-
Junior Member (OID)
- Вес репутации
- 33
Вычистить следы mediaget из реестра, а также попытаться разобраться в причинах bsod
Доброго времени суток! Дано: Win7 Home, дефолтный антивирь bitdefender (лицензионный), все критические обновления устанавливаются. Время от времени замечаю левые dns, прописанные в роутере, при том что никакой внешней активности незаметно, ничего не никуда не заходит, ничего не блокирует. Ок, удаляем, возвращаем дефолтные от провайдера, меняем пароль на админку. Через какое-то время случайно снова обнаруживаю левые dns. Так уже было несколько раз. А недалече как сегодня с утра комп, после месяца беспрерывной работы (надо сказать, достаточно интенсивной работы, прям горяченный стал за это время, а руки до пылесоса так и не дошли) при скачивании торрента вдруг начал брыкаться и заявлять, мол, не вижу я куда файл скачивать, перехешируй! Ок, перехешировала раз, два, десять, сто... ошибка вылетала через каждые скаченные 2-5мб. Полезла выяснять что это такое - ничего схожего с описанными в инете причинами у себя не нашла. Но обратила внимание, что у одного раздающего был клиент mediaget2, а про него многие пишут - троянская программа, рассылает блоки-пустышки, тупо забивает трафик. И здесь я вспомнила, что около месяца назад сама скачивала эту программу, она ещё переписала под себя все аудио и видео форматы, сцобака такая. Ну что, прогу я удалила ещё тогда, а файлы переназначить на родные программы тогда руки не дошли. Интереса ради решила запустить поиск в реестре по этому медиагаду - охренела, причём нисколько от того что он прописался почти во все медиа- файлы как исполняющая программа, сколько от того что он прописался (или создал?) кучу веток, где указаны параметры udp и tcp, с которыми он работает и частота отправки запроса. Пока АВЗ искал по реестру, я решила переназначить исполняющие программы для медиа- файлов. В этот момент обратила внимание на подозрительно высокую и длительную загрузку процессора. Пошла в диспетчер задач, выяснилось, что это дело антивируса. Но он был в фоновом режиме, с чего вдруг? Открываю антивирь - висит намертво. И тут бац, происходит первый bsod с последующей принудительной проверкой жёсткого диска (про медиагада встречала информацию, что он чуть ли не перемещает фрагменты файлов по своему усмотрению без ведома системы, что в итоге может приводить к падению). Проверка прошла успешно, никаких бэдов не обнаружено. Вхожу в учётку, загружаются программы из автозагрузки и снова в диспетчере вижу загруз антивиря, после чего появляется аж два сообщения о невозможности найти(?) несколько антивирских файла. На этом месте комп во второй раз ушёл в bsod, но уже без проверки диска. На третий раз я уже зашла через безопасный режим - пустил, ничего не глюкануло. Посмотрела какой драйвер привёл к падению - RTSUVSTOR.sys если правильно понимаю, отвечает то ли за питание, то ли за юсб-контроллер и карт-ридер. Толком ничего не нагуглила, единственное, что зацепило внимание - предположение на одном форуме, о проблеме с материнкой (собственно, мой перегрев, как вариант). Выключила комп на полчаса, дала немного остыть. Пока живём. Далее пошла сканировать Каспером, Доктором Вебом - чисто; МВАМ - чисто; Adwcleaner - кое-что нашёл, удалено, лог после очистки прилагаю; и делать логи для форума.
Собственно, задача минимум: вычистить следы медиагада из реестра (делать это ручками я не рискну); задача максимум - выяснить откуда bsod и не связан ли он с брыканием торрент-клиента во время скачивания.
В комплект входят: 1) 2 лога АВЗ; 2)hijackthis; 3) 2 минидампа от сегодняшнего числа; 4) экспорт найденных веток медиагада в реестре через АВЗ; 5) кусок журнала событий, начиная с момента первого падения rghost.ru/private/7ysLK8WpP/0c97e55bf62676d932e6d0eaa295c499 6) отчёт adwcleaner после удаления.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) катя коровина, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member (OID)
- Вес репутации
- 33
Ну вот, а теперь ещё и ВК денег хочет, чтобы восстановить доступ к страничке (( host чист, в исходнике полный бред - идёт явная подмена страницы. Антивири, АВЗ молчат. Подмена идёт во всех браузерах на всех акках. При вводе номера телефона, приходит смс от 6969 и хочет 100 рублей.
С ВК разобралась при помощи adwcleaner, пароль то роутера сменила (uplevel). В логах заметила массовую попытку взлома пароля. Помню, на предыдущих роутерах в жизни такого не было. Что делать, как настроить фильтр или какую-то другую защиту? Прошивка последняя.
Последний раз редактировалось катя коровина; 15.12.2015 в 07:34.
-
Возможно, существует уязвимость в роутере, которая даёт возможность удалённого взлома.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
-
-
Junior Member (OID)
- Вес репутации
- 33
Сделано. Огромное количество замечаний "сертификат отсутствует" при сканировании, говорит о необходимости переустанавливать ОС?
Как выяснить наличие уязвимости в роутере? В сети рекомендуют сменить порты и shh, но я так и не нашла как это сделать с пользовательской стороны. Похоже, это меняется через root, а как туда войти, я не знаю.
-
Сообщение от
катя коровина
Огромное количество замечаний "сертификат отсутствует" при сканировании, говорит о необходимости переустанавливать ОС?
Нет, всего лишь о наличии софта с просроченными или отсутствующими сертификатами. Можно обновить программы, драйвера - но не критично.
Сообщение от
катя коровина
Как выяснить наличие уязвимости в роутере? В сети рекомендуют сменить порты и shh, но я так и не нашла как это сделать с пользовательской стороны. Похоже, это меняется через root, а как туда войти, я не знаю.
Можно просканировать снаружи специальной программой. Посмотрите в роутере, какой внешний ip адрес ему выдан и сообщите мне в личном сообщении.
-
-
Junior Member (OID)
- Вес репутации
- 33
-
В личку написал, что с роутером всё плохо.
В остальном я серьёзных проблем не вижу.
-
-
Junior Member (OID)
- Вес репутации
- 33
По каким признакам можно понять, насколько надежную защиту обеспечивает роутер? Моделей много, марок еще больше, как выбрать то что нужно? Знаю, у cisco хорошая защита, но они вроде бы, не делают роутеры для домашнего пользования. А вообще, и смех, и грех - как только появились подозрения на взлом, резко уменьшилось количество падений и разрывов линка особенно в непогоду.
-
Сообщение от
катя коровина
Знаю, у cisco хорошая защита, но они вроде бы, не делают роутеры для домашнего пользования.
После поглощения LinkSys - делают. Подключение по ADSL?
-
-
Junior Member (OID)
- Вес репутации
- 33
adsl.
Правильно ли понимаю, Вы рекомендуете искать только linksys, остальные модели вскрываются за мгновения? Но я в сети более 10 лет, сменила 5 модемов, хаккать пытались только вот этот, хотя активную виртуальную жизнь вела всегда. Совпадение или у d-link и trendnet защита лучше?
-
Эти два тоже дырявые, LinkSys периодически ловят на уязвимостях. Zyxel Keenetic DSL рекомендую, недёшев, но надёжен и универсален, поддерживает подключение и по Ethernet, и через 3G/4G модемы.
-