Ыть! Или снова о Windows
- 27.12.08, 08:30
- Мой компьютер
- Что случилось?
- Не знаю... там что-то стрёмное. Сожрало все экзешники.
- А что стоит?
- Стоит Аваст. И стоял Аваст.
- Ну и что теперь?
- Не знаю. Вроде всё почистил, переставил систему, а оно опять.(простая переустановка от вирусов не спасает, кто-кто, а админ должен это знать)
(Аваст неплохой антивирус среди бесплатных. Но вот с червями он не очень. Из личной практики).
- Ты можешь посмотреть?
- Могу. Зайду вечером.
Вот с такого телефонного разговора началось путешествие по жёсткому диску знакомого админа и его системе.
Мне хватает Total Commander Podarok Edition. А вот вы, батенька, сисадмин используете утилиты от Марка Руссиновича. Sysinternals.com - великолепная скажу я вам вещенция. По моему мнению для администрирования Windows XP - как раз то, что надо.
Сразу освобождаю Аваст от занимаемого поста. И стартую Process Explorer(1.5mb)
Сразу же подозрение вызывает запущенный процесс rundll32.exe. ТоварищЪ убеждает меня, что у него всегда так и это видеодрайверы nvidia используют процесс. Я как то сразу "ведусь", но после вникаю - при чём тут интересно экзешник rundll32 - системный к дровам видеокарты? Библиотека (dll)- я бы ещё мог согласиться, но никак не икзи.
Заглянем в системные журналы (благо Аваст умеет делать в них записи):
что же первое сообщение об обнаруженном вирусе 23 числа - которое произошло при обращении, а точнее при автозапуске CD-ROM. (ошибка номер ОДИН - не отключен автозапуск с носителей). Порой поведение админов поражает... Роем дальше. Выясняем, что какая библиотека используется. А также путь запуска, или командная строка - тут c:\windows\system32\имя библиотеки.dll
Осталось только узнать все процессы использующие\запускающие библиотеку, удалить ключи в реестре используя элементарный поиск... и в принципе система чиста, до запуска каконибудь из зараженных экзешников, поскольку сканирование Аваст малоэффективно, тут стоило просканить более мощным антивирусом, желательно с обновлёнными(пусть даже офлайн) базами. Ну да я не успел. Главное ему показал, а там сам разберётся, нет - позвонит ещё раз.
Жаль не хватило времени до конца докопаться... но я вообще не об этом. Ушёл от того, что хотел сказать. А сказать хотел следующее используйте господа админы над windows xp утилиты от Sysinternals. Теперь Марк Руссинович создал и публикует свой блог, в том числе на русском языке, что безусловно облегчает наши задачи.
Рекомендуемые мною утилиты:
Программа NewSID
Программа AccessChk (версия 3.0)
Программа Autoruns
Программа LogonSessions
Программа Process Explorer
Программа PsExec
Программа PsLoggedOn
Программа RootkitRevealer
AccessChk
EFSDump
FileMon
Handle
NTFSInfo
PortMon
Process Monitor
PsGetSid
WhoIs
VolumeID
RegMon
PsPasswd
- Не знаю... там что-то стрёмное. Сожрало все экзешники.
- А что стоит?
- Стоит Аваст. И стоял Аваст.
- Ну и что теперь?
- Не знаю. Вроде всё почистил, переставил систему, а оно опять.(простая переустановка от вирусов не спасает, кто-кто, а админ должен это знать)
(Аваст неплохой антивирус среди бесплатных. Но вот с червями он не очень. Из личной практики).
- Ты можешь посмотреть?
- Могу. Зайду вечером.
Вот с такого телефонного разговора началось путешествие по жёсткому диску знакомого админа и его системе.
Мне хватает Total Commander Podarok Edition. А вот вы, батенька, сисадмин используете утилиты от Марка Руссиновича. Sysinternals.com - великолепная скажу я вам вещенция. По моему мнению для администрирования Windows XP - как раз то, что надо.
Сразу освобождаю Аваст от занимаемого поста. И стартую Process Explorer(1.5mb)
Сразу же подозрение вызывает запущенный процесс rundll32.exe. ТоварищЪ убеждает меня, что у него всегда так и это видеодрайверы nvidia используют процесс. Я как то сразу "ведусь", но после вникаю - при чём тут интересно экзешник rundll32 - системный к дровам видеокарты? Библиотека (dll)- я бы ещё мог согласиться, но никак не икзи.
Заглянем в системные журналы (благо Аваст умеет делать в них записи):
что же первое сообщение об обнаруженном вирусе 23 числа - которое произошло при обращении, а точнее при автозапуске CD-ROM. (ошибка номер ОДИН - не отключен автозапуск с носителей). Порой поведение админов поражает... Роем дальше. Выясняем, что какая библиотека используется. А также путь запуска, или командная строка - тут c:\windows\system32\имя библиотеки.dll
Осталось только узнать все процессы использующие\запускающие библиотеку, удалить ключи в реестре используя элементарный поиск... и в принципе система чиста, до запуска каконибудь из зараженных экзешников, поскольку сканирование Аваст малоэффективно, тут стоило просканить более мощным антивирусом, желательно с обновлёнными(пусть даже офлайн) базами. Ну да я не успел. Главное ему показал, а там сам разберётся, нет - позвонит ещё раз.
Жаль не хватило времени до конца докопаться... но я вообще не об этом. Ушёл от того, что хотел сказать. А сказать хотел следующее используйте господа админы над windows xp утилиты от Sysinternals. Теперь Марк Руссинович создал и публикует свой блог, в том числе на русском языке, что безусловно облегчает наши задачи.
Рекомендуемые мною утилиты:
Программа NewSID
Программа AccessChk (версия 3.0)
Программа Autoruns
Программа LogonSessions
Программа Process Explorer
Программа PsExec
Программа PsLoggedOn
Программа RootkitRevealer
AccessChk
EFSDump
FileMon
Handle
NTFSInfo
PortMon
Process Monitor
PsGetSid
WhoIs
VolumeID
RegMon
PsPasswd
10
