel genom att återskapa sina filer och registernycklar) eller dölja sig själv med hjälp av rootkit-teknik. I det här fallet blir skriptet mer komplicerat och kommer att se ut så här:

// Anti-rootkit

SearchRootkit(true, true);

// Styr AVZGuard

SetAVZGuardStatus(true);

// Ta bort en fil

DeleteFile('filnamn');

// Aktivera BootCleaner-loggning

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// Importera till BootCleaner-uppgiften en lista över filer som raderats av skriptet

BC_ImportDeletedList;

// Aktivera BootCleaner

// Heuristisk systemrengöring

ExecuteSysClean;

Starta om Windows(true);

Detta skript inkluderar aktiv motverkan mot rootkits, användningen av AVZGuard-systemet (detta är en blockerare av skadlig programvara) och BootCleaner-systemet. BootCleaner är en drivrutin som tar bort specificerade objekt från KernelMode under en omstart, i ett tidigt skede av systemstart. Övning visar att ett sådant skript kan förstöra den stora majoriteten av befintlig skadlig programvara. Undantaget är skadlig programvara som ändrar namnen på sina körbara filer vid varje omstart - i det här fallet kan filer som upptäckts under systemgenomsökning bytas namn. I det här fallet måste du desinficera din dator manuellt eller skapa dina egna skadliga signaturer (ett exempel på ett skript som implementerar en signatursökning beskrivs i AVZ-hjälpen).

Slutsats

I den här artikeln tittade vi på några praktiska tekniker för att bekämpa en LAN-epidemi manuellt, utan användning av antivirusprodukter. De flesta av de beskrivna teknikerna kan också användas för att söka efter utländska datorer och trojanska bokmärken på användardatorer. Om du har problem med att hitta skadlig programvara eller skapa behandlingsskript kan administratören använda avsnittet "Hjälp" på forumet http://virusinfo.info eller avsnittet "Bekämpa virus" på forumet http://forum.kaspersky.com /index.php?showforum= 18. Studie av protokoll och hjälp vid behandling utförs på båda forumen kostnadsfritt, PC-analys utförs enligt AVZ-protokoll, och i de flesta fall handlar behandlingen om att exekvera ett AVZ-skript på infekterade datorer, sammanställt av erfarna specialister från dessa forum .

Ett trasigt nätverkskort tillåter dig inte att komma åt Internet eller lokalt nätverk, om anslutningen till dem sker via en nätverksadapter. Nätverkskort kan vara inbyggda eller externa. Om kortet är externt, kontrollera att det är helt insatt i kortplatsen. Kontrollera även anslutningens täthet nätverkskabel med adapterkontakt. Om dessa alternativ inte fungerar eller om du har en inbyggd nätverksadapter, är det troligen ett problem med systeminställningarna.

Om Internet slutar fungera. Kontrollera anslutningsstatusen i aktivitetsfältet. Om det finns ett rött kryss på internetåtkomstikonen finns det ingen anslutning. Försök att slå på den. För att göra detta, klicka på Internet-ikonen och välj "Nätverks- och delningscenter". Klicka på det röda krysset i diagrammet nätverksanslutning. Detta kommer att starta ett diagnostikprogram som kommer att felsöka problem och aktivera nätverkskortet om det är inaktiverat. Drivrutinsfel. Om nätverkskortets drivrutiner är felaktigt installerade eller om de är skadade bör du installera om dem eller göra rulla tillbaka till det sista arbetstillståndet. För att göra detta, klicka på "Start", högerklicka på "Dator" och välj "Egenskaper" från listan med kommandon. Öppna Enhetshanteraren från menyn till vänster. I avsnittet Nätverkskort kan din enhet vara märkt utropstecken, vilket betyder att den inte fungerar. Dubbelklicka på adaptern, välj fliken Drivrutin och klicka på Återställ.

Om återställningen inte fungerar, försök uppdatering förare. För att göra detta klickar du på "Uppdatera" på fliken "Drivrutin" ovanför knappen "Roll Back". Välj Automatisk sökning. Om din dator har fungerande drivrutiner kommer Windows att hitta dem och installera dem. Om det inte finns några måste du ladda ner dem själv. Installera om drivrutiner. För inbyggda nätverkskort, sätt bara in disken som medföljer din moderkort, och ange uppdateringssökvägen till drivrutinsmappen. På fliken "Drivrutin", klicka på "Uppdatera" - "Sök och installera manuellt" - Sökväg till mappen Drivrutiner på CD:n. För att göra sökningen enklare, markera kryssrutan "Inkluderar undermappar". Klicka på Nästa. Systemet kommer att hitta och installera arbetsfiler. Om ditt kort är externt och det inte finns någon disk med drivrutiner måste du leta efter dem själv. Detta kommer att kräva nätverkskortets namn. Du hittar den i Enhetshanteraren eller genom att läsa klistermärket på själva kortet. På en dator med Internetåtkomst, gå till denna sida och ange namnet på ditt nätverkskort i sökfältet. Följ den angivna länken. Välj drivrutinen för din version av Windows och klicka på Ladda ner. Öppna den nedladdade filen och kör setup.exe på datorn med den felaktiga nätverkskort. Välj "Fix" från programmenyn. Ett annat möjligt problem är ditt nätverkskort. Inaktiverad och det är inte synligt i enhetshanteraren. Få inte panik. Om det fungerade ordentligt tidigare kan du slå på det igen. För att göra detta, klicka i Enhetshanteraren Högerklicka musen på "Nätverkskort" och välj "Uppdatera hårdvarukonfiguration". Plug and Play bör omedelbart hitta din enhet och försöka ansluta den.

Se till att problemet ligger i nätverkskortet. Om diagnostiken som beskrivs i punkt 1 inte avslöjade problem med adaptern kan det vara ett problem med leverantören eller ett tekniskt fel på linjen. Uppdatera regelbundet drivrutiner och försiktigt lagra disken från moderkortet - detta hjälper dig att snabbt lösa problem med nätverkskortet. Externa kort kan kontrolleras på andra datorer för att fastställa orsaken till problemet.

Om utbudet av externa IP-adresser är cirka 10 tusen enheter eller mindre, gör nmap ett utmärkt jobb i fallet med alla ovanstående behov. Men i stora företag som äger hundratusentals IP-adresser blir uppgiften att identifiera "live" värdar inom rimlig tid (till exempel inom några timmar) svårare.

Ofta när man utför pentest ber en klient mig att skanna det externa nätverket (jag hoppas att dina kunder är väl medvetna om riskerna, och förutom att skanna externt nätverk ger dig tillgång till internt nätverk, men detta är ett ämne för en separat artikel). För mindre organisationer använder jag mest nmap för alla faser av skanning. När det gäller stora nätverk, låt oss först försöka dela upp skanningsproceduren i separata steg:

1. Allmän nätverksskanning: sök efter IPv4-adresser som har fungerande tjänster (sök efter "live"-värdar).
2. Portskanning: söker efter öppna TCP- och UDP-portar på målsystem.
3. Versionsidentifiering: Bestäm versionen av tjänster och protokoll som använder öppna TCP- och UDP-portar.

Om utbudet av externa IP-adresser är cirka 10 tusen enheter eller mindre, gör nmap ett utmärkt jobb i fallet med alla ovanstående behov. Men i stora företag som äger hundratusentals IP-adresser blir uppgiften att identifiera "live" värdar inom rimlig tid (till exempel inom några timmar) svårare. Som standard skickar nmap flera probförfrågningar. Om det misslyckas markeras värden som "död" och inga ytterligare förfrågningar skickas. Vi kan välja att inte göra en allmän nätverksskanning med alternativet –Pn, men nmap kommer då att börja kontrollera alla angivna portar för varje IPv4-adress. Eftersom de flesta externa IPv4-adresser inte har körande tjänster, kontrollera stort nätverk kan ta veckor, månader eller till och med år. Därför är vår uppgift att hitta effektiv metod söka efter IP-adresser med körande tjänster. Därefter kommer den hittade listan att kontrolleras i detalj för specifika portar och protokollversioner.

Nmap har problem med ett stort antal adresser eftersom verktyget fungerar som en synkron skanner, övervakar anslutningsförfrågningar och väntar på svar. Om TCP-anslutningsbegäran (SYN) inte får något svar, tar den timeout och nmap ställer in tjänsten på filtrerad status. Nmap kör flera sökbegäranden parallellt, men filtrerade tjänster (och inaktiva IP-adresser) saktar ner den övergripande processen.

Förutom synkroniseringsverktyg, varav nmap är en, finns det flera asynkrona skannrar som inte övervakar anslutningar: scanrand, ZMap och min favorit, masscan.
Jag föredrar att använda masscan av flera anledningar. Den första och de flesta främsta orsakenär att syntaxen för masscan är mycket lik nmap. För det andra är masscan en av de snabbaste även bland asynkrona skannrar. Om du har rätt nätverksgränssnitt och drivrutiner, är denna skanners effektivitet begränsad av bredden på din kanal. Med två 10 Gigabit Ethernet-adaptrar från Intel kan du skanna hela utbudet av IPv4-adresser på sex minuter, med 10 miljoner paket som överförs varje sekund.

Låt oss först titta på den grundläggande syntaxen för masscan som den gäller för att skanna TCP-portar över ett stort nätverksområde (till exempel de 16 miljoner IPv4-adresser som används av Apple).

$ sudo masscan 17.0.0.0/8 -p0-1023

Skanningshastighet

Som standard kommer masscan att skicka 100 paket per sekund. I varje paket tilldelas 18 byte för Ethernet-huvudet, 20 byte för TCP-huvudet och mer än 20 byte för IPv4-huvudet. Som ett resultat skickas 5800 byte (eller ungefär 46 kilobyte) per sekund. Eftersom masscan fördelar resurserna jämnt vid skanning av portar och värdar, kommer bandbredden därför också att fördelas jämnt. På en bred remsa, oavsiktligt DDOS-attack i fallet med att skanna ett litet nätverk, men med 1-10 megabit per sekund (eller 20 tusen paket per sekund, parametern --rate 20000) bör problem inte uppstå. På virtuella maskiner kan hastigheten lätt nå 200 tusen paket per sekund (--hastighet 200000), vilket motsvarar 93 megabit per sekund utgående trafik. Behovet av att använda så höga hastigheter bör dock komma överens med kunden.

Nätverksskanning

Hur kan vi fastställa att en viss IPv4-adress har körande TCP-tjänster? Det enklaste sättet är att skanna 65536-portar (från 0 till 65535). Men i stora nätverk kommer denna metod att ta för mycket tid även för höga hastigheter. Jag brukar välja de 100 eller 1000 mest populära portarna enligt nmap. Om en IP-adress svarar på något SYN-paket (svaret är antingen RST, vilket indikerar en stängd port/anslutning, eller SYN-ACK, som indikerar en öppen port/anslutning), lagrar vi denna IP-adress i en separat lista för efterföljande analys med hjälp av nmap eller till exempel Nessus sårbarhetsskanner.
Låt oss använda ett litet knep för att få en lista över de mest populära portarna. Vi ska skanna vår eget system och visa en lista över portar i XML-format. XML-formatet visar parametrarna som används under skanning och, ännu viktigare, listar portarna i en läsbar form. Jag valde de första 100 portarna, men du kan enkelt ändra detta värde (visa till exempel de första 10 eller 1000 portarna).

$ nmap localhost --top-ports 100 -oX - | grep tjänster

Därefter använder vi den resulterande listan som värden för parametern –p när vi skannar målområdet. Vi använder också nätverket som exempel Äpple. En hastighet på 100 000 paket per sekund motsvarar 32 megabit per sekund trafik.

$ sudo masscan 17.0.0.0/8 -oG apple-masscan.gnmap -p 7,9,13,21-23,25-26,37,53,79-81,88,106,110-111,113,119,135,139,41749,- 5,465,513-515,543-544,548,554,587,631,646,873,990,993,995 ,1025-1029,1110,1433,1720,1723,1755,1900,2000-2001,2049,2121,2717,3000,3128,3306,3389,3986,4005,0105,0106,4005, 5190 -kurs 100 000

Observera att masscan stöder samma -oG filnamn.gnmap-alternativ som nmap. Därefter kommer vi att bearbeta den resulterande listan (i greppbart format) för att analysera värdar med öppna portar. Att skanna 16 miljoner adresser på 100 portar tar cirka 5 timmar. Enligt mig är den här tiden ganska rimlig. Låt oss titta på de första raderna i den resulterande filen:

# Masscan 1.0.3 skanning initierad tors jul 20 22:24:40 2017
# Skannade portar: TCP(1;7-7,) UDP(0;) SCTP(0;) PROTOKOLL(0;)
Värd: 17.179.241.56 () Portar: 443/open/tcp////
Värd: 17.253.84.72 () Portar: 179/open/tcp////
Värd: 17.188.161.148 () Portar: 8081/open/tcp////
Värd: 17.188.161.212 () Portar: 8081/open/tcp////

Eftersom vi bara behöver IP-adresser kommer vi att använda verktyget egrep för att hitta rader som börjar med "Host:" och sedan bearbeta den resulterande informationen med hjälp av verktyget cut för att ta bort det andra fältet. Vi kommer också att sortera listan med hjälp av sorteringsverktyget och ta bort dubbletter med uniq.

$ egrep "^Värd: " apple-masscan.gnmap | skär -d" " -f2 | sortera | uniq > äpple-levande

Därmed har vår lista blivit betydligt mindre, och då kan vi använda nmap för en mer detaljerad analys:

# nmap -PN -n -A -iL apple-alive -oA apple-nmap-advanced-scan

Nu, baserat på filen som genereras av masscan, nmap skanner kommer att kunna få jobbet gjort mycket snabbare.

Skriv i kommentarerna om min metod hjälpte dig i ditt arbete. Generellt sett gillar jag nmap, men ibland utförs resurskrävande uppgifter bättre av mer specialiserade verktyg.
Tack för din uppmärksamhet.

Den kostnadsfria antivirusskannern ESET Online Scanner är utformad för att skanna din dator efter virus online. Antivirusprogrammet utför en engångsvirusskanning för att söka efter och neutralisera skadlig och potentiellt oönskad programvara.

ESET Online Scanner - vad är det här programmet? ESET Online Scanner - en online-virusskanner för att skanna din dator efter virus och neutralisera upptäckta hot. För att applikationen ska fungera behöver du permanent anslutning till Internet, eftersom datorn kontrolleras med hjälp av antivirusdatabaser, som ligger i "molnet", på Fjärrserver ESET.

Applikationen är inte avsedd för permanent skydd dator från skadlig programvara. ESET Online Scanner är en engångsskanning av din dator. När du använder ESET Online Scanner finns det inga konflikter med antivirusprogrammet som är installerat på din dator.

Principen för att använda skannern är som följer: starta verktyget, engångskontroll och neutralisera hot, ta bort verktyget från din dator för nästa genomsökning måste du ladda ner den senaste versionen antivirusverktyg.

Grundläggande ESET-funktioner Onlineskanner:

• Upptäck effektivt alla typer av hot
• Ta bort skadlig programvara
• Testa utan installation på en dator
• Skanna hela datorn eller skanna ett specifikt område

Det kostnadsfria ESET Online Scanner-programmet fungerar på ryska. ESET Online Scanner kan laddas ner från den officiella webbplatsen för tillverkaren, en välkänd utvecklare av antivirusprogram, det slovakiska företaget ESET Software.

ESET Online Scanner kräver ingen installation på din dator. Kör bara den nedladdade filen, efter att ha kontrollerat kan den här filen raderas.

Omedelbart efter att du har startat Eset Online Scanner, i fönstret "Användarvillkor" måste du acceptera villkoren i licensavtalet, klicka på knappen "Jag accepterar".

ESET Online Scanner-inställningar

I fönstret "Computer Scan Settings" måste du välja ett av alternativen för att skanna din dator:

• Möjliggöra detektering av potentiellt oönskade program
• Inaktivera potentiellt oönskade programavkänning

Om du aktiverar upptäckt av potentiellt oönskade program från ESET Online Scanners synvinkel, kommer programmet att hitta sådana program vid skanning. Om du väljer det här alternativet kommer en mer grundlig genomsökning av din dator att äga rum.

Tänk på det potentiellt oönskade applikationerär inte skadliga. Dessa kan vara de program du behöver. Enligt antivirusverktyget kan potentiellt oönskade program utgöra ett potentiellt hot mot din dator.

Om upptäckt av potentiellt farliga applikationer är inaktiverat kommer ESET Online Scanner endast att upptäcka skadlig programvara när din dator skannar.

För att konfigurera programmets driftsparametrar, klicka på "Avancerat".

Här kan du aktivera eller inaktivera individuella inställningar programinställningar, välj objekt att skanna, konfigurera proxyservern själv. Vald som standard optimala inställningar. Till exempel är det bättre att först bekanta dig med de upptäckta hoten för att själv kunna fatta ett beslut än att rensa upp hot automatiskt förlita sig på programmets åsikt.

I inställningen "Aktuella skanningsobjekt" uppmanas du att välja objekt att skanna antivirusverktyg. Klicka på knappen "Ändra..." för att välja skannade objekt.

I fönstret "Välj skanningsmål" kan du välja önskat alternativ för skanning:

• Flyttbara media - kontrollera flyttbara media som är anslutna till datorn
• Lokala enheter - kontrollera lokala enheter
• Nätverksenheter - kontrollera nätverksenheter
• Inte vald

Som standard, som ett skanningsmål i ESET-programmet Onlineskanner inkluderar skanning av följande objekt: Bagge, boot sektor, alla lokala enheter anslutna till datorn.

Här kan du bara välja några enheter att skanna, eller specifika mappar eller filer. För att göra detta, avmarkera onödiga kryssrutor bredvid skannade objekt. Välj sedan de filer och mappar som finns på den specifika enheten. När du har tillämpat ändringarna klickar du på knappen "OK".

Om ett antivirus är installerat på datorn som ska skannas kommer Eset Online Scanner att upptäcka det. Ett meddelande om detta visas i fönstret för skanningsinställningar. Klicka på länken "Visa lista" för fullständig information.

I det här fallet upptäckte ESET Online Scanner antivirusprogramvara på min dator: Kaspersky Internet Security.

När du har valt inställningarna klickar du på knappen "Skanna" för att börja skanna din dator efter virus.

Virussökning med ESET Online Scanner

Först sker initiering, då databasen med virussignaturer och annat nödvändiga komponenter. Därefter börjar processen att skanna din dator efter virus, vilket kommer att ta lite tid. Du kan stoppa virussökningen när som helst genom att klicka på knappen "Stopp".

I programfönstret kommer du att se en nedladdningsprompt betalt antivirus ESET NOD32 Smart säkerhet. Om detta erbjudande inte är relevant, ignorera det.

Efter att genomsökningen är klar, om hot upptäcktes på datorn, öppnas ett fönster där du ser den skadliga programvaran som hittats.

Om det behövs kan du kopiera information om hot till urklipp eller spara den på din dator i textfil i "TXT"-format.

I mitt fall upptäckte ESET Online Scanner Trojaner i ett arkiv lagrat på Goole Drive. Dessa visade sig vara WordPress-temafiler som jag en gång provade på en testsajt. En gång sparade jag webbplatsmappen i Goole Drive, så dessa filer sparas fortfarande i molnlagring. I molnet OneDrive-lagring Antivirusskannern upptäckte ett hot i någon nyckelgen som fanns i utbildningen. Förresten, Kaspersky Anti-Virus och andra antivirusskannrar anser att dessa filer är säkra, så det är möjligt att detta är ett falskt larm.

Beroende på resultatet av skanningen kanske du inte vidtar någon åtgärd, då kommer alla hittade filer att sparas på din dator, välj alla eller bara några filer för att rensa filer från din dator. Filerna sätts i karantän eller raderas från din dator.

Om du väljer "Rengör inte" öppnas ett fönster med information om skanningsresultaten. I det här fönstret kan du välja alternativet "Ta bort programdata vid stängning" för att radera virusdata.

Markera rutorna bredvid de upptäckta objekten och klicka sedan på knappen "Rensa markerade" (om bara några objekt är markerade) eller knappen "Rensa alla" (om alla objekt är markerade).

Nästa fönster kommer att visa information om resultaten tidigare åtgärd användare med upptäckta filer. I "Karantänhantering" kan du göra val för att ta bort upptäckta virushot:

• Radera programdata vid stängning - filer raderas när antivirusprogrammet stängs
• Ta bort filer från karantän - filer från karantän kommer att raderas

Karantän (ett isolerat, skyddat område på din dator) innehåller filer som identifierats av ESET Online Scanner. Välj först filerna, klicka sedan på "Tillbaka"-knappen och välj sedan en åtgärd: radera när du stänger programmet eller ta bort filer från karantänen.

Om användaren inte väljer alternativet att ta bort filen, förblir filen i karantän.

Om det behövs kan en fil i karantän återställas till din dator. För att göra detta, välj en fil i karantän och klicka sedan på "Återställ".

När genomsökningen är klar, avsluta programmet och ta sedan bort virusskanningsfilen från din dator. För att köra en ny skanning, ladda ner den nya versionen av ESET Online Scanner till din dator.

Slutsats

ESET Online Scanner är en gratis antivirusskanner online för att upptäcka och ta bort skadlig programvara från din dator. Programmet fungerar utan installation på datorn, skannern skannar hela datorn eller ett separat område, du kan kolla i applikationen separat fil eller mapp.