Перейти к содержанию

Вирус при создании установочного носителя.


windows11

Рекомендуемые сообщения

Доброго времени суток. Хотел бы уточнить одну деталь - если я создам образ для установки ОС (windows 10 через прогу от Макйрософт MediaTools), а на моем ПК, на котором я буду создавать установочный носитель, будет вирус. Предположим, этот вирус встроит себя в носитель. Скажите, пожалуйста, если я проверю систему, которую я установлю с этого носителя - антивирус сможет найти угрозу? Или если вирус был в установочных файлах - он спрячет себя так глубоко, что после установки его не найдет антивирус?

Изменено пользователем windows11
  • Улыбнуло 1
Ссылка на комментарий
Поделиться на другие сайты

А в чем конкретно заключается требуемая вам компьютерная помощь?
Если вы желаете просто побеседовать о том, что будет, когда якобы да кабы, то тема будет перемещена в другой раздел

Ссылка на комментарий
Поделиться на другие сайты

10 минут назад, kmscom сказал:

А в чем конкретно заключается требуемая вам компьютерная помощь?
Если вы желаете просто побеседовать о том, что будет, когда якобы да кабы, то тема будет перемещена в другой раздел

Дело в том, что «предположим» здесь просто как оборот. Ситуация произошла уже. Я создал носитель на ПК у друга, а когда уже установил систему (которую записал у друга) на свой комп, выяснилось, что у друга был вирус. Вот и интересуюсь, если таки он ко мне попал, то антивирус найдет его? Или раз он был заразил установочные файлы - все пропало и он скрылся?

Изменено пользователем windows11
необходимость поправок
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,

Уточните пожалуйста, что за вирус нашел ваш друг (название)?

P.S. Удалит ли антивирусный продукт будет зависить от его настроек, а также если в сигнарурах антивирусных продуктов присутствует указанный тип вируса(т.е.если вирус уже известен антивирусной лаборатории) или если эвристика сможет определить вирус по каким-то критериям.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

16 часов назад, windows11 сказал:

Вот и интересуюсь, если таки он ко мне попал, то антивирус найдет его?

Уточните. что у вас за антивирус установлен?

Ссылка на комментарий
Поделиться на другие сайты

@windows11, мы сейчас занимаемся гаданием на кофейной гуще. Без точных данных, что за вирус, сказать ничего определенного нельзя.

Я бы сказал, что вероятность того, что у вас это как-то проявится очень мала.

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, andrew75 сказал:

@windows11, мы сейчас занимаемся гаданием на кофейной гуще. Без точных данных, что за вирус, сказать ничего определенного нельзя.

Я бы сказал, что вероятность того, что у вас это как-то проявится очень мала.

согласен, но Вы меня тоже поймите, неприятно было бы упустить rms (или ему подобный вирус) и дать ему работать в ОС. Может есть какие-то системные логи, которые показывают - есть ли удаленный доступ, пересылка каких-то данных и т.д.? Ведь проверив их можно будет исключить вероятность вируса, как я думаю.

Ссылка на комментарий
Поделиться на другие сайты

Это не так. Вирусы как правило должны иметь какой-то триггер запуска. Это может быть файл, команда автозапуска, ключ в реестре, какой-нибудь драйвер (теоретически и такое возможно). Поэтому если в системе нету триггера для вируса, то его файлы могут лежать годами мертвым грузом, а потом активизироваться. Логи могут теоретически показать активные вирусы, но никогда не покажут файлы вирусов которые находятся в пассивном состоянии (т.к. они просто ничего не делают). И никакой антивирус не даст 100% гарантии обнаружения всех частей всех вирусов. Антивирус только может проверить все файлы на диске и какие-то записи в реестре (сомневаюсь что какой-либо антивирус сканирует все записи в реестре), поэтому не факт что он вообще наткнётся на триггер вируса в реестре, если он закопан где-то глубоко. 

 

Насколько знаю Media Creation Tool берёт файлы для создания образа с серверов Microsoft. Поэтому изначально эти файлы вирусов содержать не могут. А вот были ли они изменены в процессе создания образа или после этого- зависит от конкретного типа вируса, которого мы не знаем.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

57 минут назад, stanisluv сказал:

Это не так. Вирусы как правило должны иметь какой-то триггер запуска. Это может быть файл, команда автозапуска, ключ в реестре, какой-нибудь драйвер (теоретически и такое возможно). Поэтому если в системе нету триггера для вируса, то его файлы могут лежать годами мертвым грузом, а потом активизироваться. Логи могут теоретически показать активные вирусы, но никогда не покажут файлы вирусов которые находятся в пассивном состоянии (т.к. они просто ничего не делают). И никакой антивирус не даст 100% гарантии обнаружения всех частей всех вирусов. Антивирус только может проверить все файлы на диске и какие-то записи в реестре (сомневаюсь что какой-либо антивирус сканирует все записи в реестре), поэтому не факт что он вообще наткнётся на триггер вируса в реестре, если он закопан где-то глубоко. 

 

Насколько знаю Media Creation Tool берёт файлы для создания образа с серверов Microsoft. Поэтому изначально эти файлы вирусов содержать не могут. А вот были ли они изменены в процессе создания образа или после этого- зависит от конкретного типа вируса, которого мы не знаем.

Здравствуйте, вирус предположительно RMS, а вот мог ли злоумышленник что-то закинуть мне в установочные файлы, пока я у друга работал - я не знаю, мне теперь главное хоть что-то сделать, чтобы вирус исключить...

Ссылка на комментарий
Поделиться на другие сайты

7 минут назад, windows11 сказал:

вирус предположительно RMS

укажите пожалйста, на основании каких данных вы делаете вывод о наличие вируса и его название. Не просто предположения, о его наличие или не наличие, а именно обоснования, почемы вы считаете, что наличие вируса имеет место быть, а не может иметь место быть.

Ссылка на комментарий
Поделиться на другие сайты

Только что, windows11 сказал:

который проверил систему утилитой chameleon

проверьте теперь этой утилитой, созданный вам носитель

Ссылка на комментарий
Поделиться на другие сайты

10 минут назад, kmscom сказал:

проверьте теперь этой утилитой, созданный вам носитель

Хорошо, но Вы не думаете, что если система уже установлена с вирусом, то он просто скроет себя (для обнаружения) или удалится с флэш-носителя вовсе (если говорю что-то не так, извиняюсь, я ламер в вопросах Windows и ее безопасности с точки зрения файловой системы).

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Pavlik02
      Автор Pavlik02
      Здравствуйте, в моей KSC политике добавлено уже 271 флешка, из них 71 флешка не была найдена по идентификатору и не находится в текущий момент, существуют ли способы устранить данную проблему, так как политику должны применять, но в неё не вводятся эти флешки, способ добавления уникальным спецсимволом "*" также пробовал, возможно есть какие-нибудь другие варианты). В текстовое поле "Компьютер" вводилось название моего пк и компа человека, которому принадлежит флешка, так же без успешно. Уровень защиты низкий, так как в организации попросили не трогать этот пункт, так как всё слетит.
       Рисунок 5 - информация об флеш-накопителях, которые были видны в системе
    • composer1995
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • sekvoya
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • sasaks11
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Aleks yakov
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
×
×
  • Создать...