> Эту длл'ку пытался увидеть explorer'ом, far'ом и в cmd. Еще > возник вопрос можно ли как-нибудь из командной строки > изменить пермишены файла? cacls
> И про реестр - как в нем можно устанавливать пермишены > (простите за ламерский вопрос). Правой кнопкой - разрешения.
А вообще я бы тебе советовал пытаться делать это все или в безопасном режими или из другой (незараженной ОС-и). Вирусяка может запросто и сама блокировать вызовы установки пермишенов или открытия (даже если пермишены есть) или переставлять их постоянно в нужное значение.
Попробую адекватно описать проблему.
На компе с установленной XP Pro Sp1 Eng (файловая система системного диска - NTFS) завелся вирус, вернее даже троян. Из всех антивирусов его обнаруживает лишь Касперский, определяя его как TrojanDownload.Win32.Agent.j. Однако, вылечить его не может. Касперский монитор дает отчет, что Winlogon.exe, Services.exe, lcass.exe и прочие заражены им, и может лишь записать в отчет или удалить, при удалении комп перегружается. Это предисловие.
Теперь больше по сути. Когда выдается предупреждение о найденном вирусе они примерно такого вида: файл winlogon.exe\winojcg.dll заражен TrojanDownload.Win32mAgent.j, отсюда сделал вывод, что тело вируса в этой самой длл'ке. Окей, пробую ее найти - не находит. Однако, запустив сканер касперского в отчете видим записи типа:
Отказ в доступе к записи реестра - HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs=[c:\windows\system32\winojcg.dll] - отсутствуют права на чтение
и запись:
Отказ в доступе - c:\windows\system32\winojcg.dll - отсутствуют права на чтение
Хорошо, думаю, посмотрим что там у нас. Естественно ни длл'ки ни самой записи в реестре не обнаруживается. Ладно. Смотрю на пермишены папки system32 - для администратора, под которым я зашел права урезаны. Ок, разрешено сделать TakeOwnership, что и делаю. После этого устанавливаю для себя и всей группы администраторы "полный доступ" на папку. Пытаюсь снова найти эту злосчастную dll - никак :(((
Послесловие и итоги.
Что можно посоветовать в этой ситуации, кроме переустановки системы (хочется попробовать обойтись без этого заодно понять как этот троян маскируется). Какие будут идеи и предложения по борьбе с этой гадостью.
Какими методами можно увидеть этот скрытый файл?
Эту длл'ку пытался увидеть explorer'ом, far'ом и в cmd. Еще возник вопрос можно ли как-нибудь из командной строки изменить пермишены файла?
И про реестр - как в нем можно устанавливать пермишены (простите за ламерский вопрос).
cacls
13.03.04 20:37 Автор: amirul <Serge> Статус: The Elderman
> Эту длл'ку пытался увидеть explorer'ом, far'ом и в cmd. Еще > возник вопрос можно ли как-нибудь из командной строки > изменить пермишены файла? cacls
> И про реестр - как в нем можно устанавливать пермишены > (простите за ламерский вопрос). Правой кнопкой - разрешения.
А вообще я бы тебе советовал пытаться делать это все или в безопасном режими или из другой (незараженной ОС-и). Вирусяка может запросто и сама блокировать вызовы установки пермишенов или открытия (даже если пермишены есть) или переставлять их постоянно в нужное значение.
> > Еще > > возник вопрос можно ли как-нибудь из командной строки > > изменить пермишены файла? > cacls > > > И про реестр - как в нем можно устанавливать пермишены > > (простите за ламерский вопрос). > Правой кнопкой - разрешения. > > А вообще я бы тебе советовал пытаться делать это все или в > безопасном режими или из другой (незараженной ОС-и). > Вирусяка может запросто и сама блокировать вызовы установки > пермишенов или открытия (даже если пермишены есть) или > переставлять их постоянно в нужное значение.
Да, забыл сказать - все операции проводятся в SafeMode.
Спасибо за помощь, попробовать это применить на практике получится лишь на следующих выходных, так как зараженный комп у знакомых.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
