Начало.
Вчера была блокирована попытка куда-то отправить данные от файлика *.tmp, после чего примерно через час внезапно стал печатать принтер, пустые листы бумаги, пока я не вынула лоток из принтера. размер отправленного файла на печать был около 700 кб.
Предположив, что это очередная гадость из Documents & Settings / %User% / Local Settings / Temp, я полезла туда через Total Commander.
При открытии этой папки в командной строке тотала появилась длинная надпись testtesttesttesttesttest.....
В дальнейшем эта надпись появлялась также при открытии local settings / temp из других учетных записей, в той раскладке, в которой была клавиатура (то есть иногда и еусееусе).
Из установленной защиты: лицензионный DrWeb 5.0 и Agnitum Outpost firewall с закончившейся лицензией. Еще набор утилиток есть на флешке с физической защитой от записи, откуда я поначалу все и запускала. Позже рискнула и скачала свежие версии и cure-it, и avptool, и остальное. Эти вложения сделаны уже с харда, свежескачанные версии.
Буквально на первой же перезагрузке после начавшихся проблем DrWeb остался как процесс в памяти, а значка в трее не было, и несмотря на включенную самозащиту, внутри его .ini были заданы правила на сканер и на гвард "по маске", при этом в исключениях стояли все эти же маски. В общем, я его удалила, и попыталась в безопасном режиме поставить 6-ю версию, но не получилось.
Мои действия: чистила кукисы, кэши, убивала все внутри папок temp вручную и с помощью тех же avz и средств виндовса, смотрела глазами свежие файлики и файлики с незнакомыми названиями в корне, в system32, dllcache, drivers, сканировала avz, hijackthis, cure-it, avptool.
И не просто смотрела, а все подозрительное, незнакомое и свежее по дате убивала или переносила. Утилиты нашли только парочку троянов, но симптомы продолжались.
Продолжение симптомов.
Так как я сразу начала действовать, то возможно, что-то смогла прибить, но не убить окончательно.
Что возникало во время моих попыток вылечиться:
- периодически в папке local settings / temp появлялись левые файлики с разными расширениями, неубиваемые вручную. Примерно через пару минут они исчезали, появлялись новые. Были и dll, и tmp, и просто без расширения.
- Незнакомая dll в процессе svchost
- запрет на запуск программ (того же DrWeb) из-за политики с труднопроизносимым названием (Доступ к C:\PROGRA~1\DrWeb\spiderui.exe был ограничен Администратором по расположению правилом политики {f856c4ac-9853-4bef-83a8-bc9259607d61}, расположенной в C:\Program Files\DrWeb)
- в просмотре событий начало появляться "Не найдено описание для события с кодом ( 1903 ) в источнике ( HHCTRL )." Может, это и не относится к теме, но кажется, такого раньше не было...
- avz и hijackthis с компа не хотели запускаться, спасало то, что на флешке они заранее были переименованы для такого случая
- самостоятельно при перезагрузке включалось восстановление системы
Что осталось теперь на текущий момент:
- каждый 2 минуты на принтер идет печать, файлик без названия, размером 66 байт. Лоток я уже задвинула - но собственно печататься он не хочет, только очередь занимает.
- по-прежнему ограничение политики на запуск некоторых программ, типа DrWeb полной версии, но пишет уже другое - Установка "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\{8DBBD328-DEAE-43D0-AFD6-42069EBA582B}\drweb-600-win-x86.msi" не разрешена из-за ошибки при обработке политики ограниченного применения программ. Объекту нельзя доверять.
Есть подозрение на Скайп, либо на Voxtel, это телефонная трубка для разговора по скайпу.
Апдейт. Пока я все это писала, очередь на принтер кажется закончилась )) За последние 10 минут ни одного нового файлика печататься не собирается..
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Антивирус установился.
Но принтер все-таки хочет печатать и печатать, и еще, забыла - комп корректно не перезагружается, а зависает на "завершение работы Windows...".
За прошедшее время:
- убит принтер, после перезагрузки нашелся сам обратно
- проверка гмером вроде ничего странного не показала, хотя я там еще не все понимаю ((
- с hhctrl все понятно - это проделки drweb
- убит аутпост, поставлен новый drweb с наворотами (security space pro, лицензия позволяет)
- заодно восстановила службу логических дисков (это была старая проблема) и проверила все chkdsk, после такого-то..
Итоги: комп перезагружается нормально, а принтер все еще шалит - причем раз от раза - после одной перезагрузки все хорошо, после другой - снова эти очереди печати, файлики уже по 87 байт...
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: