Здравствуйте, Khimik, Вы писали:
K>Кажется я поймал какой-то мощный, неизвестный науке вирус. Его не обнаружил даже Kaspersky Rescue Disk 10, запущённый из под флешки. В диспетчере задач по и дело появляется процесс "opera.exe" размером 22МБ. Я написал в поддержку Касперского и DRWeb, но долго ждать. Прошу совета.
А в чем проблема найти файл этого процесса и прибить?
Берешь обязательный набор — sysinternals от (уже) майкрософт.
Диспетчером Process explorer убиваешь процесс. Если он пересоздается, смотришь, кто его создает. Если нужно, сначала суспендишь процесс.
Идешь к файлу, удаляешь (пакуешь в архив, если хочешь сохранить)
Если файл не удаляется, идешь в вкладку "безопасность" этого файла, убираешь все права на него для ВСЕХ, особенно для system. Или выставляешь всем deny. Ребутишься. Т.к. у системы нет прав на взаимодествие с файлом, она его ни запустить не сможет, ни залочить — спокойно удаляешь файл.
Далее берешь Autoruns, смотришь, кто и как ее запускаешь. Можно включить опцию проверки подписи — фильтровать мусор будет легче (то же, кстати, можно сделать и в Process explorer). Вычищаешь все лишнее и все.
Если система 32-битная, берешь Rootkit releaver, гоняешь им.
Это все базовые действия, которых достаточно для 99% вирусов. А вот если этого не помогает, пишешь сюда, в чем именно проблема и почему не помогает.
Еще полезно подстелить себе подстилку на будущее — для таких вирусов, как винлокеры, которые не пускают в систему. Я лично заменил utilman на cmd и имею командную строку на экране винлокера. Правда, этот вирус я и видел-то вчера только впервые в жизни — на компутере соседки.
Вот кстати у меня тоже вопрос. Вчера мучался с этим винлокером. Пробовал autoruns под livecd — хотел открыть реестр офлайновой системы (есть там такая опция в авторансе). Но авторанс стабильно падал — без единого пика — в начале анализа оффлайн-реестра. Чего-й он падал? Памяти ему не хватает? Баг? Я что-то не так делал?
Я, кстати, был разочарован в винлокере. Я-то искал файл где-нить в изощренном месте типа system32, маскирующимся под майкрософтофский — при отключенной системе найти такой файл среди тысячи других было бы непросто.
А оказалось все прозаично до тупости — вирус валялся в корне programdata.
-
— Люди, помогите, у меня вольво механика, начала слегка западать педаль сцепления. Что делать?
— Купи себе опель с коробкой автомат (здесь плюсики от опелефанов)
Кажется я поймал какой-то мощный, неизвестный науке вирус. Его не обнаружил даже Kaspersky Rescue Disk 10, запущённый из под флешки. В диспетчере задач по и дело появляется процесс "opera.exe" размером 22МБ. Я написал в поддержку Касперского и DRWeb, но долго ждать. Прошу совета.
06.05.12 19:00: Перенесено модератором из 'О жизни' — kochetkov.vladimir
"Ты должен сделать добро из зла, потому что его больше не из чего сделать." Р.П. Уоррен
K>Кажется я поймал какой-то мощный, неизвестный науке вирус. Его не обнаружил даже Kaspersky Rescue Disk 10, запущённый из под флешки. В диспетчере задач по и дело появляется процесс "opera.exe" размером 22МБ. Я написал в поддержку Касперского и DRWeb, но долго ждать. Прошу совета.
Забыл добавить: вирус регулярно издаёт звук, как при закрытии окна. Вначеле было каждый час, теперь каждые полчаса.
"Ты должен сделать добро из зла, потому что его больше не из чего сделать." Р.П. Уоррен
Здравствуйте, Khimik, Вы писали:
K>Кажется я поймал какой-то мощный, неизвестный науке вирус. Его не обнаружил даже Kaspersky Rescue Disk 10, запущённый из под флешки
тут надо смеяться.
есть правило "порутали — format C:"
Здравствуйте, fuyant, Вы писали:
K>>Кажется я поймал какой-то мощный, неизвестный науке вирус. Его не обнаружил даже Kaspersky Rescue Disk 10, запущённый из под флешки. В диспетчере задач по и дело появляется процесс "opera.exe" размером 22МБ. Я написал в поддержку Касперского и DRWeb, но долго ждать. Прошу совета.
F>А в чем проблема найти файл этого процесса и прибить? F>Берешь обязательный набор — sysinternals от (уже) майкрософт. F>Диспетчером Process explorer убиваешь процесс. Если он пересоздается, смотришь, кто его создает. Если нужно, сначала суспендишь процесс. F>Идешь к файлу, удаляешь (пакуешь в архив, если хочешь сохранить) F>Если файл не удаляется, идешь в вкладку "безопасность" этого файла, убираешь все права на него для ВСЕХ, особенно для system. Или выставляешь всем deny. Ребутишься. Т.к. у системы нет прав на взаимодествие с файлом, она его ни запустить не сможет, ни залочить — спокойно удаляешь файл. F>Далее берешь Autoruns, смотришь, кто и как ее запускаешь. Можно включить опцию проверки подписи — фильтровать мусор будет легче (то же, кстати, можно сделать и в Process explorer). Вычищаешь все лишнее и все.
Я запускаю msconfig. А что такое Autoruns?
F>Если система 32-битная, берешь Rootkit releaver, гоняешь им.
F>Это все базовые действия, которых достаточно для 99% вирусов. А вот если этого не помогает, пишешь сюда, в чем именно проблема и почему не помогает. F>Еще полезно подстелить себе подстилку на будущее — для таких вирусов, как винлокеры, которые не пускают в систему. Я лично заменил utilman на cmd и имею командную строку на экране винлокера. Правда, этот вирус я и видел-то вчера только впервые в жизни — на компутере соседки.
Еще хорошая подстилка на будущее — активировать System Restore Points. Для крутых там есть конфигурационный файл, а для чайников it just works (если только safe mode works). Один из немногих микрософтовских инструментов, которые работают БЕЗУПРЕЧНО. Всячески рекомендую. Лечит все — и вирусы, и неправильные апдейты. Я ленюсь разобраться, как его запустить под WinServer08 и, наверное, жестоко поплачусь за это.
Еще подстилки: в Process Explorer'е убрать подтверждение процессоубийствам (на случай перегрузки CPU) и жамкать Del. PE не просто держать на диске, а заменить им, якобы, Task Manager (якобы — потому, что какой из него менеджер?). Вообще, всегда держать PE запущенным и в трее одним глазком поглядывать за статусом системы. Последнее кажется диким, пока не попробуешь. Через неделю жить без него не сможете.
F>Вот кстати у меня тоже вопрос. Вчера мучался с этим винлокером. Пробовал autoruns под livecd — хотел открыть реестр офлайновой системы (есть там такая опция в авторансе). Но авторанс стабильно падал — без единого пика — в начале анализа оффлайн-реестра. Чего-й он падал? Памяти ему не хватает? Баг? Я что-то не так делал?
F>Я, кстати, был разочарован в винлокере. Я-то искал файл где-нить в изощренном месте типа system32, маскирующимся под майкрософтофский — при отключенной системе найти такой файл среди тысячи других было бы непросто. F>А оказалось все прозаично до тупости — вирус валялся в корне programdata.
Здравствуйте, fuyant, Вы писали:
F>А в чем проблема найти файл этого процесса и прибить? F>Берешь обязательный набор — sysinternals от (уже) майкрософт. F>Диспетчером Process explorer убиваешь процесс. Если он пересоздается, смотришь, кто его создает. Если нужно, сначала суспендишь процесс.
Как вариант: зловред знает Process explorer "в лицо" и блокирует его запуск. Мне однажды помогла перезагрузка в safe mode с последующим запуском autoruns. В моем случае это был FakeAV. Лежал где-то в районе temp. Знал в лицо вагон утилит, включая Task manager.
Здравствуйте, SV., Вы писали:
SV.>Еще хорошая подстилка на будущее — активировать System Restore Points. Для крутых там есть конфигурационный файл, а для чайников it just works (если только safe mode works). Один из немногих микрософтовских инструментов, которые работают БЕЗУПРЕЧНО. Всячески рекомендую. Лечит все — и вирусы, и неправильные апдейты. Я ленюсь разобраться, как его запустить под WinServer08 и, наверное, жестоко поплачусь за это.
System Restore может перестать работать, если использовать Comodo Internet Security или Comodo Firewall.
Я думал, только у меня такой глюк, но на днях выяснил, что другие тоже с этим сталкивались:
Несколько раз пытался выполнить восстановление системы на Windows 7 SP1 x64, как в обычном, так и в безопасном режиме. Ни разу не вышло. По той же причине: ошибка доступа к файлу. Стоит CIS Premium последний. Не был уверен, что причина в нём (хотя меня и "терзали смутные сомнения").
SV.>Еще подстилки: в Process Explorer'е убрать подтверждение процессоубийствам (на случай перегрузки CPU) и жамкать Del. PE не просто держать на диске, а заменить им, якобы, Task Manager (якобы — потому, что какой из него менеджер?). Вообще, всегда держать PE запущенным и в трее одним глазком поглядывать за статусом системы. Последнее кажется диким, пока не попробуешь. Через неделю жить без него не сможете.
Когда-то «жить не мог» без этой утилиты, но потом жизнь заставила отказаться от ее использования:
как выяснилось, некоторые игры не запускаются, если в ту же сессию запускали Process Explorer.
Оказывается, это модуль SecuROM детектирует Process Explorer, даже если его уже закрыли!
Цитата отсюда:
From a little experimentation, SecuROM does not just dislike Process Explorer running at the same time, but SecuROM also protests if Process Explorer has *EVER* been run on this machine since boot-up -- EVEN if Process Explorer is NO LONGER currently running now! Gosh, THAT is a "feature" -- NOT!!
В те игры давно не играю, а привычка не использовать Process Explorer так и осталась.
Здравствуйте, Privalov, Вы писали:
P>Как вариант: зловред знает Process explorer "в лицо" и блокирует его запуск. Мне однажды помогла перезагрузка в safe mode с последующим запуском autoruns. В моем случае это был FakeAV. Лежал где-то в районе temp. Знал в лицо вагон утилит, включая Task manager.
я чаще сталкивался с тем, что в safe mode была та же картина — ведь в этом режиме прекрасно все автозапскается, что и в нормальном
Здравствуйте, fuyant, Вы писали:
F>Здравствуйте, Khimik, Вы писали:
K>>Кажется я поймал какой-то мощный, неизвестный науке вирус. Его не обнаружил даже Kaspersky Rescue Disk 10, запущённый из под флешки. В диспетчере задач по и дело появляется процесс "opera.exe" размером 22МБ. Я написал в поддержку Касперского и DRWeb, но долго ждать. Прошу совета.
F>А в чем проблема найти файл этого процесса и прибить? F>Берешь обязательный набор — sysinternals от (уже) майкрософт. F>Диспетчером Process explorer убиваешь процесс. Если он пересоздается, смотришь, кто его создает. Если нужно, сначала суспендишь процесс.
Как узнать, кто его создаёт (я вообще чайник)? В Process explorer у него parent — <Non-existent Process>(904).
"Ты должен сделать добро из зла, потому что его больше не из чего сделать." Р.П. Уоррен
Здравствуйте, Khimik, Вы писали:
K> Как узнать, кто его создаёт (я вообще чайник)? В Process explorer у него parent — <Non-existent Process>(904).
Это означает, что процесс, который его создал, уже закрыт. А когда процесс был жив, его PID был 904
Тот самый opera.exe убить можно? Если ему Kill process сделать, он закрывается? Файл opera.exe удалить получается?
Здравствуйте, fuyant, Вы писали:
F>Здравствуйте, Khimik, Вы писали:
K>> Как узнать, кто его создаёт (я вообще чайник)? В Process explorer у него parent — <Non-existent Process>(904).
F>Это означает, что процесс, который его создал, уже закрыт. А когда процесс был жив, его PID был 904 F>Тот самый opera.exe убить можно?
Да. >Если ему Kill process сделать, он закрывается?
Да. >Файл opera.exe удалить получается?
Да, после того как сделал kill process.
Как бы мне найти процесс, который его создал?
"Ты должен сделать добро из зла, потому что его больше не из чего сделать." Р.П. Уоррен
Здравствуйте, Khimik, Вы писали:
K>Кажется я поймал какой-то мощный, неизвестный науке вирус. Его не обнаружил даже Kaspersky Rescue Disk 10, запущённый из под флешки. В диспетчере задач по и дело появляется процесс "opera.exe" размером 22МБ. Я написал в поддержку Касперского и DRWeb, но долго ждать. Прошу совета.
Нужно взять что-нибудь типа sysinspector'а (http://kb.eset.com/esetkb/index?page=content&id=SOLN762) и пройтись по всей красноте в отчете на предмет неопознанных стартующих процессов и служб + заглянуть в запланированные задачи, возможно что-то есть там. Еще лучше — сохранить полученный отчет и выложить тут.
Здравствуйте, Khimik, Вы писали:
K>Как бы мне найти процесс, который его создал?
Запускаешь Process Monitor из тех же утилит Руссиновича, настраиваешь фильтры, включаешь Boot Logging, перегружаешься. Если фильтры настроил правильно, в логах будет все что надо.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
> Судя по тому, что озвучено в этой теме, этот процесс — самая обычная opera и есть, которая стоит браузером по умолчанию и запускается из-за того, что какое-то фоновое приложение пытается открыть какую-либо страницу > Нужно взять что-нибудь типа sysinspector'а (http://kb.eset.com/esetkb/index?page=content&id=SOLN762) и пройтись по всей красноте в отчете на предмет неопознанных стартующих процессов и служб + заглянуть в запланированные > задачи, возможно что-то есть там.
Да, кажется так и есть. Это DRWeb пытался скачать апгрейд.
"Ты должен сделать добро из зла, потому что его больше не из чего сделать." Р.П. Уоррен
Здравствуйте, Khimik, Вы писали:
K>Кажется я поймал какой-то мощный, неизвестный науке вирус. Его не обнаружил даже Kaspersky Rescue Disk 10, запущённый из под флешки. В диспетчере задач по и дело появляется процесс "opera.exe" размером 22МБ. Я написал в поддержку Касперского и DRWeb, но долго ждать. Прошу совета.
на сайте http://www.winpills.com есть п/о SafeLoadPc, которое
поможет:
— узнать какие программы работают на ПК;
— узнать кто и как блокирует ПК?
— быстро найти файлы по SHA1 или по маске;
— создавать дампы реестра и сравнить с предыдущими;
— создавать дампы списков файлов и сравнить с предыдущими;
— узнать какие системные файлы имеют нарушенную цифровую подпись;
...
В общем поможет оперативно привести в рабочее состояние ПК или
решить вопрос, что делать с ПК? Лечить от вирусов или сразу
переустанавливать ОС.Суть ее в том, что она получает управление
всегда первая, пропускает системные модули, остальных отклоняет,
а при установке проверяет соответствие MBR/VBR/IPL.
А где не справятся autoruns, process explorer и process monitor (например, на руткитах) поможет ERD commander от тех же авторов. Ну или как он сейчас называется Microsoft DaRT — загрузился с него, подключился к реестру остановленной системы и спокойно выключаешь автозапуск подозрительных драйверов, служб и приложений.
Здравствуйте, loginx, Вы писали:
L>если она это умеет то это умеют и вирусы — ну и кто победит?
Она устанавливается на неактивную систему с образа. И по этому при старте
системы стоит первой. Так что у вируса шансов нет. Конечно,
возможны варианты заражения системных модулей. Тогда, например,
версия SafeLoadPc_Rest покажет список несоответствия цифровых
подписей системных модулей и точки входа всех отклоненных. А, для решения
проблем, таких как winlock-и и др., вполне подойдет SafeLoadPc Free. При
установке покажет состояние MBR/VBR/IPL, если winlock загрузочный. А
обычный winlock и др. вирусы отключит при старте ОС.
Здравствуйте, vladts, Вы писали:
V>Она устанавливается на неактивную систему с образа. И по этому при старте V>системы стоит первой. Так что у вируса шансов нет. Конечно, V>возможны варианты заражения системных модулей. Тогда, например, V>версия SafeLoadPc_Rest покажет список несоответствия цифровых V>подписей системных модулей и точки входа всех отклоненных. А, для решения V>проблем, таких как winlock-и и др., вполне подойдет SafeLoadPc Free. При V>установке покажет состояние MBR/VBR/IPL, если winlock загрузочный. А V>обычный winlock и др. вирусы отключит при старте ОС.
И чем это лучше LiveCD/LiveUSB от любого _известного_ производителя антивирусов?
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, vladts, Вы писали:
V>Здравствуйте, loginx, Вы писали:
L>>если она это умеет то это умеют и вирусы — ну и кто победит?
V>Она устанавливается на неактивную систему с образа. И по этому при старте V>системы стоит первой.
интересно как она это делает — по моему это невозможно — по крайней мере
когда-то пытался сделать драйвер чтобы он всегда грузился первым — тогда
пришел к выводу что это нельзя — система сама решает кого самым первым грузить
и я тогда не нашел типа списка это 1 это 2 и тд куда бы можно было прописать
себя первым. Единствено можно задать загрузить себя раньше чем — ИД такой-то
но он может и не быть самым первым...
Если же прога карежит загрузкчик то если он уже покорежен вирусом может быть ой
и система вообще не загрузится
Здравствуйте, Ops, Вы писали:
Ops>И чем это лучше LiveCD/LiveUSB от любого _известного_ производителя антивирусов?
Они ищут то что уже знают и найдя, не факт, что правильно отключат запуск в системе.
Если диск большой, то процесс может значительно затянутся. Здесь хе, все можно
решить за 10-15 минут. Имея дамп от версии SafeLoadPc_Rest в котором указано( нарушена
цифровая подпись, кто хотел грузиться, откуда, он упакован, имеет переходы на другой
модуль и т.д.), можно сконцентрироваться на конкретном списке, модули которого не
активны и доступны для анализа. Ну, а версия SafeLoadPc_Full помимо всего прочего
дает возможность в консоли управления включать/выключать те модули, создавать дампы
списокв файлов, реестра и пр., потом сравнивать их. С этой версией вообще можно за
10-15 минут увидеть и оценить состояние всего ПК.
Здравствуйте, loginx, Вы писали:
L>но он может и не быть самым первым...
Это можно узнать указав системе логировать загрузку. Он ведь ставиться на
не активную ОС. В ней можно и подвинуть первых, мешать никто не будет.
L>Если же прога карежит загрузкчик то если он уже покорежен вирусом может быть ой L>и система вообще не загрузится
Нет, загрузчик никто не трогает. Программа работает и на 64 битах.
