Кажется я поймал какой-то мощный, неизвестный науке вирус. Его не обнаружил даже Kaspersky Rescue Disk 10, запущённый из под флешки. В диспетчере задач по и дело появляется процесс "opera.exe" размером 22МБ. Я написал в поддержку Касперского и DRWeb, но долго ждать. Прошу совета.
06.05.12 19:00: Перенесено модератором из 'О жизни' — kochetkov.vladimir
"Ты должен сделать добро из зла, потому что его больше не из чего сделать." Р.П. Уоррен
K>Кажется я поймал какой-то мощный, неизвестный науке вирус. Его не обнаружил даже Kaspersky Rescue Disk 10, запущённый из под флешки. В диспетчере задач по и дело появляется процесс "opera.exe" размером 22МБ. Я написал в поддержку Касперского и DRWeb, но долго ждать. Прошу совета.
Забыл добавить: вирус регулярно издаёт звук, как при закрытии окна. Вначеле было каждый час, теперь каждые полчаса.
"Ты должен сделать добро из зла, потому что его больше не из чего сделать." Р.П. Уоррен
Здравствуйте, Khimik, Вы писали:
K>Кажется я поймал какой-то мощный, неизвестный науке вирус. Его не обнаружил даже Kaspersky Rescue Disk 10, запущённый из под флешки
тут надо смеяться.
есть правило "порутали — format C:"
Здравствуйте, Khimik, Вы писали:
K>Кажется я поймал какой-то мощный, неизвестный науке вирус. Его не обнаружил даже Kaspersky Rescue Disk 10, запущённый из под флешки. В диспетчере задач по и дело появляется процесс "opera.exe" размером 22МБ. Я написал в поддержку Касперского и DRWeb, но долго ждать. Прошу совета.
А в чем проблема найти файл этого процесса и прибить?
Берешь обязательный набор — sysinternals от (уже) майкрософт.
Диспетчером Process explorer убиваешь процесс. Если он пересоздается, смотришь, кто его создает. Если нужно, сначала суспендишь процесс.
Идешь к файлу, удаляешь (пакуешь в архив, если хочешь сохранить)
Если файл не удаляется, идешь в вкладку "безопасность" этого файла, убираешь все права на него для ВСЕХ, особенно для system. Или выставляешь всем deny. Ребутишься. Т.к. у системы нет прав на взаимодествие с файлом, она его ни запустить не сможет, ни залочить — спокойно удаляешь файл.
Далее берешь Autoruns, смотришь, кто и как ее запускаешь. Можно включить опцию проверки подписи — фильтровать мусор будет легче (то же, кстати, можно сделать и в Process explorer). Вычищаешь все лишнее и все.
Если система 32-битная, берешь Rootkit releaver, гоняешь им.
Это все базовые действия, которых достаточно для 99% вирусов. А вот если этого не помогает, пишешь сюда, в чем именно проблема и почему не помогает.
Еще полезно подстелить себе подстилку на будущее — для таких вирусов, как винлокеры, которые не пускают в систему. Я лично заменил utilman на cmd и имею командную строку на экране винлокера. Правда, этот вирус я и видел-то вчера только впервые в жизни — на компутере соседки.
Вот кстати у меня тоже вопрос. Вчера мучался с этим винлокером. Пробовал autoruns под livecd — хотел открыть реестр офлайновой системы (есть там такая опция в авторансе). Но авторанс стабильно падал — без единого пика — в начале анализа оффлайн-реестра. Чего-й он падал? Памяти ему не хватает? Баг? Я что-то не так делал?
Я, кстати, был разочарован в винлокере. Я-то искал файл где-нить в изощренном месте типа system32, маскирующимся под майкрософтофский — при отключенной системе найти такой файл среди тысячи других было бы непросто.
А оказалось все прозаично до тупости — вирус валялся в корне programdata.
-
— Люди, помогите, у меня вольво механика, начала слегка западать педаль сцепления. Что делать?
— Купи себе опель с коробкой автомат (здесь плюсики от опелефанов)
Здравствуйте, fuyant, Вы писали:
K>>Кажется я поймал какой-то мощный, неизвестный науке вирус. Его не обнаружил даже Kaspersky Rescue Disk 10, запущённый из под флешки. В диспетчере задач по и дело появляется процесс "opera.exe" размером 22МБ. Я написал в поддержку Касперского и DRWeb, но долго ждать. Прошу совета.
F>А в чем проблема найти файл этого процесса и прибить? F>Берешь обязательный набор — sysinternals от (уже) майкрософт. F>Диспетчером Process explorer убиваешь процесс. Если он пересоздается, смотришь, кто его создает. Если нужно, сначала суспендишь процесс. F>Идешь к файлу, удаляешь (пакуешь в архив, если хочешь сохранить) F>Если файл не удаляется, идешь в вкладку "безопасность" этого файла, убираешь все права на него для ВСЕХ, особенно для system. Или выставляешь всем deny. Ребутишься. Т.к. у системы нет прав на взаимодествие с файлом, она его ни запустить не сможет, ни залочить — спокойно удаляешь файл. F>Далее берешь Autoruns, смотришь, кто и как ее запускаешь. Можно включить опцию проверки подписи — фильтровать мусор будет легче (то же, кстати, можно сделать и в Process explorer). Вычищаешь все лишнее и все.
Я запускаю msconfig. А что такое Autoruns?
F>Если система 32-битная, берешь Rootkit releaver, гоняешь им.
F>Это все базовые действия, которых достаточно для 99% вирусов. А вот если этого не помогает, пишешь сюда, в чем именно проблема и почему не помогает. F>Еще полезно подстелить себе подстилку на будущее — для таких вирусов, как винлокеры, которые не пускают в систему. Я лично заменил utilman на cmd и имею командную строку на экране винлокера. Правда, этот вирус я и видел-то вчера только впервые в жизни — на компутере соседки.
Еще хорошая подстилка на будущее — активировать System Restore Points. Для крутых там есть конфигурационный файл, а для чайников it just works (если только safe mode works). Один из немногих микрософтовских инструментов, которые работают БЕЗУПРЕЧНО. Всячески рекомендую. Лечит все — и вирусы, и неправильные апдейты. Я ленюсь разобраться, как его запустить под WinServer08 и, наверное, жестоко поплачусь за это.
Еще подстилки: в Process Explorer'е убрать подтверждение процессоубийствам (на случай перегрузки CPU) и жамкать Del. PE не просто держать на диске, а заменить им, якобы, Task Manager (якобы — потому, что какой из него менеджер?). Вообще, всегда держать PE запущенным и в трее одним глазком поглядывать за статусом системы. Последнее кажется диким, пока не попробуешь. Через неделю жить без него не сможете.
F>Вот кстати у меня тоже вопрос. Вчера мучался с этим винлокером. Пробовал autoruns под livecd — хотел открыть реестр офлайновой системы (есть там такая опция в авторансе). Но авторанс стабильно падал — без единого пика — в начале анализа оффлайн-реестра. Чего-й он падал? Памяти ему не хватает? Баг? Я что-то не так делал?
F>Я, кстати, был разочарован в винлокере. Я-то искал файл где-нить в изощренном месте типа system32, маскирующимся под майкрософтофский — при отключенной системе найти такой файл среди тысячи других было бы непросто. F>А оказалось все прозаично до тупости — вирус валялся в корне programdata.
Здравствуйте, fuyant, Вы писали:
F>А в чем проблема найти файл этого процесса и прибить? F>Берешь обязательный набор — sysinternals от (уже) майкрософт. F>Диспетчером Process explorer убиваешь процесс. Если он пересоздается, смотришь, кто его создает. Если нужно, сначала суспендишь процесс.
Как вариант: зловред знает Process explorer "в лицо" и блокирует его запуск. Мне однажды помогла перезагрузка в safe mode с последующим запуском autoruns. В моем случае это был FakeAV. Лежал где-то в районе temp. Знал в лицо вагон утилит, включая Task manager.
Здравствуйте, SV., Вы писали:
SV.>Еще хорошая подстилка на будущее — активировать System Restore Points. Для крутых там есть конфигурационный файл, а для чайников it just works (если только safe mode works). Один из немногих микрософтовских инструментов, которые работают БЕЗУПРЕЧНО. Всячески рекомендую. Лечит все — и вирусы, и неправильные апдейты. Я ленюсь разобраться, как его запустить под WinServer08 и, наверное, жестоко поплачусь за это.
System Restore может перестать работать, если использовать Comodo Internet Security или Comodo Firewall.
Я думал, только у меня такой глюк, но на днях выяснил, что другие тоже с этим сталкивались:
Несколько раз пытался выполнить восстановление системы на Windows 7 SP1 x64, как в обычном, так и в безопасном режиме. Ни разу не вышло. По той же причине: ошибка доступа к файлу. Стоит CIS Premium последний. Не был уверен, что причина в нём (хотя меня и "терзали смутные сомнения").
SV.>Еще подстилки: в Process Explorer'е убрать подтверждение процессоубийствам (на случай перегрузки CPU) и жамкать Del. PE не просто держать на диске, а заменить им, якобы, Task Manager (якобы — потому, что какой из него менеджер?). Вообще, всегда держать PE запущенным и в трее одним глазком поглядывать за статусом системы. Последнее кажется диким, пока не попробуешь. Через неделю жить без него не сможете.
Когда-то «жить не мог» без этой утилиты, но потом жизнь заставила отказаться от ее использования:
как выяснилось, некоторые игры не запускаются, если в ту же сессию запускали Process Explorer.
Оказывается, это модуль SecuROM детектирует Process Explorer, даже если его уже закрыли!
Цитата отсюда:
From a little experimentation, SecuROM does not just dislike Process Explorer running at the same time, but SecuROM also protests if Process Explorer has *EVER* been run on this machine since boot-up -- EVEN if Process Explorer is NO LONGER currently running now! Gosh, THAT is a "feature" -- NOT!!
В те игры давно не играю, а привычка не использовать Process Explorer так и осталась.
Здравствуйте, Privalov, Вы писали:
P>Как вариант: зловред знает Process explorer "в лицо" и блокирует его запуск. Мне однажды помогла перезагрузка в safe mode с последующим запуском autoruns. В моем случае это был FakeAV. Лежал где-то в районе temp. Знал в лицо вагон утилит, включая Task manager.
я чаще сталкивался с тем, что в safe mode была та же картина — ведь в этом режиме прекрасно все автозапскается, что и в нормальном
Здравствуйте, fuyant, Вы писали:
F>Здравствуйте, Khimik, Вы писали:
K>>Кажется я поймал какой-то мощный, неизвестный науке вирус. Его не обнаружил даже Kaspersky Rescue Disk 10, запущённый из под флешки. В диспетчере задач по и дело появляется процесс "opera.exe" размером 22МБ. Я написал в поддержку Касперского и DRWeb, но долго ждать. Прошу совета.
F>А в чем проблема найти файл этого процесса и прибить? F>Берешь обязательный набор — sysinternals от (уже) майкрософт. F>Диспетчером Process explorer убиваешь процесс. Если он пересоздается, смотришь, кто его создает. Если нужно, сначала суспендишь процесс.
Как узнать, кто его создаёт (я вообще чайник)? В Process explorer у него parent — <Non-existent Process>(904).
"Ты должен сделать добро из зла, потому что его больше не из чего сделать." Р.П. Уоррен
Здравствуйте, Khimik, Вы писали:
K> Как узнать, кто его создаёт (я вообще чайник)? В Process explorer у него parent — <Non-existent Process>(904).
Это означает, что процесс, который его создал, уже закрыт. А когда процесс был жив, его PID был 904
Тот самый opera.exe убить можно? Если ему Kill process сделать, он закрывается? Файл opera.exe удалить получается?
Здравствуйте, fuyant, Вы писали:
F>Здравствуйте, Khimik, Вы писали:
K>> Как узнать, кто его создаёт (я вообще чайник)? В Process explorer у него parent — <Non-existent Process>(904).
F>Это означает, что процесс, который его создал, уже закрыт. А когда процесс был жив, его PID был 904 F>Тот самый opera.exe убить можно?
Да. >Если ему Kill process сделать, он закрывается?
Да. >Файл opera.exe удалить получается?
Да, после того как сделал kill process.
Как бы мне найти процесс, который его создал?
"Ты должен сделать добро из зла, потому что его больше не из чего сделать." Р.П. Уоррен
Здравствуйте, Khimik, Вы писали:
K>Кажется я поймал какой-то мощный, неизвестный науке вирус. Его не обнаружил даже Kaspersky Rescue Disk 10, запущённый из под флешки. В диспетчере задач по и дело появляется процесс "opera.exe" размером 22МБ. Я написал в поддержку Касперского и DRWeb, но долго ждать. Прошу совета.
Нужно взять что-нибудь типа sysinspector'а (http://kb.eset.com/esetkb/index?page=content&id=SOLN762) и пройтись по всей красноте в отчете на предмет неопознанных стартующих процессов и служб + заглянуть в запланированные задачи, возможно что-то есть там. Еще лучше — сохранить полученный отчет и выложить тут.
Здравствуйте, Khimik, Вы писали:
K>Как бы мне найти процесс, который его создал?
Запускаешь Process Monitor из тех же утилит Руссиновича, настраиваешь фильтры, включаешь Boot Logging, перегружаешься. Если фильтры настроил правильно, в логах будет все что надо.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
