Cu toate acestea sa întâmplat - Katyukha a luat (sub registrul său) o infecție. Pe laptop-ul meu principal :-( NOD32 nu a văzut infecția, dar nu a fost actualizată de mult timp pentru că licența sa terminat. Deci, imediat a existat o ocazie de a extinde litsuhu.
Pe scurt, troyashka este interesant, aproape toate copiile sale au fost ucise, dar este încă în viață. În acest moment laptopul de bază este testat în modul AVZ și NOD32 în condiții de siguranță.
Excavațiile au dat o mulțime de interesante, dar o voi descrie mai târziu. Troica a trecut prin opera prin zhava (jre). NOD32 o definește ca Kriptik. Observat când Katyukha a încercat să intre în "VKontakte", pe pagina sa principală a existat un mesaj care cere să trimită SMS-uri.
Sa dovedit, gazdele de substituție. Dar nu trib, dar foarte interesant.
Totul a început să fie trăit - Katya a anunțat că nu poate ajunge la Vkontakte. M-am gândit la început că Winlock a fost un fir, dar sa dovedit că mesajul cu cererea de a trimite SMS - pe pagina principală "în contact". Este clar că spoofing-ul serverului. Util în% WINDIR% \ system32 \ drivers \ etc \ hosts Și acolo este gol. Numai localhost este înregistrată.
A devenit interesant. Am urmărit AVZ - jură la un număr mare de cârlige la apelurile de sistem asociate sistemului de fișiere (și nu numai).
Funcția NtCreateFile (42) - modificarea codului mașinii. Metoda nu este definită.
Funcția NtEnumerateKey (74) - modificarea codului mașinii. Metoda nu este definită.
Funcția NtEnumerateValueKey (77) - modificarea codului mașinii. Metoda nu este definită.
Funcția NtOpenFile (B3) - modificarea codului mașinii. Metoda nu este definită.
Funcția NtQueryDirectoryFile (DF) - modificarea codului mașinii. Metoda nu este definită.
Funcția NtQueryKey (F4) - modificarea codului mașinii. Metoda nu este definită.
Funcția NtQuerySystemInformation (105) - modificarea codului mașinii. Metoda nu este definită.
Funcția NtCreateFile (83088E82) - modificarea codului mașinii. Metoda nu este definită.
Funcția NtOpenFile (830B85C4) - modificarea codului mașinii. Metoda nu este definită.
Funcția NtQueryDirectoryFile (830B862F) - modificarea codului mașinii. Metoda nu este definită.
Funcția NtQuerySystemInformation (83074416) - modificarea codului mașinii. Metoda nu este definită.
În modul de siguranță, în același director ca și gazdele, a fost găsit un fișier cu numele gazdă 2. Conținutul său a fost foarte bun:
dsf45453
85.234.190.72 www.telebank.ru
85.234.190.73 www.vk.com
85.234.190.73 mail.ru
85.234.190.73 www.mail.ru
85.234.190.72 telebank.ru
85.234.190.73 www.vkontakte.ru
85.234.190.73 vk.com
85.234.190.73 www.odnoklassniki.ru
85.234.190.39 www.alfabank.ru
85.234.190.39 alfabank.ru
85.234.190.39 click.alfabank.ru
85.234.190.39 www.click.alfabank.ru
85.234.190.73 www.odnoklassniki.ua
85.234.190.73 odnoklassniki.ua
85.234.190.73 odnoklassniki.ru
85.234.190.73 vkontakte.ru
gh54646455454
Imediat am trimis Katyusha pentru un laptop mic, pentru a-mi schimba rapid toate parolele. Aici chiar cifrele Alfa Bank, pe care le folosesc de ceva timp. Dar parolele sunt o singură dată, în SMS-uri vine, deci nu este înfricoșător. Dar încă neplăcut.
Pe scurt, rămâne să găsim infecția sobssno pe care o înlocuiește acest fișier. Acesta a fost repornit în modul normal - și nu există nici un fișier. Pur și simplu prost în director nu există nici un fișier numit host2 Și în consola acolo, comanda dir nu-l arata. Dar comanda dir host2 - arată :-) Și, acest fișier poate fi copiat, deschis, șters (dar este încă nou creat). Dacă creați un fișier cu același nume oriunde în disc sau chiar pe un alt disc, acesta dispare imediat. Pe scurt, mi-am amintit cârligele atârnă. Aici este o infecție de fișiere și deghizare.
Cele mai multe smochine pe care nici AVZ și NOD32 nu le infectează. Cu toate acestea, la Node, licența sa încheiat, așa că am cumpărat rapid o extensie. Însă nu sa găsit nimic rău. Este de înțeles - nykaetsya. Este necesar să porniți din LiveCD. Și la vârful degetelor nu este disponibil nimic potrivit :-( Da, și am vrut să răsturnesc ciuma.
Datorită AVZ a fost posibil să găsiți un cârlig:
7. Verificarea sistemului euristic
>>> Suspiciunea de a deghiza registry key service \ driver "illyhadt"
Acest lucru illyhadt.sys a fost în c: \ windows \ system32 \ drivere și a refuzat deschis să se deschidă, nu că ceea ce a șterge. Și nu sa lăsat eliminat din registru. În managerul de dispozitive, un dispozitiv precum "illyhadt" a fost găsit în lista dispozitivelor care nu se instalează automat. Adevărat, acesta nu a vrut - a fost certat că dispozitivul a fost deteriorat și nu funcționa corect.
Totuși, era necesar să porniți din LiveCD și să conduceți antivirusul. Cine a găsit rapid acest illyhadt.sys și a terminat-o. Cu toate acestea, am fost foarte fericit, fiind din nou încărcat în Windows, am văzut că fișierul host2 a fost mascat din nou. Din nou, cineva o acoperă și din nou aceleași cârlige atârnă. Dar timpul a fost mai târziu, am vrut să dorm. Deci, cu o descărcare rapidă a sistemului de boot al Windows, a demolat rezistența veche, de doi ani, Win7 și a rulat un nou brand. Deci, acum am un Windows 7 curat.
Da, asta sunt eu vinduzyatnik. Linuhi pe mașini acasă nu respect cu adevărat. Pe servere - chiar mai mult. Dar Frya pe servakah este da, regulile Frya!
UPD> Apropo, NOD32 a detectat-o ca Win32 / Agent.RKL și ca Win32 / Kryptik.FWU
UPD> Și într-adevăr a navigat prin browser-ul Opera cu Java instalat. Și Katyukha a vrut doar să descarce mp3-ul prin link-ul trimis de prietenul ei.
Articole similare
Trimiteți-le prietenilor: