Ыть! Или снова о Windows
- 27.12.08, 08:30
- Мой компьютер
- Что случилось?
- Не знаю... там что-то стрёмное. Сожрало все экзешники.
- А что стоит?
- Стоит Аваст. И стоял Аваст.
- Ну и что теперь?
- Не знаю. Вроде всё почистил, переставил систему, а оно опять.(простая переустановка от вирусов не спасает, кто-кто, а админ должен это знать)
(Аваст неплохой антивирус среди бесплатных. Но вот с червями он не очень. Из личной практики).
- Ты можешь посмотреть?
- Могу. Зайду вечером.
Вот с такого телефонного разговора началось путешествие по жёсткому диску знакомого админа и его системе.
Мне хватает Total Commander Podarok Edition. А вот вы, батенька, сисадмин используете утилиты от Марка Руссиновича. Sysinternals.com - великолепная скажу я вам вещенция. По моему мнению для администрирования Windows XP - как раз то, что надо.
Сразу освобождаю Аваст от занимаемого поста. И стартую Process Explorer(1.5mb)
Сразу же подозрение вызывает запущенный процесс rundll32.exe. ТоварищЪ убеждает меня, что у него всегда так и это видеодрайверы nvidia используют процесс. Я как то сразу "ведусь", но после вникаю - при чём тут интересно экзешник rundll32 - системный к дровам видеокарты? Библиотека (dll)- я бы ещё мог согласиться, но никак не икзи.
Заглянем в системные журналы (благо Аваст умеет делать в них записи):
что же первое сообщение об обнаруженном вирусе 23 числа - которое произошло при обращении, а точнее при автозапуске CD-ROM. (ошибка номер ОДИН - не отключен автозапуск с носителей). Порой поведение админов поражает... Роем дальше. Выясняем, что какая библиотека используется. А также путь запуска, или командная строка - тут c:\windows\system32\имя библиотеки.dll
Осталось только узнать все процессы использующие\запускающие библиотеку, удалить ключи в реестре используя элементарный поиск... и в принципе система чиста, до запуска каконибудь из зараженных экзешников, поскольку сканирование Аваст малоэффективно, тут стоило просканить более мощным антивирусом, желательно с обновлёнными(пусть даже офлайн) базами. Ну да я не успел. Главное ему показал, а там сам разберётся, нет - позвонит ещё раз.
Жаль не хватило времени до конца докопаться... но я вообще не об этом. Ушёл от того, что хотел сказать. А сказать хотел следующее используйте господа админы над windows xp утилиты от Sysinternals. Теперь Марк Руссинович создал и публикует свой блог, в том числе на русском языке, что безусловно облегчает наши задачи.
Рекомендуемые мною утилиты:
Программа NewSID
Программа AccessChk (версия 3.0)
Программа Autoruns
Программа LogonSessions
Программа Process Explorer
Программа PsExec
Программа PsLoggedOn
Программа RootkitRevealer
AccessChk
EFSDump
FileMon
Handle
NTFSInfo
PortMon
Process Monitor
PsGetSid
WhoIs
VolumeID
RegMon
PsPasswd
- Не знаю... там что-то стрёмное. Сожрало все экзешники.
- А что стоит?
- Стоит Аваст. И стоял Аваст.
- Ну и что теперь?
- Не знаю. Вроде всё почистил, переставил систему, а оно опять.(простая переустановка от вирусов не спасает, кто-кто, а админ должен это знать)
(Аваст неплохой антивирус среди бесплатных. Но вот с червями он не очень. Из личной практики).
- Ты можешь посмотреть?
- Могу. Зайду вечером.
Вот с такого телефонного разговора началось путешествие по жёсткому диску знакомого админа и его системе.
Мне хватает Total Commander Podarok Edition. А вот вы, батенька, сисадмин используете утилиты от Марка Руссиновича. Sysinternals.com - великолепная скажу я вам вещенция. По моему мнению для администрирования Windows XP - как раз то, что надо.
Сразу освобождаю Аваст от занимаемого поста. И стартую Process Explorer(1.5mb)
Сразу же подозрение вызывает запущенный процесс rundll32.exe. ТоварищЪ убеждает меня, что у него всегда так и это видеодрайверы nvidia используют процесс. Я как то сразу "ведусь", но после вникаю - при чём тут интересно экзешник rundll32 - системный к дровам видеокарты? Библиотека (dll)- я бы ещё мог согласиться, но никак не икзи.
Заглянем в системные журналы (благо Аваст умеет делать в них записи):
что же первое сообщение об обнаруженном вирусе 23 числа - которое произошло при обращении, а точнее при автозапуске CD-ROM. (ошибка номер ОДИН - не отключен автозапуск с носителей). Порой поведение админов поражает... Роем дальше. Выясняем, что какая библиотека используется. А также путь запуска, или командная строка - тут c:\windows\system32\имя библиотеки.dll
Осталось только узнать все процессы использующие\запускающие библиотеку, удалить ключи в реестре используя элементарный поиск... и в принципе система чиста, до запуска каконибудь из зараженных экзешников, поскольку сканирование Аваст малоэффективно, тут стоило просканить более мощным антивирусом, желательно с обновлёнными(пусть даже офлайн) базами. Ну да я не успел. Главное ему показал, а там сам разберётся, нет - позвонит ещё раз.
Жаль не хватило времени до конца докопаться... но я вообще не об этом. Ушёл от того, что хотел сказать. А сказать хотел следующее используйте господа админы над windows xp утилиты от Sysinternals. Теперь Марк Руссинович создал и публикует свой блог, в том числе на русском языке, что безусловно облегчает наши задачи.
Рекомендуемые мною утилиты:
Программа NewSID
Программа AccessChk (версия 3.0)
Программа Autoruns
Программа LogonSessions
Программа Process Explorer
Программа PsExec
Программа PsLoggedOn
Программа RootkitRevealer
AccessChk
EFSDump
FileMon
Handle
NTFSInfo
PortMon
Process Monitor
PsGetSid
WhoIs
VolumeID
RegMon
PsPasswd
10
Коментарі
Гість: S1lent
127.12.08, 09:04
Бугагагага порой наши админы и не такое чудят...
Хороший список, сам пользую большинство програм...А на счёт заражённых экзешников, и rundll32.exe. Чаще всего так ведёт себя в системе червь JeefoA.32 он бьёт и самокопируется в экзешниках, автоматом влезая и прерзаписываясь во все .EXE файлы после очистка, если пропущен хоть 1 заражённый..я
Сам сталкивался на днях с аналогичной проблемой...но сканил Нортоном.. ща вроде все читсо вот уже неделю.
Гість: S1lent
227.12.08, 09:06
Спасиб за ччылку на блог, весьма полезно и занимательно
AccessDenied
327.12.08, 09:07Відповідь на 2 від Гість: S1lent
На здоровье ваших компьютеров!
А червь был что-то с Win32 в названии ночь прошла ужо запамятовал уж.
Гість: S1lent
427.12.08, 09:10Відповідь на 3 від AccessDenied
Win32Jefoo.A
так его полное название..
он в систему чаще всего с каким-то не провереным софтом попадает...
Гість: ШамаШ
527.12.08, 09:18
DrEgor
627.12.08, 09:28
не всяк тот кто сам себе виндовс установил есмЬ "админ"...
А "пользование" хреновой тучи сторонних программ для распальцовки токмо.
avast рулит, far - пользительная хня, все остальное рулится собственными средствами виндовса, прочее - понты для приезжих!
CKB
727.12.08, 10:00Відповідь на 6 від DrEgor
Cмотря с чем работать. Если работа связана с хождением по сайтам "Ай точка лав точка ю", то там каждую неделю надо винчестер выбрасывать
DrEgor
827.12.08, 10:21Відповідь на 7 від CKB
не важно... правильно засетапленная система (антивирь) + фаервол и ходи где хочешь...
AccessDenied
928.12.08, 09:53Відповідь на 8 від DrEgor
В общем - ты прав. Но по сути - я улыбнулся.
Всё не так.
И стандартных средств на настольных системах не достаточно. Тем более, что есть такие вещи, уязвимости. Они есть во многих программах, но в Винде больше всего. IE до сих пор не залатан.
Я не могу в данный момент заняться сайтом, где можно было бы это проверять, но в инете есть не мало подобных.
AccessDenied
1028.12.08, 19:28Відповідь на 6 від DrEgor
Ты говоришь о csript, mshta по видимому... gpedit, dumprep, eventcreate, nslookup...
Но это вовсе не те утилиты, которые известны даже нынешним сисадминам, не говоря уж о route, powercfg, savedump... и даже я не могу понять почему иногда они не отличают rsh от sfc. Не говоря уж о reset и rexec.
Я понимаю всё величие Виндовс кроется в setver, но не никак не в secedit. И потом неужели кто-то придаёт значение строкам
Или юзает sysocmgr /r /f /i:<master_oc_inf>? Та, даже просто syskey и tracert...
А тебе кстати по поводу наворотов компа, тоесть его физических характеристик рекомендую статейку
http://blogs.technet.com/mark_russinovich/archive/2008/07/21/3151288.aspx
С уважением, PrivateSector, или Nith, как многие меня тут знают.