Вычистить следы mediaget из реестра, а также попытаться разобраться в причинах bsod

**катя коровина** · 13.12.2015, 14:54

Доброго времени суток! Дано: Win7 Home, дефолтный антивирь bitdefender (лицензионный), все критические обновления устанавливаются. Время от времени замечаю левые dns, прописанные в роутере, при том что никакой внешней активности незаметно, ничего не никуда не заходит, ничего не блокирует. Ок, удаляем, возвращаем дефолтные от провайдера, меняем пароль на админку. Через какое-то время случайно снова обнаруживаю левые dns. Так уже было несколько раз. А недалече как сегодня с утра комп, после месяца беспрерывной работы (надо сказать, достаточно интенсивной работы, прям горяченный стал за это время, а руки до пылесоса так и не дошли) при скачивании торрента вдруг начал брыкаться и заявлять, мол, не вижу я куда файл скачивать, перехешируй! Ок, перехешировала раз, два, десять, сто... ошибка вылетала через каждые скаченные 2-5мб. Полезла выяснять что это такое - ничего схожего с описанными в инете причинами у себя не нашла. Но обратила внимание, что у одного раздающего был клиент mediaget2, а про него многие пишут - троянская программа, рассылает блоки-пустышки, тупо забивает трафик. И здесь я вспомнила, что около месяца назад сама скачивала эту программу, она ещё переписала под себя все аудио и видео форматы, сцобака такая. Ну что, прогу я удалила ещё тогда, а файлы переназначить на родные программы тогда руки не дошли. Интереса ради решила запустить поиск в реестре по этому медиагаду - охренела, причём нисколько от того что он прописался почти во все медиа- файлы как исполняющая программа, сколько от того что он прописался (или создал?) кучу веток, где указаны параметры udp и tcp, с которыми он работает и частота отправки запроса. Пока АВЗ искал по реестру, я решила переназначить исполняющие программы для медиа- файлов. В этот момент обратила внимание на подозрительно высокую и длительную загрузку процессора. Пошла в диспетчер задач, выяснилось, что это дело антивируса. Но он был в фоновом режиме, с чего вдруг? Открываю антивирь - висит намертво. И тут бац, происходит первый bsod с последующей принудительной проверкой жёсткого диска (про медиагада встречала информацию, что он чуть ли не перемещает фрагменты файлов по своему усмотрению без ведома системы, что в итоге может приводить к падению). Проверка прошла успешно, никаких бэдов не обнаружено. Вхожу в учётку, загружаются программы из автозагрузки и снова в диспетчере вижу загруз антивиря, после чего появляется аж два сообщения о невозможности найти(?) несколько антивирских файла. На этом месте комп во второй раз ушёл в bsod, но уже без проверки диска. На третий раз я уже зашла через безопасный режим - пустил, ничего не глюкануло. Посмотрела какой драйвер привёл к падению - RTSUVSTOR.sys если правильно понимаю, отвечает то ли за питание, то ли за юсб-контроллер и карт-ридер. Толком ничего не нагуглила, единственное, что зацепило внимание - предположение на одном форуме, о проблеме с материнкой (собственно, мой перегрев, как вариант). Выключила комп на полчаса, дала немного остыть. Пока живём. Далее пошла сканировать Каспером, Доктором Вебом - чисто; МВАМ - чисто; Adwcleaner - кое-что нашёл, удалено, лог после очистки прилагаю; и делать логи для форума.
Собственно, задача минимум: вычистить следы медиагада из реестра (делать это ручками я не рискну); задача максимум - выяснить откуда bsod и не связан ли он с брыканием торрент-клиента во время скачивания.
В комплект входят: 1) 2 лога АВЗ; 2)hijackthis; 3) 2 минидампа от сегодняшнего числа; 4) экспорт найденных веток медиагада в реестре через АВЗ; 5) кусок журнала событий, начиная с момента первого падения rghost.ru/private/7ysLK8WpP/0c97e55bf62676d932e6d0eaa295c499 6) отчёт adwcleaner после удаления.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 13.12.2015, 14:56

Уважаемый(ая) катя коровина, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**катя коровина** · 15.12.2015, 03:28

Ну вот, а теперь ещё и ВК денег хочет, чтобы восстановить доступ к страничке

(( host чист, в исходнике полный бред - идёт явная подмена страницы. Антивири, АВЗ молчат. Подмена идёт во всех браузерах на всех акках. При вводе номера телефона, приходит смс от 6969 и хочет 100 рублей.

С ВК разобралась при помощи adwcleaner, пароль то роутера сменила (uplevel). В логах заметила массовую попытку взлома пароля. Помню, на предыдущих роутерах в жизни такого не было. Что делать, как настроить фильтр или какую-то другую защиту? Прошивка последняя.

**Vvvyg** · 15.12.2015, 08:38

Возможно, существует уязвимость в роутере, которая даёт возможность удалённого взлома.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

**катя коровина** · 15.12.2015, 11:10

Сделано. Огромное количество замечаний "сертификат отсутствует" при сканировании, говорит о необходимости переустанавливать ОС?
Как выяснить наличие уязвимости в роутере? В сети рекомендуют сменить порты и shh, но я так и не нашла как это сделать с пользовательской стороны. Похоже, это меняется через root, а как туда войти, я не знаю.

**Vvvyg** · 15.12.2015, 12:12

Сообщение от катя коровина

Огромное количество замечаний "сертификат отсутствует" при сканировании, говорит о необходимости переустанавливать ОС?

Нет, всего лишь о наличии софта с просроченными или отсутствующими сертификатами. Можно обновить программы, драйвера - но не критично.

Сообщение от катя коровина

Как выяснить наличие уязвимости в роутере? В сети рекомендуют сменить порты и shh, но я так и не нашла как это сделать с пользовательской стороны. Похоже, это меняется через root, а как туда войти, я не знаю.

Можно просканировать снаружи специальной программой. Посмотрите в роутере, какой внешний ip адрес ему выдан и сообщите мне в личном сообщении.

**катя коровина** · 15.12.2015, 13:00

Отправлено.

**Vvvyg** · 15.12.2015, 14:34

В личку написал, что с роутером всё плохо.
В остальном я серьёзных проблем не вижу.

**катя коровина** · 15.12.2015, 14:46

По каким признакам можно понять, насколько надежную защиту обеспечивает роутер? Моделей много, марок еще больше, как выбрать то что нужно? Знаю, у cisco хорошая защита, но они вроде бы, не делают роутеры для домашнего пользования. А вообще, и смех, и грех - как только появились подозрения на взлом, резко уменьшилось количество падений и разрывов линка

особенно в непогоду.

**Vvvyg** · 15.12.2015, 15:30

Сообщение от катя коровина

Знаю, у cisco хорошая защита, но они вроде бы, не делают роутеры для домашнего пользования.

После поглощения LinkSys - делают. Подключение по ADSL?

**катя коровина** · 15.12.2015, 15:59

adsl.

Правильно ли понимаю, Вы рекомендуете искать только linksys, остальные модели вскрываются за мгновения? Но я в сети более 10 лет, сменила 5 модемов, хаккать пытались только вот этот, хотя активную виртуальную жизнь вела всегда. Совпадение или у d-link и trendnet защита лучше?

**Vvvyg** · 15.12.2015, 16:25

Эти два тоже дырявые, LinkSys периодически ловят на уязвимостях. Zyxel Keenetic DSL рекомендую, недёшев, но надёжен и универсален, поддерживает подключение и по Ethernet, и через 3G/4G модемы.

Вычистить следы mediaget из реестра, а также попытаться разобраться в причинах bsod (заявка № 194421)

Опции темы