slavka850
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору описываю этап заражения: зашел на сайт imageban.ru с IE6 (к сайту ранее притензей не было, видимо рекламный модуль заражен), запустилась Java 6 update 16, по всей видимости она скачала *.exe с желто-зеленой иконкой (а возможно и не только его). Касперский 2009 начал эвристический анализ этой проги (сразу двух ее экземпляров), но даже максимальные настройки безопасности не предотвратили то что случилось далее. по очередно начали вылетать все проги, что были запущены в данный момент (возможно от переполнения буфера), в том числе и все службы от чего комп вскоре сообщил о неминуемом перезапуске. как лечил и что находил: командой shutdown -a мне удалось избежать перезапуска и возможных серьезных последствий. удалось запустить Process Explorer (почти все проги не могли запуститься из-за ошибки "память не может быть read", что косвенно подтверждает идею о переполнении буфера), Проводник (после того как я вырубил все что можно) и к великой радости самого Касперского (который, как вы догадались, тоже вылетел, однако его службы осталась в памяти). Каспер обнаружил абсолютно скрытую папку C:\systemhost.exe\ (зайти в нее можно было только непосредственно введя путь) и пару файлов вируса в этой папке (systemhost.exe Ydy zjDp иконка от MS Access и еще какой-то *.bin, обозвав их Hidden.Object), но не нашел файла копирующего этот вирус (в папке Documents and Settings netprotocol.exe Ydy zjDp иконка от MS Access) и два файла что проверялись эвристическим методом (в папке system32). после их обнаружения он просил перезагрузки. однако я, пользуясь рабочим Проводником стал искать новые файлы (удалил каких-то два скрытых файла в папке drivers, почистил куки и кэш IE6), однако пока не нашел саму папку C:\systemhost.exe\ . далее я наконец перезагрузился, вирус было захотел запуститься, но пострадал от ошибки "память не может быть read". потом с помощью WinRAR я наконец-то нашел скрытую папку и удалил ее. так же поудалял другие подозрительные новые файлы. и после следующей перезагрузки остался лишь один след заражения. проблема: теперь каждый раз explorer.exe запускает дочерний процесс svchost.exe (который не является службой). этот процесс каждые 5 минут посылает исходящий TCP пакет на адрес 209.159.153.138 и порт 8888, который блокируется моим фаерволом. при подключении сети svchost.exe начинает посылать еще и dns запросы, пытаясь выйти в сеть. если вырубить этот дочерний процесс, то пакеты более не посылаются. вопрос: нет 100% уверенности, но я считаю что explorer.exe и svchost.exe остались оригинальными. оттого мне не понятно как explorer.exe запускает дочерний процесс (скорее всего как расширение оболочки и если воспользоваться прогой Autorun от Марка Руссовича, то вероятно я найду это расширение и смогу отключить его, однако ж настройки на посыл пакетов сохраняться, а мне хотелось бы полностью избавиться от вируса) и как мне это устранить. возможно есть еще какие-то последствия которых я просто не заметил - желаю устранить и их тоже. |