Предистория (читать не обязательно)
Поймал на одном нехорошем сайтене скажу каком кучу всякой заразы. (антивируса штатного нет, монитора нет, как то оно раньше и не нужно было... обновления виндовые качаются, файрвол - виндовый брендмауер) есть сторож реестра. Строж реестра нашёл 7 строчек в разделах автозапуска, на самом деле думаю было больше. Попытался быстро отрубить Инет и вычистить всё ручками. Вычистил много, но увы, сделал только хуже. Комп стал полуживой. Запускался в 10-20 раз медленнее,при запуске находит какое то неизвестное устройство без роду без племени, Инет отвалился (надежда на помощь в вирус-инфо пропала), звуковуха отвалилась, что-то ещё там отвалилось, уже и не помню... на панели задач собственно самих задач то и нету. AVZ свой список процессов не показывает - виснет. В защищенном режиме та же фигня. Похоже эта хрень жила где-то на уровне системных служб и драйверов. Были некоторые странные левые службы с англоязычными названиями.
Мучался, мучался, отнёс на работу. Лечил там на чистой машине Cureit-м. Принёс домой, всё равно комп полуживой. Поставил заново винду. 3-4 часа развлечения... Установка помогла.. ровно до первой обычной перезагрузки. Через перезагрузку все прелести вернулись. Мля... Махнул рукой.
История (можно уже читать)
Решил поставить винду заново на новом диске (давно пора уже было...купил на Савёлове новый диск). Поставил. Подключил Инет.
Итак имеем WinXP SP2 + IDE driver + Sound driver. Обновления видовые скачались (вроде все), проверка подлинности была послана вдаль. Всё. Больше ничего пока не ставил. Брендмауэр включён. Озаботился наконец вопросами безопасности. Стал читать умные слова. По шпаргалке на сайте провайдера снёс MS файловые службы и DCOM из-за их дырявости. Ну думаю всё... ща всё аккуратно сделаю и заживу как белый человек. Поставлю себе фаервол, Оперу (ну к лешему этот IE с его дырами). Мда... Любопытство и "хочу всё знать" про дыры в DCOM и про популярные виды атак завели на сайт hackzona.ru. Похоже словил каую то хрень на этом милом сайте. В общем IE заблокировал авто-загрузку какого то файла, но видно как то криво, похоже что-то просочилось. После очередной перезагрузки было "найдено" неизвестное устройство
Итак, видимые симптомы:
Неизвестное устройство в диспетчере устройств без имени и прочих атрибуров. Видна хочет при загрузке найти драйвера для него. На вкладке Сведения видим параметр Код экземпляра устройства=ROOT\LEGACY_AVZRK\0000. Глаз зацепился за "AVZ". Хм...
В процессах иногда появляются по непонятным причинам mcc.exe, msdtc.exe, dllhost.exe, хотя никаких видимых окон консолей не наблюдается.
Во время загрузки и завершения работы появились небольшие паузы (хотя возможно просто параноя)
Когда я написал это письмо до этой строчки (в окне формы на сайте вирус-инфо) текст письма был странным образом уничтожен. Это второй вариант письма. Поймать бы гниду и...
(Возможно фигня и параноя) В Program Files есть три пустые папки microsoft frontpage\version3.0\bin, xerox\nwwia, msn gaming zone\windows которы не хотят никак удалятся - заняты какими то процессами.
Из-за гигантского слива времени в унитаз у меня выпал один важный проект... Хочется уже вешаться. Поможите люди добрые.
Последний раз редактировалось A4'; 06.05.2007 в 23:09.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Что же тогда происходит? Есть хоть какая то версия? Может быть у меня просто проблемы с железом? Как это проверить и отсечь? Если это был троян... мог он уйти и скрыть следы своего присутствия?
Бывают самоудалющиеся трояны, но это скорее относиться к пинчу.
Может быть руткит, который тщательно скрывается, но скорее всего это или проблемы с железом, или последствия криво удаленных вирусов (скорее всего именно этот вариант).
Бывают самоудалющиеся трояны, но это скорее относиться к пинчу.
Может быть руткит, который тщательно скрывается, но скорее всего это или проблемы с железом, или последствия криво удаленных вирусов (скорее всего именно этот вариант).
Нет никаких криво удалённых вирусов. Всё ставилось на отформатированный диск, заражённый диск лежит в сторонке до него дело ещё не дошло. Куды ж бечь то? Значит бояться пока нечего? Можно попробовать удалить это устройство и расслабиться?
Удалил. Перезагруз. Всё тихо. Нет больше неизвестных устройств.
Хм... А не могло это быть попыткой атаки? Схема такая: как то добавляем строчку в файл Hosts подменяющую winupdate, потом каким то споособом "создаём" левое устройство, виндовс инсталер лезет на липовый winupdate и ловит там заразу. Или это слишком сложно?
Ща буду уже фаерволл ставить. Хватит с меня приключений...
Если у меня стоял (и ушёл) троян, то чего мне следует бояться? Он скорее всего знает мои пароли. Но что это ему даст? Зайти на мой комп он вроде бы не сможет. Или я не прав? DCOM (и удалённый доступ) у меня отрезаны напрочь. Кстати кнопка "Удалённый доступ" с некоторго времени стала заблокированной. Я связал это с блокировкой DCOM. Это так и есть?
Угу, вижу. И... собственно что? Как это трактовать? Это баг AVZ? Реакция XP на какие то функции AVZ? Разжуйте плиз если знаете...
и кстати... а вот это:
"В процессах иногда появляются по непонятным причинам mcc.exe, msdtc.exe, dllhost.exe, хотя никаких видимых окон консолей не наблюдается."
мне же это не приснилось. значит что-то было.
Последний раз редактировалось A4'; 07.05.2007 в 00:32.
Схема такая: как то добавляем строчку в файл Hosts подменяющую winupdate, потом каким то споособом "создаём" левое устройство, виндовс инсталер лезет на липовый winupdate и ловит там заразу. Или это слишком сложно?
Возможно.
Если у меня стоял (и ушёл) троян, то чего мне следует бояться?
аська всё равно зло =)
а почта... да он сможет написать несколько писем от моего имени или сменив пароль закрыть мне доступ к ящику. По моему чепуха. Этим не заработаешь. А пароли на почту которые храняться в... (где то в почтовом клиенте) легко ломаются?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: