В общем, народ, поигрался я на выходных с этой фигнёй, сдаю отчёт
Всё по порядку:
I. После перерыва в 6 дней(комп не включался) включаю комп и виста вдруг пишет о том, что файл tcpip.sys с несоответствующей подписью. Грузиться отказывается, предлагает восстановить с инсталяционного диска. Восстановил. Но странно... да, файл патченный для халф-опен коннекшнов, но всё было нормально около 3 месяцев!
II. Как и советовали, скачал minDrWebLiveCD-5.0.0.0902170.iso, проверил все диски. Итог можете видеть на
этой и
этой картинках. Как видно, Trojan.Fakealert.1500 в дллках в SysWOW64 + в Temporary Internet Files(вообще я юзаю мозиллу, но иногда и ИЕ). Других вирусов не обнаружил. Все найденные трояны удалил. Кстати, к вопросу об эффективности авиры: при проверке "системных директорий" она не лезет в SysWOW64 и ей подобные (я проверял), т.к., видимо, не умеет работать с х64 системами. Но в любом случае должна была показать... ведь длл-ка как-то загружались...
III. Загрузил систему.
1. Наблюдаю 2 коннекта соответственно(см.
скрин), запретил. Их только два и каждый раз после логона.
2. Через минут 10 после загрузки чё-то заметил мигающий HDD-диод. Ничего не запускал. Решил проверить процмоном.
Результат поразил... Прошу прощения за качество картинки, но, как видите, когда я пытался сделать скрин, программа вылетела(и пока я не нажал "закрыть", не поверите, буфер обмена не работал). Как видите, в различных директориях процессом svchost.exe зачем-то создаются одинаковые батники с названием quasf.dll.bat. Я проверил эти директории, таких батников там нет. Значит, удалил свхост? Событий об удалении не было, вроде, в мониторе. Запускал? Что делал с ними? Странно... Опять же - наткнулся случайно!
3. Решил проверить файрвол, происходят ли ещё коннекты на 137 порт? Проверил... всё осталось. Скрин можете видеть
тут. Зачем эти процессы туда лезут - не понятно...
4. На всякий случай сделал
этот скрин из Jetico. Так видно, какие свхосты куда залезли. Ну и остальные процессы... Можно было и тспвью, но тут читабельнее, вродь.
5. Решил проверить сабж и снова открыть картинку из иксплорера. Открыл. Те же тормоза и обращения к диску. Скрин процмона с нужными столбцами
тут. "Опять торренты!", - подумал я. Вырубил уторрент и повторил эксперимент:
скрин.
6. Пока занимался вышеописанным, всё время вылазили предупреждения, что в инет лезут приложения, которые туда лезть НИКАК не могут! Например, смотрим
картинку. Что это значит? Неужели, всё настолько серьёзно, что этот троян пытается коннектиться через другие приложения? Ну не могут же мспэйнт и апачмонитор в нет ходить!
7. Кто-то просил список процессов...
Вот он. Ах да... там нет процесса C:\Windows\System32\RacAgent.exe(25 088 bytes), который тоже просил доступ к сети, как в пункте 6. Зачем привёл размер? Потому что в описании этого процесса в нете нашёл, что он весит около 20 кб. Но это, наверное, от того, что у меня х64 система, а в описании размер был для х86.
8. Ну и напоследок ещё раз решил глянуть логи файрвола. Приводу
скрин самых свежих(да, да, 5 утра
)
9.
[добавил] Открыл из иксплорера xls-файл(от microsoft excel). 4 раза открывался без проблем, но на пятый опять
сабж. Но на сей раз по TID'у я его вычислил в процесс иксплорере. Скрин
тут. Кому-то это о чём-то говорит?
Что делать? Думаю, самый лёгкий(относительно) и надёжный способ - переставить систему
Но хотелось бы без такой меры... уж очень много там всего стоит. Что-то ещё можно сделать? За ответы всем спасибо заранее!
