Previous Entry Поделиться Next Entry
Песец.
NULL
roman_pro
Что было... ой что было... Вообщем если вкратце, то мой комп наглотался вирусов...

А началось всё с того что слил Pocket SPB Plus 3.3.1 которая потребовала серийник. Ессно серийника у мя не было, поэтому ломанул по ссылкам из гугла... Ессно из под админа... Ессно в бете 7го ИЕ... ну и напоролся... Началось всё с окошка "приложение будет закрыто", т.е. ИЕ по классике жанра упал... Затем началось веселье... Попытка вызвать диспетчер задач выдала ошибку "Диспетчер задач запрещён администратором" (милая шалось, лечится ключиком в реестре). Первым делом выдернул сетевой кабель. Затем запустил альтернативный (Process Explorer от Руссиновича) и офигел... куча лишних процессов... недолго думая порубил их... потом начал искать в папке C:\WINDOWS\system32\ все файлы с датой модификации 17.04.2006 ... нашлась добрая кучка...переименовав их в ex_ я быстренько накатал прогу которая просто показывает сообщение когда её запускают... Потом скопировал её под именами тех прог в system32 и отправился чистить ключи автозапуска. Вычистив всё как мне показалось я перезагрузился... в итоге моя прога мне сказала что я плохо почистил автозапуск... Порыв реестр в самых экзотических местах я наконец избавился от этих прог. Затем настал черёд маленькой DLL которая тоже имела злополучную дату... Ессно т.к. она экспортировала функции DllRegisterServer и DllUnregisterServer то я её анрегнул с помошью regsvr32. Однако, осталась ещё одна проблемка - ИЕ при каждом запуске запускается в скрытом режиме и если его прибить запускается заново. Один из таких умных процессов я перед этим прибил очень просто - пока он запущен его не удалить, запускается его аж 2 экземпляра... пока завершаешь один - другой запускает ещё один... со всеми вытекающими. Тогда я просто переименовал файл (благо запущенный файл успешно переименовывается) и прибил оба процесса без проблем. С ИЕ похожая тактика не прокатила. Переименовав я уже собрался прибивать... Но файл создался снова... Перехватил filemon'ом кто же записывает файл - system ... значит не нашёл ещё какую-то DLL которая внедрилась в системный процесс... Вообщем недолго думая поставил касперского проверил систему... нашёл пару троянцев в папке с MSDN'ом (чесно гря фигею - чё за файлы такие progie.hxs и shellcc.hxs оба заражены Trojan.Win32.Zapchast.al) Удалил... Нашёл ещё DLL в папке C:\Documents and Settings\All Users\Документы\Settings\3246762198745124975.dll с атрибутами скрытый системный и злополучной датой... Удалить не могу, переименовать тоже... Судя по реестру DLL подписалась на уведомления от Winlogon'а... Да ещё и не даёт даже прочитать себя... Скорее всего она и запускает ИЕ... Кстати он и сейчас ломится в инет, но блокируется Outpost'ом :) В остальном вроде тишина. Сейчас попробую перезагрузиться (после проверки каспом и удаления ключа DLL из реестра) может быть всё будет в ажуре :)

Собсна мораль - не ищите кряки/серийники работая под админом, без установленных фаервола и антивируса, да тем более и в бета версии ИЕ.

Фаерфокс рулит! Сейчас пишу именно в нём, т.к. ИЕ стрёмно пускать в инет, а с фаерфоксом вроде всё в порядке (судя по логу снифера Ethereal).

з.ы. А ведь я честно хотел писАть диплом... Но судьбе угодно иначе.

Всё. Ушёл в ребут.
Метки: , ,

  • 1
Чувак:))) Читал и сердце кровью обливалось..
Кстати, Symantec Antivirus неплохо справляется с подобными штуками, в смысле чистить реестр и файлы.. Хотя, так, конечно интересней:))

Ну все они обучены на популярных тварей... И их надо обновлять... А вот ручками интересней... Да и познавательней... Плюс если поймаешь что-нить свежее то это пожалуй единственный выход...

Кстати, DLL как и оказалось в winlogon внедрялась... Ну нефига... Даже на эту хитрую жопу нашёлся %уй с винтом :) Правда вот winlogon так и ломится на 207.46.130.108:80 и 207.46.250.119:80 :(
Но аутпост рулит :))

Ща набрал http://207.46.130.108:80 и http://207.46.250.119:80 - оказалось - www.microsoft.com :)))) интересно чё он туды ломится ? :)))

Ответ найден:

Шурик (9:27) :
Значит ДДосят майкрософт

Те файлы, что не удаляются, попробуй разблокировать unlocker-ом.

Ну дык я поискал Process Explorer'ом их хэндлы и позакрывал - результат налицо - удаляются как миленькие :) Ну и права настроить cacls'ом тоже не проблема :) А ваще интересная утиль, взгляну.

  • 1
?

Log in

No account? Create an account