|
|
Регистрация Восстановить пароль |
Повторная активизация e-mail |
Регистрация | Задать вопрос |
Заплачу за решение |
Новые сообщения |
Сообщения за день |
Расширенный поиск |
Правила |
Всё прочитано |
|
Опции темы | Поиск в этой теме |
16.07.2009, 04:12 | #1 |
Форумчанин
Регистрация: 29.05.2009
Сообщений: 320
|
Некий вирус (описание борьбы)
Сегодня (т.е. уже вчера) принесли винт, сказали - "ничего не грузится, cd не работает". Ну я взял и честно подключил его к себе. По загрузке компа (есественно со своего харда) начались глюки и я понял, что тоже попался :-)
Вот такое примерно: 1. Активно отлючает показ срытых файлов. 2. Активно работает с реестром. 3. Диспетчер задач не вызывается 4. Консоль тоже блокирована 5. Специальная прога для процессов находит неких вредителей в user mode, но главного вредителя нет. Его можно было бы найти в swapContextHooking процессах, но все процесс-визоры (у меня 2) при попытке сканировать эту область убирают комп - просто уходит в холодный ресет. Потом прога которая сканировала swapContextHooking не вызывается. 6. Загрузится в безопасном режиме нельзя. 7. Постоянно что-то пишет на винт. 8. Постоянно ищет новые диски и пишет в них autorun.inf их удаление ни к чему не приводит - появляются опять. Из консоли востановления (с загр. диска) они не удаляются. В inf написано достаточно много (не пара строк), так что вирь сложный. 9. Поначалу просто глючит, потом начинает запускать много-много reg.exe и память кончается, т.к. ОС которую мне принесли вообще мерла - думаю дальше будет еще хуже. 10. Ещё вроде (точно не понял) как-то отключает касперского. Вобщем похоже на распостраненный вирус, который по флешкам скачет, но похуже. Решил так - пошел в Linux и все подозрительные файлы убрал. Потом переустановил винду. Кто-нибудь такое видел? Как можно заблокировать создание всяких inf, можно ли защитить логический диск от записи? |
16.07.2009, 05:52 | #2 |
Банхаммер
Участник клуба
Регистрация: 17.02.2007
Сообщений: 1,754
|
1) отключаешь автозапуск с носителей
2) создай авторан.инф пустой и обреж права на доступ что бы его ни кто не мог удалить и перезаписать 3) смотришь автозапуск 4) восстанавливаешь и редактируешь реестр, редакторов хватает 5) так же можно использовать консоль не стандартную а скачать отдельно с инета |
16.07.2009, 06:28 | #3 |
Форумчанин
Регистрация: 29.05.2009
Сообщений: 320
|
Всего этого как раз и не было по рукой. И inf файлов тоже. Автозапуск отключил, буду надеятся в следущий раз система устоит.
Нашел немного инфы: 1. Средствами bios можно запрещать запись в загрузочную область, но в целом на диск - нельзя. 2. Техподержка MS говорит, что NTFS не может нормально работать в режиме read-only. Так в Linux до 2007 поддержка NTFS была только для чтения и попытки записи обворачивались проблемами. Потом появился полноценный драйвер ntfs-3g, его я и использовал. 3. Политика учетных групп позволяет запретить запись на диск, но действует она только для explorer. То есть если у вас несколько лог. дисков и все они заразились, а вы не приняли мер предосторожностей, то даже переустановка не поможет, так? После переустановки лог диски запустят inf и все начнется с начало. Последний раз редактировалось BaronTreep; 16.07.2009 в 07:02. |
16.07.2009, 09:44 | #4 |
Старожил
Регистрация: 04.02.2009
Сообщений: 17,351
|
Поможет. В винде имеется опция запрещающая изменять загрузочную запись, у меня возникали проблемы при установке загрузчика grub.
2. до 2007 года имелась маленькая индейская хитрость в линуксе, позволяющая записывать в NTFS. дело в том что она содрана (как и все у мелкософта) с другой файловой системы (сейчас уже и не вспомню). В общем раздел монтировался как НЕ NTFS - много лишних служебных файлов, но в целом если быть предельно аккуратным удавалось произвести запись в NTFS разделы винды без ее воплей об нарушении целостности. Можно попробовать такую схему - загружаемся с rescue-cd (линукс) - у меня не было случая, когда не удалось примонтировать ФС (там кажись тоже 3g ). Запускаем mc и правим все чего там нам надо (естественно если вы не шифровались). Ну плюс полный format средствами линукса и наши победили (как крайнее средство).
Маньяк-самоучка
Utkin появился в результате деления на нуль. Осторожно! Альтернативная логика Последний раз редактировалось Utkin; 16.07.2009 в 09:47. |
16.07.2009, 11:39 | #5 |
я получил эту роль
Старожил
Регистрация: 25.05.2007
Сообщений: 3,694
|
А чего вы с линуксом мудрите? Предположим, что жопа полная - вредоносный драйвер. RootkitUnhooker или GMER - смотрим список хуков (и скрытых процессов заодно), wipe file, если нужно, ребут - и жизнь сразу станет легче. Не нашли - хорошо, AVZ в параноидальном режиме. Потом виндовый liveCD с CureIt и RegeditPE на борту - проверяем, восстанавливаем ветку safeboot, диспетчер, редактор реестра, создаём на дисках папки autorun.inf, у которых в правах удаляем всех пользователей. Теперь загружаемся в безопасном режиме с поддержкой коммандной строки, опять же запускаем CureIt под охраной AVZ - полная проверка. Инсталлим заранее скачанного каспера, включаем проактивную защиту, наблюдаем за активностью, добиваем. Что-то вроде универсального сценария для самого тяжелого случая
Но в данном случае достаточно скачать с сайта касперского утилиту kidokiller
пыщь
Последний раз редактировалось JTG; 16.07.2009 в 11:51. |
16.07.2009, 13:21 | #6 |
Форумчанин
Регистрация: 29.05.2009
Сообщений: 320
|
Драйвер и есть как я понял из недолго знакомства. Но как я писал, такая штука - при попытке обращения к функциям ядра с помощью RootkitUnhooker, комп уходит в рестарт. По видимому используется какой-то конфликт в памяти, я один раз такой находил - при некоторых манипуляциях с OpenGL комп. просто вырубался.
AVZ был дальше чем linux. (он что лучше Каспера?) Win32.Kido вроде ж по другому себя ведет, это больше похож на Shovth, но тот у меня всегда антивирусом спокойно убирался. |
16.07.2009, 18:06 | #7 | |||||||
Форумчанин
Регистрация: 13.01.2009
Сообщений: 125
|
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Удалить disabletaskmgr HKEY_LOCAL_MACHINE\SOFTWARE\Microso ft\Windows NT\CurrentVersion\Image File Execution Options Удалить taskmgr.exe Цитата:
Цитата:
|
|||||||
16.07.2009, 22:27 | #8 |
Форумчанин
Регистрация: 29.05.2009
Сообщений: 320
|
FilipFray, sorry, всё потёр. Там были inf с содержимым вида /shell/... /temp/..., /windows/... т.е. много путей прописанных. Также в корне создавался exe с произвольным именем. Больше всего походит на CSRCS и svhovth. Можно было конечно поизучать весчь, но мне нужно было просто обновить замучаную систему.
(З.Ы. А мне под Linux удобно - тихо, спокойно, ничего не убегает от тебя, востанавливай чего хочешь, удаляешь) ______________ На самом деле эпопея с тем конпом продолжилась: 1. Налаженый винт (SATI) на моём компе (Foxcon мама) прекрасно запускается. 2. На чужом компе (MSI) при загрузке Windows где-то в районе windows/system32/driver перезагружается. Плюс bios не видит ни одного CD-ROMA. С чего такое может быть? Последний раз редактировалось BaronTreep; 16.07.2009 в 22:37. |
16.07.2009, 23:04 | #9 |
Участник клуба
Регистрация: 06.04.2009
Сообщений: 1,524
|
Защита от авторанов на флеш
Код:
Код:
|
18.07.2009, 00:48 | #10 | |
Форумчанин
Регистрация: 29.05.2009
Сообщений: 320
|
Цитата:
1. Батарейка на плате. 2. Bios. Сбросить и снова настроить софт чипсета. 3. Загрузочная область диска. Она может законфликтовать с bios?. Может придется сохранять инфу (благо там немного) и размечать/форматить. 4. Может ещё другую ОС попробую запустить. Если кто-то сталкивался, отпишитесь пожалуйста. |
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Описание процедуры | phantom4eg | Помощь студентам | 6 | 17.03.2009 18:55 |
Исходники для борьбы с руткитами | MaxBigBrother | Фриланс | 1 | 07.03.2009 14:49 |
Описание к файлам | Naposaram | PHP | 4 | 09.02.2009 09:24 |