Vmnetdrv64 exe что это
Vmnetdrv64 exe что это
Список файлов устанавливаемых staffcop
Всем привет сегодня заметка про список файлов устанавливаемых staffcop больше для себя, дабы помнить все файлы и их названия. Напомню staffcom это программный комплекс для слежки за рабочим местом сотрудника, переписка так, скриншоты, браузер и все в этом духе. Может кому пригодится, в том чтобы наказать злостного админа и вообще понять, что у вас в системе стоит программа шпион, как говорится если осведомлен, значит защищен, да и кому понравится, что без его ведома, кто то просматривает и читает все, что есть у пользователя.
Программа staffcop и ее хвосты
После установки программы StaffCop на компьютер устанавливаются следующие файлы:
Чаще всего программа staffcop, в корпоративных средах, таких как служба каталогов active directory, там без ведома пользователя, средствами массового распространения, через групповые политики программа staffcop, легко и без наказано попадает на рабочую станцию пользователя. После чего начинает шпионаж и передача данных в отдел системных администраторов или службу безопасности.
Как найти процесс StaffCop на компьютере
Тут я вам Америку не открою:
Для нахождения процессов программы staffcop я бы вам посоветовал, две вещи, первая это стандартный диспетчер задач Windows, открыть его можно через правый клик по области пуск, это все что справа от кнопки пуск, либо нажав опять комбинацию клавиш CTRL+SHIFT+ESC
или мне больше по душе утилиты process explorer, она по мимо процессов, показывает еще и прослушиваемые порты, напоминаю искомые процессы sstray.exe и LTVSrv.exe
Все программа программа staffcop и ее агент найдены, теперь вы точно знаете, что ведется слежка и мониторинг того, что вы делаете. Что дальше? тут все просто:
Как удалить staffcop с компьютера
Программа staffcop удаляется несколькими способами:
Выбираем Службы системы.
В правом углу есть область База угроз, в ней находим sstray.exe (sstray64.exe) и LTVSrv.exe, щелкаем по ним правым кликом и говорим удалить, это по сути и есть удаление staffcop.
Следующим пунктом мы посетим Драйверный монитор. Тут ищем драйвер с именем CaptureFileMonitor.sys (CaptureFileMonitor64.sys) или ProcObsrv.sys.
Через правый клик так же удаляем их.
Как только вы все выполнили, то перезагружаем вашу систему и проверяем, что программа staffcop, полностью удалена с вашего компьютера.
Как спрятаться от программы комплексного наблюдения на примере StaffCop
Помимо обычных кейлоггеров, перехватывающих клавиатурный ввод, вы можете столкнуться и с более комплексными решениями, контролирующими вашу активность за компьютером. Если за вами следит ревнивый супруг – едва ли стоит ожидать особо изощрённых методов, если речь не идёт о суровом айтишнике. Другое дело, если речь идёт о контроле персонала на рабочем месте.
Не секрет, что входящий и исходящий трафик в большинстве современных компаний контролируется ИТ-службами и службой безопасности. Но насколько глобально осуществляется такого рода контроль? С помощью программ, подобным StaffCop, возможно очень многое: перехват сообщений электронных мессенджеров и электронных писем, снятие скриншотов рабочего стола, составление подробных отчётов о вашей деятельности за компьютером и многое другое. Иными словами, под контроль попадает абсолютно всё, и в отличие от кейлоггера мониторинг осуществляется в реальном времени.
Разумеется, применение такого рода наблюдения за персоналом — совершенно оправданно: нас нанимают для работы, а не для общения в соцсетях и занятий посторонними делами в интернете, а корпоративные секреты должны быть гарантированно защищены. Однако в некоторых случаях вам могут понадобиться определённые меры по защите личного пространства. Если вы, устраиваясь на новое место работы, были оповещены об осуществляемом контроле и ознакомлены с правилами внутреннего распорядка, то защита вашей личной информации становится вопросом вашей ответственности и разумности.
Но что делать, если руководство или служба безопасности, не говоря о ваших недоброжелателях в коллективе, пытается наблюдать за вами тайно, вторгаясь таким образом на запретную территорию? Или если программой StaffCop воспользовались для целей шпионажа злоумышленники? В этом случае вам поможет COVERT. Давайте рассмотрим защиту от активного наблюдения на примере уже упоминавшегося выше StaffCop.
Итак, вы пришли на новое место работы, вас ознакомили с правилами внутреннего распорядка компании, и никаких уведомлений о проводящемся наблюдении вы не получали. Либо в какой-то момент вы стали понимать, что конфиденциальная информация (корпоративная или личная) попадает не в те руки.
Прежде всего, нужно локализовать шпиона в системе.
1) Как обнаружить на своём компьютере StaffCop.
Откройте программу COVERT. В правом верхнем углу мы видим сетевой монитор, работающий по умолчанию в режиме демонстрации активных соединений вашего компьютера с сетью. Нажмите на верхнюю рамку монитора с надписью «Приложение». Активируется режим просмотра соединений, которые находятся в ожидании.
Просмотрите все соединения в этом режиме. (Желтый цвет говорит о том, что приложение находятся в режиме ожидания, красный — приложение есть в «Базе угроз»). Если увидите среди них имя процесса sstray.exe (sstray64.exe) или LTVSrv.exe, то можно с уверенностью сказать, что за вами ведется наблюдение с помощью программы активной слежки StaffCop.
Итак, программа-шпион обнаружена, теперь вы знаете наверняка, что за вами наблюдают. Если вы хотите скрыть результаты своих действий, не пряча самих действий – вам достаточно просто зайти в платформу защиты COVERT, нажав на большую кнопку в главном окне, — и этого будет достаточно. Наблюдающий за вами будет видеть, что вы чем-то заняты, но не будет знать, чем именно. Если же вы хотите выйти из-под наблюдения абсолютно – читайте дальше.
2) Как удалить StaffCop.
Нажмите кнопку «Службы системы». 
В открывшемся окне вы увидите файлы, которые есть в базе угроз, они будут выделены красным цветом. Нажмите правой кнопкой мыши на строку с именем файла sstray.exe (sstray64.exe) и LTVSrv.exe в контекстном меню выберите пункт «Изменить задачи служб», далее – «Удалить».
После завершения этой операции перейдите в раздел «Драйверный монитор», нажав на кнопку с таким же название в главном окне. Найдите драйвера с именем CaptureFileMonitor.sys (CaptureFileMonitor64.sys) и ProcObsrv.sys
Кликните на них правой кнопкой мыши и в контекстном меню выберите пункт «Удалить драйвер».
После выполнения всех действий перезагрузите компьютер и проверьте снова окно «Службы системы» (Активные службы) и «Драйверный монитор» (Активные драйвера): пунктов, выделенных красным цветом, не должно быть. Если всё зелёное — вы удалили StaffCop.
3) Временно отключаем агента StaffCop.
Зайдите в платформу защиты COVERT, нажав на большую кнопку в главном окне, после чего перейдите в «Службы системы» и выберите пункт с именем файла службы sstray.exe (sstray64.exe). Нажмите на него правой копкой мыши, и в контекстном меню нажмите пункт «Остановить службу». 
После произведённых действий в программе человека, контролирующего ваши действия, ваш компьютер будет выглядеть как выключенный, а вы на своём компьютере сможете делать всё, что угодно, не опасаясь слежки.
Для того, чтобы восстановить мониторинг, нажмите кнопку «Все службы», выберите пункт с именем файла службы sstray.exe (sstray64.exe), кликните на нем правой копкой мыши и в контекстном меню выберите пункт «Изменить задачи служб», и далее – «Пуск».
После запуска службы программа контроля, установленная у босса, снова начнёт получать информацию с вашего компьютера, и в списке отслеживаемых компьютеров ваш компьютер станет активным.
4) Скрываем свои действия от программы StaffCop, не отключая наблюдение за собой.
Откройте программу COVERT и перейдите в окно «Драйверный монитор», нажав на кнопку с таким же название в главном окне. Найдите и удалите драйвера с именем CaptureFileMonitor.sys (CaptureFileMonitor64.sys) и ProcObsrv.sys как показано в разделе удаления агента. (Это нужно сделать один раз — и потом только проверять их отсутствие).
Зайдите в платформу защиты COVERT, нажав на большую кнопку в главном окне, затем перейдите в «Процессы системы», нажав одноименную кнопку в окне программы. Выберите пункт с именем файла LTVSrv.exe, кликните на нем правой копкой мыши и в контекстном меню выберите пункт «Добавить в базу завершения процессов». Теперь нажмите кнопку «Сохранить» в базе «Завершения процессов». Имя файла сохранится, и при следующем заходе в это окно процесс будет блокироваться автоматически. Не закрывайте окно «Процессы системы» в течение всего сеанса работы в платформе. Можете спустить окно вниз, нажав на кнопку «Свернуть» в верхней части окна.
Программа COVERT будет блокировать это процесс, и тем самым не даст собирать и передавать информацию с вашего компьютера. Но на компьютере вашего босса будет видно, что вы находитесь в сети и не производите никаких действий, хотя на самом деле вы сможете делать что захотите. Чтобы завершить работу в платформе защиты COVERT и снова стать видимым для вашего начальника, нажмите кнопку «Выход» в главном окне программы. Блокируемый процесс восстановиться автоматически.
Скачайте программу COVERT и бесплатно проверьте — следят ли за вами с помощью StaffCop.
Исключения антивируса¶
Если вы всё настроили корректно, включили конфигурацию «Полный контроль» на рабочих станциях пользователей, но у вас не работает перехват почты или не открываются web-сайты, то весьма вероятно, мешает этому либо антивирус, либо какое-то приложение, которое может перехватывать трафик и изменять его таким образом, что он не попадает в мониторинг агента Staffcop.
Чтобы заранее избежать указанных проблем, мы рекомендуем вам добавить Универсальный способ исключения путей и исполняемых файлов в антивирусных программах для рабочих процессов и исполняемых файлов агента Staffcop.
Либо можно воспользоваться приведенныи ссылками для настройки исключений для конкретного антивируса.
Kaspersky Endpoint Security 10¶
Внесите изменения в настройки Kaspersky Endpoint Security 10, как представлено ниже:
Kaspersky Small Office Security¶
В зависимости от версии программы пути к нужной настройке могут различаться.
ESET NOD32 Smart security¶
Есть несколько способов вернуть работоспособность для совместной работы Staffcop-агента и Eset Nod32.
Первый способ¶
Второй способ¶
Является более правильным, т.к. заставляет и антивирус и Staffcop-агент работать совместно и без конфликтов.
Суть заключается, в том, чтобы добавить корневой сертификат агента Staffcop в антивирусную программу.
Скачать корневой сертификат для драйверной-версии:
Сертификаты нужно скопировать на машину у которой есть доступ к центральному серверу администрирования настройками антивируса или на локальную машину если нужно импортировать сертификат единовременно на локальную машину.
Конкретно вот эту картинку вам нужно принять как руководство к импорту сертификата:
После импорта сертификата лучше перезапустить как службу Staffcop-агента, так и сам браузер.
Чтобы перезапустить агента, надо открыть консоль Windows От имени администратора и выполнить следующее:
И проверить работу сайтов в браузере снова.
В зависимости от версии программы пути к нужной настройке могут различаться.
ESET NOD32 Endpoint 5.x¶
Если планируется установить агента на рабочую станцию пользователя, то вначале нужно отключить защиту антивируса, чтобы он не удалил агента до момента его установки.
Для устранения конфликта c антивирусом при установке агента на рабочую станцию пользователя, вы должны отключить антивирус. Или запускать утилиту удалённой установки на рабочей станции где антивирус не запущен.
ESET Security Managment Center 7¶
Для настройки исключений в политике по умолчанию, входим в консоль «ESET Security Managment Center»:
Добавляем исключения в DETECTION ENGINE
В этом диалоге нужно будет добавить следующие строки по одной или импортировать из файла:
Эти исключения помогут агенту работать на рабочей станции пользователя без его удаления со стороны антивируса.
После завершения внесения изменений, нажимаем внизу кнопку FINISH, после применения политики, она будет применена сразу же на всех ПК, которым применяется эта политика.
По умолчанию эта политика распространяется на все ПК с Windows-системами.
Если установка агента была произведена до внесения исключений в антивирус, то необходимо переустановить агент, иначе некоторые модули могут работать некорректно.
Если удаление агента после внесения исключений продолжаются, пожалуйста убедитесь, что исключения действительно применились на рабочих станциях пользователей. Это можно сделать если зайти в настройки антивируса и посмотреть текущие исключения для модуля файлового мониторинга или общая страница с исключениями.
Avast Free Antivirus¶
Для 32-битных систем:
Для 64-битных систем:
Настроить исключения перед установкой агента. Или отключить антивирус, установить агент, настроить исключения, включить антивирус.
Отключение антивируса¶
Контекстное меню «Avast Free Antivirus» в трее команда Avast shields control->Disable permanently
Общие исключения¶
Settings->General->Exclusions
File paths
Cyber Capture
Hardened Mode
Почта
В случае проблем с отправкойполучением почты или подключением к почтовым серверам. Отключить сканирование SSL в Mail Shield
Сайты
В случае проблем с сайтами. Отключить сканирование HTTPS в Web Shield
Symantec Endpoint Protection¶
Внесите исключения в антивирус путем добавления md5-хешей файлов агента.
Пример md5 файлов агента 5.8.2465:
360 Total Security¶
Универсальный способ исключения путей и исполняемых файлов¶
В общем случае эти исключения можно описать таким образом:
Исключения антивируса¶
Если вы всё настроили корректно, включили конфигурацию «Полный контроль» на рабочих станциях пользователей, но у вас не работает перехват почты или не открываются web-сайты, то весьма вероятно, мешает этому либо антивирус, либо какое-то приложение, которое может перехватывать трафик и изменять его таким образом, что он не попадает в мониторинг агента Staffcop.
Чтобы заранее избежать указанных проблем, мы рекомендуем вам добавить Универсальный способ исключения путей и исполняемых файлов в антивирусных программах для рабочих процессов и исполняемых файлов агента Staffcop.
Либо можно воспользоваться приведенныи ссылками для настройки исключений для конкретного антивируса.
Kaspersky Endpoint Security 10¶
Внесите изменения в настройки Kaspersky Endpoint Security 10, как представлено ниже:
Kaspersky Small Office Security¶
В зависимости от версии программы пути к нужной настройке могут различаться.
ESET NOD32 Smart security¶
Есть несколько способов вернуть работоспособность для совместной работы Staffcop-агента и Eset Nod32.
Первый способ¶
Второй способ¶
Является более правильным, т.к. заставляет и антивирус и Staffcop-агент работать совместно и без конфликтов.
Суть заключается, в том, чтобы добавить корневой сертификат агента Staffcop в антивирусную программу.
Скачать корневой сертификат для драйверной-версии:
Сертификаты нужно скопировать на машину у которой есть доступ к центральному серверу администрирования настройками антивируса или на локальную машину если нужно импортировать сертификат единовременно на локальную машину.
Конкретно вот эту картинку вам нужно принять как руководство к импорту сертификата:
После импорта сертификата лучше перезапустить как службу Staffcop-агента, так и сам браузер.
Чтобы перезапустить агента, надо открыть консоль Windows От имени администратора и выполнить следующее:
И проверить работу сайтов в браузере снова.
В зависимости от версии программы пути к нужной настройке могут различаться.
ESET NOD32 Endpoint 5.x¶
Если планируется установить агента на рабочую станцию пользователя, то вначале нужно отключить защиту антивируса, чтобы он не удалил агента до момента его установки.
Для устранения конфликта c антивирусом при установке агента на рабочую станцию пользователя, вы должны отключить антивирус. Или запускать утилиту удалённой установки на рабочей станции где антивирус не запущен.
ESET Security Managment Center 7¶
Для настройки исключений в политике по умолчанию, входим в консоль «ESET Security Managment Center»:
Добавляем исключения в DETECTION ENGINE
В этом диалоге нужно будет добавить следующие строки по одной или импортировать из файла:
Эти исключения помогут агенту работать на рабочей станции пользователя без его удаления со стороны антивируса.
После завершения внесения изменений, нажимаем внизу кнопку FINISH, после применения политики, она будет применена сразу же на всех ПК, которым применяется эта политика.
По умолчанию эта политика распространяется на все ПК с Windows-системами.
Если установка агента была произведена до внесения исключений в антивирус, то необходимо переустановить агент, иначе некоторые модули могут работать некорректно.
Если удаление агента после внесения исключений продолжаются, пожалуйста убедитесь, что исключения действительно применились на рабочих станциях пользователей. Это можно сделать если зайти в настройки антивируса и посмотреть текущие исключения для модуля файлового мониторинга или общая страница с исключениями.
Avast Free Antivirus¶
Для 32-битных систем:
Для 64-битных систем:
Настроить исключения перед установкой агента. Или отключить антивирус, установить агент, настроить исключения, включить антивирус.
Отключение антивируса¶
Контекстное меню «Avast Free Antivirus» в трее команда Avast shields control->Disable permanently
Общие исключения¶
Settings->General->Exclusions
File paths
Cyber Capture
Hardened Mode
Почта
В случае проблем с отправкойполучением почты или подключением к почтовым серверам. Отключить сканирование SSL в Mail Shield
Сайты
В случае проблем с сайтами. Отключить сканирование HTTPS в Web Shield
Symantec Endpoint Protection¶
Внесите исключения в антивирус путем добавления md5-хешей файлов агента.
Пример md5 файлов агента 5.8.2465:
360 Total Security¶
Универсальный способ исключения путей и исполняемых файлов¶
В общем случае эти исключения можно описать таким образом:
Исключения антивируса¶
Если вы всё настроили корректно, включили конфигурацию «Полный контроль» на рабочих станциях пользователей, но у вас не работает перехват почты или не открываются web-сайты, то весьма вероятно, мешает этому либо антивирус, либо какое-то приложение, которое может перехватывать трафик и изменять его таким образом, что он не попадает в мониторинг агента Staffcop.
Чтобы заранее избежать указанных проблем, мы рекомендуем вам добавить Универсальный способ исключения путей и исполняемых файлов в антивирусных программах для рабочих процессов и исполняемых файлов агента Staffcop.
Либо можно воспользоваться приведенныи ссылками для настройки исключений для конкретного антивируса.
Kaspersky Endpoint Security 10¶
Внесите изменения в настройки Kaspersky Endpoint Security 10, как представлено ниже:
Kaspersky Small Office Security¶
В зависимости от версии программы пути к нужной настройке могут различаться.
ESET NOD32¶
Есть несколько способов вернуть работоспособность для совместной работы Staffcop-агента и Eset Nod32.
Первый способ¶
Второй способ¶
Является более правильным, т.к. заставляет и антивирус и Staffcop-агент работать совместно и без конфликтов.
Суть заключается, в том, чтобы добавить корневой сертификат агента Staffcop в антивирусную программу.
Скачать корневой сертификат для драйверной-версии:
Сертификаты нужно скопировать на машину у которой есть доступ к центральному серверу администрирования настройками антивируса или на локальную машину если нужно импортировать сертификат единовременно на локальную машину.
Конкретно вот эту картинку вам нужно принять как руководство к импорту сертификата:
После импорта сертификата лучше перезапустить как службу Staffcop-агента, так и сам браузер.
Чтобы перезапустить агента, надо открыть консоль Windows От имени администратора и выполнить следующее:
И проверить работу сайтов в браузере снова.
В зависимости от версии программы пути к нужной настройке могут различаться.
Avast Free Antivirus¶
Для 32-битных систем:
Для 64-битных систем:
Настроить исключения перед установкой агента. Или отключить антивирус, установить агент, настроить исключения, включить антивирус.
Отключение антивируса¶
Контекстное меню «Avast Free Antivirus» в трее команда Avast shields control->Disable permanently
Общие исключения¶
Settings->General->Exclusions
File paths
Cyber Capture
Hardened Mode
Почта
В случае проблем с отправкойполучением почты или подключением к почтовым серверам. Отключить сканирование SSL в Mail Shield
Сайты
В случае проблем с сайтами. Отключить сканирование HTTPS в Web Shield
Symantec Endpoint Protection¶
Внесите исключения в антивирус путем добавления md5-хешей файлов агента.
Пример md5 файлов агента 5.8.2465:
360 Total Security¶
Универсальный способ исключения путей и исполняемых файлов¶
В общем случае эти исключения можно описать таким образом: