-
Junior Member
- Вес репутации
- 49
Rootkit? Вирус?
Некоторое время назад комп стал создавать ну просто нереально огромный траффик. Компьютер рабочий, на ночь не выключается. Траффик возникает ~через полчаса после окончания интерактивной деятельности. В основном хождение по поотам 80 и 400-му какому-то (стандартному). По совершенно левым адресам.
Попробовал поставить трекер. Тот отследил, что весь траффик создается из ядра.
Попробовал прогнать с чистых CD DrWeb и Касперского. Вроде ничего не нашлось. Поставил самого Касперского : Периодически стал ругаться фаервол о попытках системного сервиса сходить "налево". Запретил нафиг - вроде все утихло.
Прошел месяц, система стала падать в BSOD. Падение в некоем загадочном 'vuzcvo.sys'. Попытки посмотреть дали одно - файл размера 840192 (подозрительно велик для драйвера). Попытки просмотра содержимого - access denied. Попытки поправить ключи в registry про прогрузку этого драйвера - access denied. Попытка со стороннего LiveCD переименовать файл привели к состоянию полной неработоспособности, перестановка системы (WinXP) путем выбора опции 'repair' не помогли.
Система переставлена с нуля. От старой остались файлы, заодно выяснилось еще один загадочный "драйвер" 'zcoaccs.sys' тоже размером 565248. Что первый что второй лазит по ядру и спискам процессов (по import-таблице видно).
Попытки поиска во инету пока неудачные (имена такие никто не знает). Может, у кого есть еще какие ассоциации?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Вам сюда. Делайте логи, будем разбираться.
I am not young enough to know everything...
-