Tasks может быть вирусом

Следуйте следующим инструкциям:, выберите браузеры которые должны быть сброшены, нажмите на кнопку “Сброс (Reset)” .. В заключении, перезагрузите компьютер, чтобы применить все внесенные изменения:

Профилактические советы для вашего ПК от быть с task.exe повторного заражения в будущем:

GridinSoft Anti-Malware предлагает отличное решение, которое может помочь предотвратить заражение вашей системы вредоносным программным обеспечением в будущем. Эта функция называется “On-run Protection”. По умолчанию, она отключена после установки программного обеспечения. Чтобы включить её, пожалуйста, нажмите на “Защищать (Protect)” и нажмите на кнопку “Начать (Start)“

Всем привет! И так, вы словили вирус msi.exe, что же делать? Можно попытаться удалить вирус из "Планировщика заданий", но у вас вряд ли что нибудь выйдет.

После распаковки открываем тот файл которые соответствует разрядности нашей системы, если x32/x86 то - Autoruns; если x64 то - Autoruns64.

Переходим во вкладку "Scheduled Tasks", и ищем файл с названием MSI

Смотрим путь к этому файлу (чуть правее), у меня он был: "c:\users\[username]\appdata\roaming\microsoft\msi.exe", переходим по этому пути.

И что же мы видим? А ничего. Нету тут этого файла, вернее он есть, но мы его не видим

Чтобы его увидеть мы должны посмотреть в левый верхний угол папки и увидеть там "Упорядочить"

Ищем пункт "Параметры папок и поиска" и нажимаем, переходим во вкладку "Вид" и идем вниз.

1. Скрывать защищенные системные файлы.

2. Скрытые файлы и папки.

В первом мы убираем галочку, а во втором ставим точку напротив "Показывать скрытые файлы и папки" как на скрине ниже:

После этого возвращаемся в папку Microsoft и видим что там появились файлы с названием msi.

Пытаемся их удалить, если не получается, переустанавливаем винду, а еще лучше выкидываем компьютер и сидим слушаем радио. Нет. Мы заходим в свойства файла msi и идем во вкладку "Безопасность", там нажимаем "Дополнительно" и видим вот такое окно:

Нам нужно, чтобы везде был полный доступ. Нажимаем "Изменить разрешения" и нажимаем на пользователя которому будем менять разрешения

Ставим галочки во всех пунктах, в столбце "Разрешить". Нажимаем "ОК", должно получится как-то так:

Нажимаем "Применить" и "ОК". И удаляем. То же самое проделываем с оставшимися файлами msi.

Ну вот мы удалили все файлы msi, а ведь задание то осталось, и при чем не удаляется! Что же делать?

Идем по пути: "C:\Windows\System32\Tasks".

Оп-па, что же мы тут видим. Наш любимый MSI. Ну что, проделываем с ним те же процедуры что и с прошлыми файлами, а после удаляем.

Затем снова идем в параметры папок и поиска, и ставим галочку напротив "Скрывать защищенные системные файлы".

Всё, от вируса в Планировщике Заданий мы избавились, как и от лишних проблем с рекламой. Вот пруфы:

Поговорим о компьютерных вирусах? Нет, не о том, что вчера поймал ваш антивирус. Не о том, что вы скачали под видом инсталлятора очередного Photoshop. Не о rootkit-e, который стоит на вашем сервере, маскируясь под системный процесс. Не о поисковых барах, downloader-ах и другой малвари. Не о коде, который делает плохие вещи от вашего имени и хочет ваши деньги. Нет, всё это коммерция, никакой романтики…

В общем, для статьи вполне достаточно лирики, перейдем к делу. Я хочу рассказать о классическом вирусе, его структуре, основных понятиях, методах детектирования и алгоритмах, которые используются обеими сторонами для победы.

Мы будем говорить о вирусах, живущих в исполняемых файлах форматов PE и ELF, то есть о вирусах, тело которых представляет собой исполняемый код для платформы x86. Кроме того, пусть наш вирус не будет уничтожать исходный файл, полностью сохраняя его работоспособность и корректно инфицируя любой подходящий исполняемый файл. Да, ломать гораздо проще, но мы же договорились говорить о правильных вирусах, да? Чтобы материал был актуальным, я не буду тратить время на рассмотрение инфекторов старого формата COM, хотя именно на нем были обкатаны первые продвинутые техники работы с исполняемым кодом.

Начнём со свойств кода вируса. Чтобы код удобней было внедрять, разделять код и данные не хочется, поэтому обычно используется интеграция данных прямо в исполняемый код. Ну, например, так:

Все эти варианты кода при определенных условиях можно просто скопировать в память и сделать JMP на первую инструкцию. Правильно написав такой код, позаботившись о правильных смещениях, системных вызовах, чистоте стека до и после исполнения, и т.д., его можно внедрять внутрь буфера с чужим кодом.

Исполняемый файл (PE или ELF) состоит из заголовка и набора секций. Секции – это выровненные (см. ниже) буферы с кодом или данными. При запуске файла секции копируются в память и под них выделяется память, причем совсем необязательно того объёма, который они занимали на диске. Заголовок содержит разметку секций, и сообщает загрузчику, как расположены секции в файле, когда он лежит на диске, и каким образом необходимо расположить их в памяти перед тем, как передать управление коду внутри файла. Для нас интересны три ключевых параметра для каждой секции, это psize, vsize, и flags. Psize (physical size) представляет собой размер секции на диске. Vsize (virtual size) – размер секции в памяти после загрузки файла. Flags – атрибуты секции (rwx). Psize и Vsize могут существенно различаться, например, если программист объявил в программе массив в миллион элементов, но собирается заполнять его в процессе исполнения, компилятор не увеличит psize (на диске содержимое массива хранить до запуска не нужно), а вот vsize увеличит на миллион чего-то там (в runtime для массива должно быть выделено достаточно памяти).

Флаги (атрибуты доступа) будут присвоены страницам памяти, в которые секция будет отображена. Например, секция с исполняемым кодом будет иметь атрибуты r_x (read, execute), а секция данных атрибуты rw_ (read,write). Процессор, попытавшись исполнить код на странице без флага исполнения, сгенерирует исключение, то же касается попытки записи на страницу без атрибута w, поэтому, размещая код вируса, вирмейкер должен учитывать атрибуты страниц памяти, в которых будет располагаться код вируса. Стандартные секции неинициализированных данных (например, область стека программы) до недавнего времени имели атрибуты rwx (read, write, execute), что позволяло копировать код прямо в стек и исполнять его там. Сейчас это считается немодным и небезопасным, и в последних операционных системах область стека предназначена только для данных. Разумеется, программа может и сама изменить атрибуты страницы памяти в runtime, но это усложняет реализацию.

Также, в заголовке лежит Entry Point — адрес первой инструкции, с которой начинается исполнение файла.

Необходимо упомянуть и о таком важном для вирмейкеров свойстве исполняемых файлов, как выравнивание. Для того чтобы файл оптимально читался с диска и отображался в память, секции в исполняемых файлах выровнены по границам, кратным степеням двойки, а свободное место, оставшееся от выравнивания (padding) заполнено чем-нибудь на усмотрение компилятора. Например, логично выравнивать секции по размеру страницы памяти – тогда ее удобно целиком копировать в память и назначать атрибуты. Даже вспоминать не буду про все эти выравнивания, везде, где лежит мало-мальски стандартный кусок данных или кода, его выравнивают (любой программист знает, что в километре ровно 1024 метра). Ну а описание стандартов Portable Executable (PE) и Executable Linux Format (ELF) для работающего с методами защиты исполняемого кода – это настольные книжки.

Если мы внедрим свой код в позицию точно между инструкциями, то сможем сохранить контекст (стек, флаги) и, выполнив код вируса, восстановить все обратно, вернув управление программе-хосту. Конечно, с этим тоже могут быть проблемы, если используются средства контроля целостности кода, антиотладка и т.п., но об этом тоже во второй статье. Для поиска такой позиции нам необходимо вот что:

• поставить указатель точно на начало какой-нибудь инструкции (просто так взять рандомное место в исполняемой секции и начать дизассемблирование с него нельзя, один и тот же байт может быть и опкодом инструкции, и данными)
• определить длину инструкции (для архитектуры x86 инструкции имеют разные длины)
• переместить указатель вперед на эту длину. Мы окажемся на начале следующей инструкции.
• повторять, пока не решим остановиться

1. Выбираем вкусный исполняемый файл (достаточно толстый, чтобы в него поместилось тело вируса, с нужным распределением секций и т.п.).
2. Читаем свой код (код тела вируса).
3. Берем несколько первых инструкций из файла-жертвы.
4. Дописываем их к коду вируса (сохраняем информацию, необходимую для восстановления работоспособности).
5. Дописываем к коду вируса переход на инструкцию, продолжающую исполнение кода-жертвы. Таким образом, после исполнения собственного кода вирус корректно исполнит пролог кода-жертвы.
6. Создаем новую секцию, записываем туда код вируса и правим заголовок.
7. На место этих первых инструкций кладем переход на код вируса.

Думаю, не надо описывать вам компоненты современного антивируса, все они крутятся вокруг одного функционала – антивирусного детектора. Монитор, проверяющий файлы на лету, сканирование дисков, проверка почтовых вложений, карантин и запоминание уже проверенных файлов – все это обвязка основного детектирующего ядра. Второй ключевой компонент антивируса – пополняемые базы признаков, без которых поддержание антивируса в актуальном состоянии невозможно. Третий, достаточно важный, но заслуживающий отдельного цикла статей компонент – мониторинг системы на предмет подозрительной деятельности.

Итак (рассматриваем классические вирусы), на входе имеем исполняемый файл и один из сотни тысяч потенциальных вирусов в нем. Давайте детектировать. Пусть это кусок исполняемого кода вируса:

Как мы увидели, для быстрого и точного сравнения детектору необходимы сами байты сигнатуры и ее смещение. Или, другим языком, содержимое кода и адрес его расположения в файле-хосте. Поэтому понятно, как развивались идеи сокрытия исполняемого кода вирусов – по двум направлениям:

• сокрытие кода самого вируса;
• сокрытие его точки входа.

Сокрытие точки входа (Entry Point Obscuring) в результате послужило толчком для появления в вирусных движках автоматических дизассемблеров для определения, как минимум, инструкций перехода. Вирус старается скрыть место, с которого происходит переход на его код, используя из файла то, что в итоге приводит к переходу: JMP, CALL, RET всякие, таблицы адресов и т.п. Таким образом, вирус затрудняет указание смещения сигнатуры.

Гораздо более подробно некоторые алгоритмы таких движков и детектора мы посмотрим во второй статье, которую я планирую написать в ближайшее время.

Рассмотренный в статье детектор легко детектирует неполиморфные (мономорфными их назвать, что ли) вирусы. Ну а переход к полиморфным вирусам является отличным поводом, наконец, завершить эту статью, пообещав вернуться к более интересным методам сокрытия исполняемого кода во второй части.

Здравствуйте. Я неоднократно предупреждал Вас о потенциальных угрозах, которые могут скрываться за безобидным софтом. Как результат, Вы становитесь жертвами рекламных скриптов, которые отображают навязчивые баннеры в Вашем браузере. Всё это существенно замедляет загрузку страниц, расходует дополнительный трафик (что нежелательно при использовании мобильного интернета). Наверняка, Вам надоели объявления о разных казино, игровых автоматах и бирже Forex. Если такая ситуация знакома, скорее всего, Вы подхватили рекламный вирус HD Task что это за программа – расскажу в данном обзоре.

Особенности приложения

Способы проникновения в систему

Во время установки различных приложений Вам обычно предлагают ознакомиться с условиями соглашения. Скажите честно, кто из Вас его читал хотя бы раз? Думаю, таких немного. Так вот, одним из пунктов может быть и согласие на инсталляцию дополнительного ПО. Зачастую, оно разрабатывается профессионалами, чтобы защитное программное обеспечение никак не реагировало в процессе установки.

HD task как удалить?

Расскажу о самом действенном методе, который не оставит вирусу ни единого шанса на выживание.

Автор рекомендует:

Еще раз настоятельно советую скачивать приложения исключительно с достоверных ресурсов. Уверен, Вы имеете представление HD Task что это за программа и как с ней бороться. Если возникли спорные моменты – милости прошу в комментарии.

С уважением, Виктор!

Виктор здравствуйте У меня беда с ОК не могу найти мою страницу ввожу log а там другой человек обращалась к мобераторам но ничего вразумительного Либо они об'яснили неочень доходчиво либо я совсем ничего не поняла Может вы поможете?

Не могу ничего найти из перечисленного в Вашей статье EXE/Перед последним блэкаутом комп выдал проблемы с этим EXE Перерыл все DOK, XLX, PDF-нет ничего подобного.Может неправильно искал?Если есть возможность-помогите найти эту заразу.Меня заваливает рекламой.С Уважением-Сергей

Sergey Marchenko, Здравствуйте. Не совсем понял суть Вашей проблемы. У Вас в процессах висит HDTask.exe?

Беспечность , наивность и надежда на авось всегда приводит к неприятным ситуациям. Новичкам еще сложнее. Как маленькие дети пока ходить научатся, кучу шишек набьют. Что самое непонятное, существуют люди, которые даже на собственных ошибках не учатся. и с маниакальным упорством продолжают ловить всякие рекламные программы, блокировщики и иже с ними. Но это уже скорее диагноз.

adblock в помощь и нет рекламы

adblock в помощь и нет рекламы

В этих случаях надо обращаться в сервисный центр. И помните, что программная диагностика видеокарты и винчестера в некоторых случаях может быть опасна: она разгоняет устройства до предела, они могут совсем выйти из строя.

Все сделал, уязвимости 2: отключен запрос UAC на повышение прав для администраторов, а так же у меня стоит устаревший QuickTime (из-за того, что новые версии плохо контактируют с редактором sony vegas pro)