NEON

«Внимание! Эксперимент перешел в фазу активного подавления. Ниже в ответах я буду публиковать скриншоты каждого действия Касперского в реальном времени. Это пошаговая фиксация того, как система избавляется от 98 угроз. Смотрите лог ниже, а в конце каждой десятки я буду давать итоговый вердикт по этим файлам. Поехали!»

• Итог №1: Ноутбук полностью очищен и «дышит» свободно.

• Итог №2: Категорически не рекомендую InstantCMS для создания крупных баз знаний — она нестабильна при больших нагрузках.

• Главный урок: Защищайте не только систему от вирусов, но и свой контент от слабых движков!

1. Пункт 41: Генеральная уборка. Каскад уведомлений Касперского при попытке массового удаления. Использование функции «Применить ко всем», чтобы подавить сопротивление вирусов.
2. Пункт 42: Экстремальный тест. Запуск дополнительных 30 подозрительных процессов параллельно с чисткой 68 старых. Итого: 98 угроз против одного антивируса в прямом эфире.
3. Пункт 43: Каскадная зачистка в действии. Наблюдение за тем, как антивирус «просеивает» вложенные структуры архивов, вычищая рекламные упаковщики AdPack.
4. Пункт 44: Точечные удары по «серым» помощникам. Окончательное удаление 

   ffmpeg.exe

    и 

   mediaget-uninstaller.exe

   , ставших прикрытием для вредоносных схем.
5. Пункт 45: Крах InstantCMS и финальный вердикт. В момент сохранения этой гигантской статьи движок сайта не выдержал объема данных и «съел» половину текста.

«Заключительная часть моего кибер-расследования. Здесь мы переходим от теории к тотальной зачистке сразу 98 угроз (68 старых и 30 новых, запущенных для теста). И здесь же — честный отзыв о том, как мой сайт не выдержал такой нагрузки. Читайте финальные выводы!»

1. Пункт 31: Скриптовые диверсанты. Разбор AdWare.Script.Agent.gen в расширениях браузера Edge. Как вредоносный JavaScript ворует куки и подменяет рекламу.
2. Пункт 32: Ловушка для контент-мейкеров. Разбор 

   OBS loader starter.exe

    и угрозы Hidmar.gen. Даже инструменты для творчества могут быть отравлены.
3. Пункт 33: Лавина дубликатов. Как один рекламный модуль (

   CCleaner.exe

   ) размножается по всему диску, создавая десятки копий в разных архивах.
4. Пункт 34: Слепое пятно антивируса. Ситуация, когда Касперский видит угрозу по поведению (HEUR), но не может дать описание, так как база не успевает за «мутантом».
5. Пункт 35: Переход к ликвидации. Момент принятия решения — прекращение теории и запуск процесса «Устранить всё».
6. Пункт 36: Взлом взломщика. Мой хакерский опыт в действии: обход блокировки файла (File Locking), чтобы прочитать защищенный код вируса 

   index.js

   .
7. Пункт 37: Вскрытие «мозга» вируса. Обнаружение внутри файла уникального ID и токена сессии — «паспорта» зараженного ПК в хакерском ботнете.
8. Пункт 38: Мгновенная реакция. Как Касперский среагировал на вскрытие вируса в реальном времени, заблокировав попытку вредоносной активности.
9. Пункт 39: Зачистка архивов. Почему важно не просто лечить, а удалять целиком рекламные контейнеры (AdPack), чтобы не оставить «хвостов» в системе.
10. Пункт 40: Агрессивное сопротивление. Попытка рекламных модулей переустановиться во временные папки прямо в процессе их удаления антивирусом.

«В четвёртом блоке — кульминация нашего кибер-детектива. Мы разберем, как вирусы прячутся в браузерах и инструментах для стриминга (OBS), а также применим хакерские методы, чтобы заглянуть «под капот» вредоносного файла. И, конечно, увидим, как зараза сопротивляется при попытке её удаления. Финал близок!»

1. Пункт 21: Охота за деньгами — HEUR:Trojan-PSW.MSIL.Coins.gen. Специализированный стилер, заточенный под воровство паролей от бирж и данных криптокошельков.
2. Пункт 22: Платформа MSIL. Почему хакеры пишут вирусы на .NET: это позволяет им маскироваться под обычные системные утилиты Windows.
3. Пункт 23: Атака на геймеров. Trojan.Multi.GenBadur.gena, поражающий ярлыки популярных игр (Мир Танков, Minecraft) и даже ChatGPT.
4. Пункт 24: Уязвимость гигантов. Разбор того, как даже компоненты Яндекса могут попадать под подозрение из-за агрессивных рекламных модулей или взлома сетей.
5. Пункт 25: Переход в «Жёлтую зону» (not-a-virus). Начало борьбы с AdWare.Win32.Hiru.f, который часто прилетает в комплекте с «левым» софтом.
6. Пункт 26: Ловушка в папке «Загрузки». Обнаружение фейковых инсталляторов CCleaner внутри папок с видео — классический метод заражения через торренты.
7. Пункт 27: Эффект «матрёшки». Один рекламный модуль может иметь десятки копий по всей системе, и удаление одной не решит проблему.
8. Пункт 28: Разбор AdWare.NSIS.AdPack.gen. Это «упаковщик» мусора: один запуск такого файла — и в системе прописывается гора ненужного софта.
9. Пункт 29: Категория Riskware. Программа MediaGet: почему она помечена как риск и как через неё в систему залетают «собратья» по рекламному бизнесу.
10. Пункт 30: Опасное прощание. Разбор 

    mediaget-uninstaller.exe

    : когда деинсталлятор программы сам является загрузчиком для вирусов.

«В третьем блоке мы подходим к самым «подлым» угрозам. Разберем стилеры, которые охотятся за вашими паролями и криптой, а также заглянем в «Жёлтую зону» — программное обеспечение, которое вроде и не вирус, но превращает ваш компьютер в рекламную помойку. Читайте далее!»

1. Пункт 11: Хитрая маскировка. Вирус под видом обычной иконки сайта 

   icon.ico

    в папке 

   img

   . Разбор HEUR:Backdoor.PHP.Generic.
2. Пункт 12: Ноутбук как полигон. Мой личный манифест: годы осознанного риска ради создания базы знаний на y92.ru.
3. Пункт 13: Иерархия угроз. Разница между активным вирусом и «спящим» в архиве. Почему важно проверять даже упакованные файлы.
4. Пункт 14: Массовая атака «пустышек». Фиксация серии бэкдоров без описания в базе. Признак динамически меняющегося кода.
5. Пункт 15: Движок WebShell.gen под микроскопом. Универсальный интерфейс хакера для управления вашим сервером. Ссылка на базу.
6. Пункт 16: Тяжелая артиллерия — Trojan.Win64.Agent.smevay. Как шпион пролез в системную библиотеку 

   lib.dll

    торрент-клиента uTorrent. Разбор Agent.Win64.
7. Пункт 17: Момент истины. Решение лечить системные файлы вместо удаления, чтобы не «сломать» Windows.
8. Пункт 18: Еще одна модификация WebShell.gl. Хакеры постоянно «обфусцируют» (запутывают) код, чтобы обходить автоматическую защиту.
9. Пункт 19: Лабораторная работа. Как правильно изолировать опасные объекты в защищенный архив для тестов, не заражая основную систему.
10. Пункт 20: Столкновение с «призраком». Trojan.Win32.Agent.gen, маскирующийся под легальную службу мониторинга Windows — 

    sysmon.exe

    .

«Продолжаем восстанавливать хронологию эксперимента. Во втором блоке мы разберем, как вирусы прячутся под видом обычных иконок сайта, почему Касперский не всегда дает описание угроз и как шпионы проникают в популярный софт вроде uTorrent. Все подробности ниже!»

1. Пункт 1: Запуск «Полной проверки» Kaspersky. Шок от цифры в 68 необработанных объектов на 2 миллиона файлов.
2. Пункт 2: Вход в Центр уведомлений. Момент выбора: лечить всё сразу или изучать «врага» в лицо.
3. Пункт 3: Обнаружение Backdoor.PHP.WebShell и Trojan.Win32.Hosts2.gen. Вирусы, которые крадут контроль над сайтами и подменяют адреса.
4. Пункт 4: Использование официальной базы Касперского. Ссылка на разбор Hosts2.gen. Прямая угроза фишинга.
5. Пункт 5: Процесс лечения системных файлов. Выбор между «Удалить» и «Лечить» для критических узлов Windows.
6. Пункт 6: Разбор WebShell.gen. Пояснение, почему этот «черный ход» смертелен для веб-мастеров. Ссылка на базу.
7. Пункт 7: Момент, когда лечение невозможно. Принятие решения о полном удалении вредоносных скриптов.
8. Пункт 8: Столкновение с аномалией. Обнаружение вирусов, которых еще нет в публичной базе Касперского (ошибка 404).
9. Пункт 9: Еще одна модификация — WebShell.gl. Хакеры постоянно меняют код, чтобы обходить защиту. Ссылка.
10. Пункт 10: Хакерский лайфхак. Изоляция подозрительных архивов в защищенную среду для дальнейшего изучения без риска для ОС.

«Внимание читателей! Из-за критической ошибки движка сайта при обработке огромного объема данных, полная версия статьи перенесена в этот блок комментариев. Ниже приведены первые 10 шагов моего исследования: от запуска сканирования до обнаружения опаснейших WebShell и троянов. Читайте по порядку в ветке ответов!»

«Шаг 45: Технический нокаут — движок не выдержал.
Эксперимент закончился неожиданным финалом. В тот момент, когда я вносил последние правки по 98 угрозам, система InstantCMS, на которой работает сайт, просто «рухнула». Из-за огромного объема данных и нагрузки на серверную часть при сохранении пропала половина статьи.

Мой окончательный вердикт:

1. По защите: Касперский справился, вычистив «зоопарк», но цена этой победы — колоссальные ресурсы системы.
2. По движку сайта: Я КАТЕГОРИЧЕСКИ НЕ РЕКОМЕНДУЮ использовать InstantCMS для создания крупных баз знаний или «Википедий». Как только контент становится по-настоящему объемным и сложным, движок начинает «съедать» ваш труд. Для серьезных IT-проектов ищите более стабильные решения.

ИТОГ: Ноутбук чист, но мой труд частично уничтожен программными ограничениями сайта. Это тоже урок кибербезопасности: защищать нужно не только файлы от вирусов, но и свой контент от слабых движков. Эксперимент завершен. Мы выжили, но сделали выводы».