Зравия желаю уважаемые доктора :)Маленькая предыстория. Как-то раз я словил банер на xp и после этого заморочился чуть-чуть безопасностью.Удалить банер мне помогли програмки из SysinternalsSuite (процесс эксплорер, тисипивью, процесс монитор).Я нашёл с их помощью файлы источники вирус-банера сделал резет компа и удалил их из доса.Я не програмер и глубоко не шарю в тонкостях винды, но поверхносные представления о работе железа, операционкии взаимодействии "агрегатов" в этой системе, имею. После банера почитал там сям обо всем понемногу. Прикрыл наглухо(как я думал до сих пор) вход на комп настройками и на вооружении оставил "тисипивью" (прога - графический аналог команды netstat). Програмки тестил все на вирустотале какие скачивал. Те, что большие старался брать из относительнонадёжных мест. Ну и наблюдал не лезут ли куда в процессе работы TCPвьюером, ну и вообще не происходит ли чего подозрительного на компе. Ещё авторанс (прога из того же набора - палит все автораны загрузки, ну кроме скрытых:) )использовал. Потом как-то решил, что все у меня уже хорошо настроено и чисто, и сделал образ гостом. И, вобшем,до сих пор, я при любых гемороях просто откатывал этот образ (уже кучу лет). Но вот недавно, когда вин7 кругомраспространился, возникла необходимость им пользоваться. А вместе с ним пришло одно маленькое беспокойство(ну активаторы это понятно) - Txf - новая фигня в новом драйвере нтфс. Разных баек почитал про это, но никтоэтот функционал с вирями не связывает (максиму одни буржуи пиняли, что своеобразная привязка к железу от мелких,чтоб на триале честно и бесконечно не сидели люди). Но попускав разные проги для восстановления файлов и главное руткитревелер (всё из того же набора прог) наткнулся на подозрительные для моего дилетантизма вещи:лог файлы по 10мегов,а на сиситемном с 7 вообще 360 - скрытые от доступа их виндов, и странное образование с годомсоздания 1601. И руткитревелер всё это подозревает. Там я прикрепил пример лога. И вот настал неприятный момент- случяйно заметил - зашёл в игру (сама она в инет не лазает, пока в ней не кликнешь, куда надо) и альттабнутьсяпонадобилось - и, я это увидел (там скрины есть тоже). Айпи погуглил - похоже русский. Повисел немного на игреконнект и перескочил на explorer.exe - там тоже чутка повисел, и пропал коннект этот. Никаких левых процессов,во время этого коннекта, не отображалось ни в таскменеджере, ни в процсс эксплорере. Хуже того - в процессмониторе - ни к каким левым файлам на диске обращений не было. Я все глаза проглядел в поисках. Заметил толькоодну особенность - когда стартуешь новый процесс (прогу, которая во время загрузки и до сих пор не запускалась)в процмониторе в колонке - thread (нить), в стеках thread creat и thread start (я не очень понимаю, что такое стэк,в данном случае - просто пользуюсь терминологией программы) появляется неопознаный процесс. Там скрины есть дляпримера. Я этот процесс ещё видел в логе загрузки от процмонитора, при обращении к 5 ключам реестра, кажется, носкрины забыл сделать. В остальном, всё спокойно на компе - как будто ничего и нету - работе системы ничего немешает.Да, ещё кое-что. Там скрин есть - показывает содержимое области памяти и скрин процмонитора - на ниходинаковый гуи идентификатор {кажется так эта хрень называется} - тоже случайно глазами высмотрел. Там на скринепроцмонитора похоже альт потоки НТФС (тоже фигова понимаю, что это) прилипли к локал сетингс.А на скрине изпамяти странный диск Х: и набор файлов, похожий на портативную винду типа ПЕ или Эмбидед (может я неверно трактую). Когда лазил в ИЕ в нете снова подымались конекты на айпи виря от инетэксплорера тока уже. Когда активно из ТСПвьюих дисконектил начинали менятся айпишки из тойже подсети, даже потом с другого совсем диапазона были - тоже русские.Откатил образ - не перегружаясь в 7, зашёл в xp - тоже самое.Откатил образ ещё раз (в нём этот Txf есть и ещёпинял на дллки адобовских шрифтов от когда-то стоявшего фотошопа они может или х3 - адмфд.длл вела себя странно - в винде не выгружалась) и постирал в досе этот Тхф и адоб-дллки - до загрузки после отката. Только странные фокусы с XP начались - прога для чистки реестра стала портить интерфейс эксплорера - раньше такого не было ни разу.Беда осталась. Постирал, поотключал всё лишнее - по логам хайжека думаю станет ясно, как стало. скачал курит иАВПтул. В сайфмоде как и сказано просканил. Курит - Курит в стороне. Каспер нашел чета на диске с 7 и обезвредилвроде. ребут в XP. Всё по старому.Я к этому моменту уже фаервол портативный скачал (могу прислать 3 метра весит)побанил в нем подсети руткита и ещё немного (свой блеклист у него на миллиард айпи). На портаблаппс.ком я его нашел (вирустотал сказал - 0(ноль) на него, если что). Сделал оффлайн, пустил каспера сканить - он там на уязвимости какие-то некритичные тока ругнулся,НО оставил, видимо, чтоб отправить чета себе в контору, невырубаемыйдрайвер заначку в системволюминформэйшн. Я его процесс эксплорером выгружать стал пытаться - он нивкакую, и тутзаметил ещё какой-то левый .сис файл прям рядом с дровами каспера. Читал где-то (может тут даже когда-то), чторуткиты, когда от антивирей прячутся - остаются в памяти только, подтирая все на диске. Ну я - резет питанием.Загружаюсь в XP (в 7 пока не был после отката). Игра перестала на тот ип ломиться (опа!). AVZ там нашла кучу.сисов (SCSI Miniport`ы в основном, с кривыми именами и все невидимые больше никак, кроме её лога) и пару неродных .exe (тоже хиден) - ну я на страничке в кнопки потыкал во все и скрипт этот выполнил - все стёрлись.В карантин не хотели никак - так что извините. Вобщем игры и эксплорер вроде остепенились, а браузер нет.пока сайты грузятся в логе фаера блоки видны, правда того 91 айпишника в них пока не было на из его подсети есть.А ща ваще с другой сети уже ко мне кто-то ломится (тоже русский айп). Походу ботнет! Вывод: раз ИЕ ломится в подсеть руткита - значит он ещё на компе. Тока в логе AVZ уже чисто.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) helptocatchPyTkuT, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Ещё тут вспомнил, не знаю из-за коцанного реестра или из-за руткита.Кароче, у меня линк на %ТМР% с рамдиска -
удобно - ребутнулся и там чисто, и пашет там всё пошустрее, благо памяти до предела. И поэтому стараюсь юзать
портативные проги. Понадобилось мне тут батник написать простенький (сложные не умею) для копирования файлов
туда в %ТМР%. Так вот в командной строке пишет, что скопировались, в эксплорере нет ничего. И ещё, когда текст
в блокноте или в CMD пишу, курсор перемещается на клавишу END не в конец слова в конце строки а пролетает вперёд
несколько пробелов.
Уважаемый(ая) helptocatchPyTkuT, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
