Все пак, това се е случило - Катя взе (под негова uchotkoy) инфекция. Предимно на моя инфекция Toshiba :-( NOD32 не видях, но той не е бил актуализиран, тъй като лицензът е приключила. Така че просто има причина да се удължи litsuhu.
С една дума, troyashka интересни, почти всички копия от него убиха, но тя все още е жив. В момента това е проверено в безопасен режим и AVZ NOD32 основната лаптопа.
Разкопките дадоха много интересни неща, но ще опиша по-късно. Пролез troyashka под опера чрез zhavu (JRE). NOD32 го определя като Kriptik. Катя забелязал, когато се опитва да "VKontakte" дойде, ще се покаже съобщение с молба за изпращане на SMS към основната си страница.
Оказа се, домакините подмяна. Но не и банално, и много интересно.
Всичко започна банално - Катя каза, че той не може да получи от "OpenID". В началото си мислех, че vinloker нишка, но се оказа, че съобщението се иска да изпратя смс - на главната страница "VKontakte". Разбираемо е, че подмяната на сървъра. Изкачих се в% WINDIR% от \ system32 \ DRIVERS \ и т.н. \ домакини И това е празен. Само lokalhost регистрирани.
Това стана интересно. Ран AVz - кълне в голям брой куки в системата повиквания, свързани с файловата система (и не само).
функция NtCreateFile (42) - изменение на кода на машината. неопределен метод.
функция NtEnumerateKey (74) - изменение на кода на машината. неопределен метод.
функция NtEnumerateValueKey (77) - изменение на кода на машината. неопределен метод.
функция NtOpenFile (B3) - изменение на кода на машината. неопределен метод.
NtQueryDirectoryFile функция (DF) - промяната на кода на машината. неопределен метод.
функция NtQueryKey (F4) - изменение на кода на машината. неопределен метод.
функция NtQuerySystemInformation (105) - модификация на компютърен код. неопределен метод.
функция NtCreateFile (83088E82) - изменение на кода на машината. неопределен метод.
функция NtOpenFile (830B85C4) - изменение на кода на машината. неопределен метод.
функция NtQueryDirectoryFile (830B862F) - изменение на кода на машината. неопределен метод.
функция NtQuerySystemInformation (83074416) - изменение на кода на машината. неопределен метод.
В безопасен режим, в същата директория като домакините показа файл с име HOST2 Съдържанието му са много доставени:
dsf45453
85.234.190.72 www.telebank.ru
85.234.190.73 www.vk.com
85.234.190.73 mail.ru
85.234.190.73 www.mail.ru
85.234.190.72 telebank.ru
85.234.190.73 www.vkontakte.ru
85.234.190.73 vk.com
85.234.190.73 www.odnoklassniki.ru
85.234.190.39 www.alfabank.ru
85.234.190.39 alfabank.ru
85.234.190.39 click.alfabank.ru
85.234.190.39 www.click.alfabank.ru
85.234.190.73 www.odnoklassniki.ua
85.234.190.73 odnoklassniki.ua
85.234.190.73 odnoklassniki.ru
85.234.190.73 vkontakte.ru
gh54646455454
Катя веднага изпратил за малък лаптоп, бързо се променят всичките си пароли. Тук дори данните за Alfa Bank, които да използвам за известно време. Но има и еднократни пароли, в SMSkah идва, така че не се плаши. Но все пак неприятно.
С една дума, тя остава да се намери sobssno инфекция, която аз открих този заместител. Аз рестартира в нормален режим - и аз открих там. Само глупав в директорията има файл с име HOST2 И без конзола, реж отборът му не се появи. Но реж HOST2 отбор - показва :-) И този файл може да се копира, отворен, изтриване (но той все още пресъздаден). Ако някъде в устройството, или дори да създадете друг диск файл със същото име - просто изчезва. С една дума, той си спомни, че куките висят. Тук открих инфекция и маски.
Най фиг нито AVZ, или NOD32 инфекция не е намерен. Въпреки това, по лиценз на възела дойде към края си, толкова бързо, купих разширение. Но все пак, нищо вредно е намерен. Това е разбираемо - nykat. Необходимо е да се зареди от LiveCD. И аз трябва да предаде нищо подходящо не е :-( Да, и се държи като инфекция, да се изкорени.
Поради AVZ успя да намерим обяснение:
7. проверка евристични система
>>> Предполага се, маскиране услуга регистър ключ \ Driver "illyhadt"
Това illyhadt.sys намира в C: \ Windows \ system32 \ шофьори, и категорично отказва да се отвори, а не че се отстранява. И в регистъра не се издаде. "Illyhadt" - В диспечера на устройствата, устройството е намерено в списъка с устройства nonadaptive. Въпреки това, той се отстранява категорично не желае да - да се закълне, че устройството е повреден и не функционира правилно.
Ако в края на краищата, за да зареди от LiveCD и шофиране антивирусни препарати. Кой бързо намериха illyhadt.sys и завърши. Бях много щастлив, обаче, отново за изтегляне в Windows, като видя, че даден файл HOST2 отново маскирани. Отново някой има капаци, и отново едни и същи куките висят. Но е дошло времето, искаше да спи. Така че бързо да изтеглят диск за зареждане на Windows, разрушена старата, две години експозицията, Win7 и анархистични чисто нов. Така че сега имам чист Windows 7.
Да, това е начина, по който аз съм vinduzyatnik. Linux машини у дома, не са много уважение. На сървъра - още повече. Но frya на сървъра - да, frya таксита!
UPD> Между другото, NOD32 инфекция идентифицирани като Win32 / Agent.RKL и как Win32 / Kryptik.FWU
UPD> И това се изкачи, наистина, чрез браузъра Opera с вградена Java. И Катя просто нещо като mp3 изтегляне от линк, изпратен от приятел.
Свързани статии