satinka Был в длительном дауне, ибо некоторые звери вывели меня из строя, а потом пошло-поехало. :)

Началось всё с того, что я купил базу каталогов у бесколесного, дабы пройтись по ней оллсабмиттером. Сижу, сабмичу, доволен жизнью и вообще в голове крутятся мысли о ниибацца каком приросте пузомерок…

И тут вылазит окошко антивирусника, сообщая мне, что оллсабмиттер выполнил некий скрипт, а он (антивирусник) его мастерски заблокировал. Ну, заблокировал бы и хрен с ним. Да вот как-то плохо он его заблокировал. Винда захрипела, застонала – и повисла намертво. Ушел в ребут. После ребута появились типичные признаки засевшего в системе троянца: заблокирован запуск экзешников, диспетчер задач, большая сетевая активность на 25 порту… Троянец, конечно же, был уже не один, он вытянул с нета еще несколько своих соратников. Вообще, в силу профессии, такие фокусы мне не в новинку – сто раз подобных зверей убивал, жаль что из их зубов ожерелье не сделаешь. :(

Но тут попался какой-то особо хитрый экземпляр, с которым я боролся аж два вечера…

Итак, приступаем. Для начала грузимся в безопасном режиме и запускаем чудную софтину avz. Сначала выбираем меню AVZPM -> установить драйвер расширенного мониторинга процессов. Ребутимся. После загрузки на вкладке “параметры поиска” выставляем максимальный уровень эвристики и чекаем все чекбоксы. Сканируем весь раздел с виндой, после того как всякие гадости найдены, ребутимся. Смотрим как ведет себя система.

В моем случае после ребута ситуация сильно не изменилась. Я запустил в безопасном режиме cureit от drweb, просканировал весь диск еще раз, софтина нашла еще несколько инфиированных файлов. Снова ребут, снова смотрим. Нихрена. :)

Антивирусник у меня стоял, кстати, McAfee VirusScan Enterprise 8.0. Раньше к нему нареканий не было, но в последнее время он стал плоховато справляться со своими обязанностями…

Далее я скачал следующие программы: SuperAntispyware, Spybot S&D. Антиспайварь нашла еще пару файлов в папке с интернет эксплорером. Но как только она начинала сканировать C:\windows – комп моментально ребутился. Какая-то гадость продолжала сидеть в системе. Причем, в списке процессов я ничего подозрительного не нашел, просматривал при помощи того же диспетчера процессов avz.

Запустил Spybot, нашлось еще несколько штук файлов. Однако зверюга продолжала где-то сидеть. Avz сообщал, что в системе имеет место быть маскировка процессов. И указывал на одну dll из \system32.

Я стал вручную просматривать папку винды на предмет модифицированных в этот же день файлов и сравнивать со здоровой системой (у нас дома 2 компа). dll-ка и впрямь оказалась лишней, и я, недолго думая, ее удалил. Перезагрузил машину – и получил BSOD. :) Впрочем, BSOD был вполне информативным – он явно указывал на ту самую dll.

Загрузился с реаниматора, запустил редактор реестра avast! и начал искать записи, в которых эта dll присутствует. Нашел 2 штуки, сравнил их с записями здоровой системы, подправил, перезагрузился.

Вроде бы всё нормально. Но я как жопой чуял, что в системе есть что-то еще. Взял и поставил каспера 7.0.1.325, обновил базы, запустил полное сканирование.

И вот тут он нашел еще один .sys файл, который сидел в system32\drivers. Надо отдать ему должное – ни одна софтина этот файл не видела. Базы сигнатур обновлены были у всех, версии программ брались последние.

Так что, пока сижу с каспером. Причем, это уже не первый раз, когда троянца обнаруживал только он.

Полагаю, что мой выбор корпоративного антивирусника будет понятно в чью пользу. Это не реклама :)

А, и еще: после всей этой возни у меня пропали все значки в трее, кроме часов. Довольно долго искал решение в инете, везде говорится, что единственного верного решения этой проблемы не существует.
Мне помогло следующее:

ищем в реестре ветку HKEY_CLASSES_ROOT\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153} \InprocServer32

значения должны быть следующими:

“ThreadingModel”=”Both”

@=”C:\WINDOWS\system32\stobject.dll

После этого всё стало в порядке.

PS: Базу я все-таки прошел всю, а вот зафиксировать, какой именно каталог мне этого троянца подгрузил, я не успел :(

Не забывайте про антивирусник, который при сабмите лучше ставить в параноидальный режим. Мы – за безопасный сабмит!

И да пребудет с нами великое бабло. Щастья всем и удачи. Всем, кто дочитал до конца – респект. Ваш Бездельник. :)

PS:  не забываем подписаться на RSS – там всегда безопасно, сухо и комфортно.

Напоследок:

1. Vin начал серию постов про регистрацию в каталогах. Как всегда, актуально. :)

2. А часто ли вы видите голое полотенце?

3.  Наебываем рекламодателя

4. Автор как всегда жжот хорошими подборками всякого креатива