Вчера приблизительно в час ночи просто сидел в браузере, ходил по bittorrent сайту какому-то (название тоже что-то вроде bittorrent.com или как-то так), всё было нормально, пользовался браузером, параллельно отписывался в скайпе и т.п., в общем ничего необычного не делал. Время было около часа, я просто открывал различные раздачи на торрентах, закрывал появляющиеся пару окон с рекламой, вернее рекламы там небыло, они были просто пустые (белые), хотя потом я скажу ещё об этом. В общем внезапно, закрыв очередное (приблизительно 2-е) по счету открывшееся пустое окно отвлекся от браузера, т.к. увидел сообщения от process hacker (он всегда у меня запущен, я таким образом мониторю процессы и т.п.), вернее это оповещения. Их было где-то 5 штук, появились по очереди и их содержание было: "Service $имя_сервиса has been deleted", я не знаю хранится ли где-то история оповещений process hackera, поэтому не помню наизусть что там было. Я сразу начал думать - в чем дело, как так? Поскольку ничего я не скачивал в этот момент, т.е. я ничего подозрительного вообще не скачивал этим вечером, ничего не запускал, а тут вдруг поудалялись сервисы какие-то. Я начал думать и в течении 15 секунд где-то сразу вылетел краш Mozilla Firefox, попробовал его перезпустить - какой-то необычный краш, поскольку он писал, что никак не может запуститься, разве что предлагал в безопасном режиме безо всех плагинов и дополнений (у меня из дополнений в основном стояли типа adblock plus, flashblock, videodownloadhelper и т.д.). С n-го раза я запустил браузер, причем он стал как-то безбожно тормозить, сайты стали грузиться медленнее, тот же vk.com работал в 4 раза медленнее, а google... Ну... Если заходить на google.ru и писать запрос - работал, но если писать запрос в этом маленьком textboxe возле строки с URL - выдавало ошибку и ничего не искало. Я подумал, что может что-то глюконуло и после перезагрузки будет ок. Посидел ещё минут 5-10 и пошел спать. Кстати в чем ещё особенность.. Я тогда перед сном музыку слушал и когда я её запустил (уже после того, как заметил проблему) - звук искажался периодически, т.е. как бы хрипел, как помеха будто, периодически... Я в тот момент сразу это заметил, раньше такого небыло. Перезагрузил компьютер, бутнулся под Arch Linux (дуалбутом стоит), там всё отлично воспроизводит, ну я понял, что проблема значит это с виндой и пошел спать.
Проснулся утром и начал разгребать то, что получилось...
В общем как только зашел на пользователя - открыл process hacker (как всегда), и заметил, что некоторые svchost (коих обычно много, но они обычно отсортированны в ветке дочерних от services.exe), а тут пару svchostов рассположены в ветке explorer.exe - это насторожило + ещё сервис центра обновлений тоже там же находился... Я думал, что это какие-то файлы с похожими именами, лежащие в других папках, проверил процессы, но это всё был тот же svchost, лежащий в %WINDOWS%\system32\ и описание у всех вроде бы было "настоящим", ну т.е. "Хост процесс Windows" и т.д.
Я подумал, что ладно, и пошел удалять процессы, которые я иногда удаляю, например sqlservr.exe, sqlwriter.exe, когда мне это не нужно я их каждый день выключаю и это норма. В общем на рефлексах выделяю их, нажимаю delete - краш process hackera, запускаю, опять повторяю - краш process hackera... И в чем прикол... Когда наживаю delete, то вылезает же это диалоговое окно с вопросом уверен ли я, что хочу удалить, причем окно это появляется пустым, текста в нем нету, и успевает прорисоваться только кнопка: "cancel" и тут же сразу краш process hackera. Я открыл explorer и попытался просто удалить какой-то любой файл (текстовый, обычный файл), нажал delete - то же самое!
Тогда я решил удалить те лишние, подозрительные пару процессов в process hackere, которые svchost.exe в ветке explorer.exe и ещё там один - типа обновлений. Удалил я их через выделение правой кнопкой мыши -> Terminate и... краш не состоялся =О , т.е. появилось то же самое окно с вопросом о том, уверен ли я в удалении и т.п. Как только удалил их - остальные нормально через delete уже удалялись и всё было хорошо. Запустил трэк послушать, уже никаких искажений небыло. Подумал, что ничего серьезного, открыл msconfig (думал, что там прописалась какая-то глупость, мол удалю и всё будет дальше ок), там был процесс, лежащий в ...\AppData\Roaming\... назывался он как-то бессмысленно, как будто набор английских букв, одни большие, другие - маленькие, exe файл, я его решил убрать, т.к. понял, что это и есть наверное тот вирус. Клацнул по чекбоксу - он снова checked стал, снова убрал - через секунду он снова поставился... =О.. С другими процессами в списке - всё было нормально, они ставились и убирались.
Поэтому я просто взял, зашел по тому пути и удалил этот файл.
Перезагрузился - зашел на пользователя... И ничего не запускалось.. Ничего. Я 5 раз клацал на Mozilla Firefox, на Process Hacker - просто мигнули, как будто грузятся и всё... Через минуты 2 они все разом запустились и вылетело окно, что этот экзэшник не найден, ну видимо в автозагрузке он остался, вот поэтому искал его при запуске и система висла.
Запустил HiJackThis - увидел там этот пункт, выбрал его + нашел ещё один подозрительный файл, его название было что-то вроде mspospf.sys, как-то так, решил загуглить что это - вообще ничего не нашло, ну я и его выбрал, Fix Checked и думаю, мол всё, можно быть спокойным. Слушаю трэки, дальше работаю, думаю - ну ладно, перезагружусь, проверю, наверное всё пофиксил.
Перезагрузился - снова так долго виснет, зашел в msconfig, а там уже 2 одинаковых пункта ! И все с названием этого файла, которого я удалил, зашел в ту папку - этот файл там снова создался o_O.
Опять запускаю HiJackThis - там снова эти пункты присутствуют, как так, я ж их пофиксил?
Скачал новый avz, просканировал всё, перезагрузился - тот же результат.
Опять запустил avz, зашел в Services->Startup, нашел там эти 2 записи, убрал там их - а там тоже чекбоксы не убираются! У всех остальных убираются, а у этих 2х ребят - нет. В общем сидел я там как-то долго, убирать пытался, потом зашел по пути, где лежал второй подозрительный файл, он лежал где-то \PROGRAM~1\LOCAL~2\ , где-то там... Удалил, перезагрузился - вроде бы всё норм.
Подумал, что норм и дальше сидел занимался своими делами...
Вдруг меня стало как-то напрягать тот факт, что Mozilla Firefox не ищет ничего, если юзать тот textbox быстрого поиска возле строки с URL... Я пригляделся в текст ошибки, который он при этом выдает, а там текст что-то вроде: "Прокси-сервер отказывается принимать соединения". И я сразу думаю: "WTF? У меня нет никакого прокси-сервера", зашел в настройки фаерфокса -> Сеть смотрю... Обычно там выбран radiobutton "использовать системные настройки", а тут вдруг стоит на radiobutton "URL для автоматической настройки прокси-сервера" и указан адрес: "http://sedard.com/hKkfHer2/proxy.pac"
Я поставил на то, как обычно стояло - "Использовать системные настройки" и браузер сразу по-человечески заработал.
Зашел на этот sedard.com и вспомнил, что именно туда меня и перебрасывало днем прежде, когда начались эти проблемы... Это и есть тот сайт, который показывал просто белое окно и как будто ничего не происходило, а на фоне, должно быть, выполнялся какой-то скрипт. По ссылке "http://sedard.com/hKkfHer2/proxy.pac" я не заходил на всякий случай.
Причем я заметил, что каждый раз при запуске браузера настройки сбиваются именно в такие,я даже в about
:config менял, но после перезапуска они снова на неправильные меняются.
Ну а так я подумал, что пробелма решена...
Вечером мне позвонил друг в скайп, мы с ним общались и я заметил опять эти искажения звука... Затем он попросил сыграть с ним (и моим братом), в общем решили мы вместе через Steam поиграть в Dota2, мы так делаем иногда. И тут может оффтоп, но он нужен для объяснения проблема. Играя в доту игра начала тормозить, намного хуже работала, чем обычно, решил проверить fps... Оно было в среднем 22... И это очень странно, т.к. всегда, всё время, которое я раньше играл в dota2 оно всегда было около 50, при том, что даже на фоне работал и скайп и браузер и MS Visual Studio.. А тут, даже без всего этого, оно еле выдавало 25-27... Это меня напрягло, я подумал, что всё из-за этого вируса.
Решил снова попробовать удалить через avz -> services -> startup, там из подозрительных остался только тот, что я удалил, который лежал в \PROGRAM~1\LOCAL~2\, но ключ этот там ещё был, я посмотрел путь в реестре к нему, этот путь был приблизительно такой HKCM\...дальше_не_помню(не могу сказать сейчас точно, т.к. потом расскажу почему)...\Policies\Explorer\Run\ и тут этот ключ лежал, где был прописан этот путь. Я пытался удалить ключ - он не удалялся, писал, что невозможно удалить, отредактировал разрешения к нему и удалил.
Ребутнулся.
После ребута.. Не запускается ни одно приложение, которое требует прав администратора.
msconfig - "Отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав доступа к этому объекту. ", avz - аналогично, regedit - аналогично, cureit - тоже. cmd - запускается, но если попробовать "Запустить от имени администратора" - аналогичная ошибка, hijackthis - тоже не запускается.
Пошел я в безопасный режим - там запускается всё, сделал скан cureit, лог добавлю во вложениях.
Лог HiJackThis - тоже прилагаю.
Лог avz... У меня нету там пунктов как в мануале, и вообще он у меня на русском, скачал самую новую версию. Поэтому выполнил скрипт под номером 3, результаты тоже прилагаю..
Скрыть