Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
[NT] Вирус, пермишены, реестр и другое в одном флаконе 13.03.04 19:33
Автор: BACbKA Статус: Незарегистрированный пользователь
|
Господа знающие, прошу помощи и совета!
Попробую адекватно описать проблему.
На компе с установленной XP Pro Sp1 Eng (файловая система системного диска - NTFS) завелся вирус, вернее даже троян. Из всех антивирусов его обнаруживает лишь Касперский, определяя его как TrojanDownload.Win32.Agent.j. Однако, вылечить его не может. Касперский монитор дает отчет, что Winlogon.exe, Services.exe, lcass.exe и прочие заражены им, и может лишь записать в отчет или удалить, при удалении комп перегружается. Это предисловие.
Теперь больше по сути. Когда выдается предупреждение о найденном вирусе они примерно такого вида: файл winlogon.exe\winojcg.dll заражен TrojanDownload.Win32mAgent.j, отсюда сделал вывод, что тело вируса в этой самой длл'ке. Окей, пробую ее найти - не находит. Однако, запустив сканер касперского в отчете видим записи типа:
Отказ в доступе к записи реестра - HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs=[c:\windows\system32\winojcg.dll] - отсутствуют права на чтение
и запись:
Отказ в доступе - c:\windows\system32\winojcg.dll - отсутствуют права на чтение
Хорошо, думаю, посмотрим что там у нас. Естественно ни длл'ки ни самой записи в реестре не обнаруживается. Ладно. Смотрю на пермишены папки system32 - для администратора, под которым я зашел права урезаны. Ок, разрешено сделать TakeOwnership, что и делаю. После этого устанавливаю для себя и всей группы администраторы "полный доступ" на папку. Пытаюсь снова найти эту злосчастную dll - никак :(((
Послесловие и итоги.
Что можно посоветовать в этой ситуации, кроме переустановки системы (хочется попробовать обойтись без этого заодно понять как этот троян маскируется). Какие будут идеи и предложения по борьбе с этой гадостью.
Какими методами можно увидеть этот скрытый файл?
Заранее спасибо!
|
|
Дополнения 13.03.04 19:41
Автор: BACbKA Статус: Незарегистрированный пользователь
|
Эту длл'ку пытался увидеть explorer'ом, far'ом и в cmd. Еще возник вопрос можно ли как-нибудь из командной строки изменить пермишены файла?
И про реестр - как в нем можно устанавливать пермишены (простите за ламерский вопрос).
|
| |
cacls
13.03.04 20:37
Автор: amirul <Serge> Статус: The Elderman
|
> Эту длл'ку пытался увидеть explorer'ом, far'ом и в cmd. Еще
> возник вопрос можно ли как-нибудь из командной строки
> изменить пермишены файла?
cacls
> И про реестр - как в нем можно устанавливать пермишены
> (простите за ламерский вопрос).
Правой кнопкой - разрешения.
А вообще я бы тебе советовал пытаться делать это все или в безопасном режими или из другой (незараженной ОС-и). Вирусяка может запросто и сама блокировать вызовы установки пермишенов или открытия (даже если пермишены есть) или переставлять их постоянно в нужное значение.
|
| | |
cacls 13.03.04 21:18
Автор: BACbKA Статус: Незарегистрированный пользователь
|
> > Еще
> > возник вопрос можно ли как-нибудь из командной строки
> > изменить пермишены файла?
> cacls
>
> > И про реестр - как в нем можно устанавливать пермишены
> > (простите за ламерский вопрос).
> Правой кнопкой - разрешения.
>
> А вообще я бы тебе советовал пытаться делать это все или в
> безопасном режими или из другой (незараженной ОС-и).
> Вирусяка может запросто и сама блокировать вызовы установки
> пермишенов или открытия (даже если пермишены есть) или
> переставлять их постоянно в нужное значение.
Да, забыл сказать - все операции проводятся в SafeMode.
Спасибо за помощь, попробовать это применить на практике получится лишь на следующих выходных, так как зараженный комп у знакомых.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
