На днях сестра притащила с работы на флешке трояна (как я потом узнал, это был именно троян) на свой ноутбук. Как узнал: она вставляет флешку в ноут (на ноуте автозапуск всего отключен через MS PowerToys), и та вдруг пытается автоматом запуститься, потом выдает какое-то сообщение об ошибке. В менюшке по правой кнопке мыши появляется в первой строке какой-то дикий набор символов, но флешка вручную, через команду "Открыть" нормально открывается.
Что же мы видим на флешке? В корне лежат новые файлы с атрибутами "скрытый" и "системный":
autorun.inf - прописана ссылка на файлы автозапуска (насколько я понимаю, для запуска процедуры распространения)
flashrun.exe - тот самый файл, куда тыкается автозапуск
taskmgrs.dat - непонятно, что это
word.dat - опять же, непонятно, что за зверь.
Явно видно, что эти файлы несут в себе нечто нехорошее и для здоровья системы, очевидно, вредное...
Вставляю флешку в стационарный комп и натравливаю на него NOD32 2.70 c базами от 08.08.2007. NOD32 находит некий Win32/Agent троян и лечит его, удаляя те файлы, о которых выше. И вроде все в шоколаде.
Сестра вставляет флешку в ноут, и через 15 минут, после ее отключения и подключения снова, опять обнаруживает ту же фигню. Ладно, думаю, найду я этого трояна и убью самым жестоким способом. Ставлю на ноут NOD32... И он ничего не находит! На флешке трояна видит. На ноуте - ни в какую. Я в непонятках.
Начинаю применять самый надежный способ - голова и руки. Смотрю процессы. Вижу taskmgrs.exe, убиваю, поиском нахожу его в %System% (C:\WINDOWS). Вижу рядышком flashrun.exe и svchost.exe плюс еще пару левых файлов с атрибутами "скрытый" и "системный". Всем явно здесь не положено находиться. Все удаляются и более поиском нигде не находятся. Кроме svchost.exe - ошибка доступа.
Делаю вывод: прописался сервисом. Непродолжительный поиск в реестре дал выход на ветку HKLM\System\ControlSet001\Services, где эта зараза прописала себе целый раздел под названием Aoto-чего-то-там (точно не запомнил). После удаления раздела и перезагрузки искомый файл благополучно был снесен и больше не беспокоил своим присутствием честное человечество.
Господа специалисты, не казните ламера и ответьте на вопрос: все ли правильно я сделал?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Не понял юмора, вы читали правила через строчку в темноте ?
почему базы AVZ не обновлены и почему куча программ работало во время исполнения скриптов ? читайте правила ещё раз и делать логи заново .
кстати, что это за Tppwrif.sys в системной папке висит?
Не забудьте выполнить 2 пункт правил, для вас обязательно.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: