цитатник:
- • лента
хочухи:
- • группы хочух
- • rss
Словил жестокий вирусняк. Ума не приложу каким образом.
Стоял ноут, никого не трогал. Даже не стоял, а лежал - уснул и спал потому как его никто около часа не трогал. Никто не трогал. Я в этом уверен. Win7, домашний WiFi, локальная сеть. Из прикладной активности в тот момент на нем был только Dropbox. Бужу. На экране окно неопознанного setup'a. Требует какого-то действия юзера. Окно прибито гвоздями: не перемещаемое и поверх всех. Заголовок прочитать удалось (белым по белому) - якобы SkinPack какой то. Ага, знаю я эти скинпаки. Это один из любимых видов оружия массового поражения у сетевых террористов. Начинены рекламой, троянами, вирусами и прочими Амиго как пояс смертника поражающими элементами. Начинаю очень аккуратно изучать окно, в нем спрятан список из чуть ли не двадцати сомнительных позиций подобного говна. Открываю на заднем плане альтернативный диспетчер задач (ProcessHacker) чтобы убить эту заразу аккуратно, не активировав окно. Аккуратно не получается - говно радостно полилось в систему при попытке убить все дерево процессов. Принудительный ресет системы не помог - успели уебки налить мне говна по самые помидоры.
После загрузки понеслось: всплывающая реклама и открывающиеся в браузере по умолчанию (FireFox) портосайты в десятке окон. Microsoft Essential Security завереащал всплвающими уведомлениями об обнаруженных угрозах. На рабочем столе слетели настройки ярлыков и прям на лету нагенерировалось несколько новых. Ожидаемый набор говна, включающего Мейл.Ру. Обошлось без Амиго, вместо него появился Хром. Точнее, значок с его логотипом (понятно, что жмакать на него я не стал).
Первым делом превозмогая загруженность процессора и шум вентилятора вырубил сеть. Чистить все это говно руками я не собирался. Полез откатываться на резервную точку, чтобы потом руками только хвосты подчистить. А вот хуй. С тех пор, как я в первый и последний раз подобное видел, это говно грамотное стало. Теперь оно отключает функцию восстановления системы. То есть все резервные точки у меня пропали. Разговаривал матом. Много и несдержанно. Расстроился сам и своей бурной реакцией расстроил домашних.
Вычищать всю эту дрянь руками очень нудно и лениво. Переустановить систему - тоже не тривиальный вариант. Потому как это только одна из четырех, установленных на этом ноуте. Win7 + Win10 + Ubuntu + Remix. И устанавливались они строго в этой последовательности. Переустановить первую, не порушив остальные и логику их загрузки - тот еще геморрой. Сижу сейчас на ненавистной Win10 как лох. Благо, что все документы и даже настройки некоторого софта были заблаговременно настроены на специально выделенный для этого отдельный раздел харда. То есть живы, здоровы, не испорчены и не пропали. А даже если бы и пропали, то для них резервные копии есть. А вот резервного образа раздела с Win7 еще не было.
В общем, как уже сказано в subj - и на старуху бывает порнуха. Что случилось - то уже случилось. Йух с ним, переживем. Но меня мучает вопрос - КАК?! Как, блять, эта зараза пролезла? Чудес ведь не бывает, я точно это знаю.
the_Dark_One, дык ладно если бы качал, а тож нет. Для этого есть большой экран телевизора с 3D-очками и комп с торрентами.
кому интересны подробности - есть пара крепких словюзер продвинутый. у юзера 4 оси да ещё и такая солянка... (тут был хитрый Ленинский прищур). Или это как раз то что и отличает продвинутого юзера от того, для кого это ежедневная работа (вот приходите вы на пляж - а там станки, станки, станки (с) анехдоть). Мне вот оодной 10ки хватает за глаза и за уши. А пингвин на рабочем компе? Чур меня, чур )))
Так а чего жаловаться? лечить. Только один раз встретил заразу, на которую день угробил, и то dnsapi.dll подменил взад и болезнь исчезла. Ну ежели переставлять всё сложнее, то лечить. Тем более у тебя ещё винда есть - это ж халява какая!
1. с 10ки ручками нафиг всё что в %TEMP%, %SYSTEM_ROOT%\TEMP и прочих местах. Ручками, фаром. Я бы ещё папку с огнелисом туда же, любовь Кролика к кнопочке F8 общеизвестна. Не браузер и был. То есть любой браузер кроме IE (самый правильный браузер!) убить от слова совсем и программах и в профиле, нечего там искать, переставить всегда можно.
2. с 10ки же проверить реестр 7ки - основные автозапуски, (папки RUN, параметры shell - на память всего не скажу, пальцы-глаза помнял, мозг нет, а тебе гугл подсткажет все точки автостарта куда точнее чем я сейчас)
2. пробежаться по всем \windows, system, system32 на предмет визуально (по дате) свежих файлов
3. файлик hosts - засунуть нос, посмотреть
4. ну и кашмарским-нодом-ещё чем нить вменямым из под 10ки пролечить.
5. теперь первый раз запускаем твою 7ку, только конечно в safe mode - смотрим службы, смотрим скрытые девайсы (такая зараза часто садтся как драйвер устройства). Заодно поглядеть ярлыки - часто зверь в ярлык туда себя дописывает. Соответственно, провести парралель между тем, что обнаружено что то чего не должно быть и файликом который надо убить (лучше перенести в другую папку, а то мало ли что то нужное убъёшь)
6. (хор голосов) AVZ
Это было то, что делается за полчасика, с закрытыми глазами и... 99% случаев на этом заканчивается. Потому что уже всё хорошо. А вот дальше надо изучать внимательно.
Без второй системы и флешки всё сложнее. NTFS часто правда спасает. Ну ты видишь тело зверя, а оно залочено. И ни второй системы под рукой ни второго компа. Берёшь - All Users "no access" права на файл ставишь (права можно выставлять даже на залоченый файл), ребут - и всё ок. Правда, некоторые перехватывают изменение прав на себя, но это редкость.
В любом случае - на написание даже этого поста ушло времени как на половину лечения :-)
вот же страсти то наговорил.
а утилиты руссиновича вам западло пользовать? тот же авторан, он из офлайновой системы может показать все запускаемое любым путем, хоть аплетами ие хоть драйверами, и половина времени как раз уже сэкономлена.
Не люблю я винду переставлять. Иногда это бывает куда сложнее, чем вылечить.
При задействованном мозге антивирус не нужен вообще. Я не пользуюсь, к примеру, не люблю лишнее, и так скайп, вацап, телегам, вайбер, микросип и пиджин постоянно в фоне висят.
ЗЫ: кем любимый каспер? покажи мне этого человека
и так скайп, вацап, телегам, вайбер, микросип и пиджин постоянно в фоне висят. - что ты там про мозг говорил? :)) Шучу. Ты на себя не ссылайся - не показатель, у тебя какой объем работы из дома происходит? То-то.
покажи мне этого человека :) - да их миллионы кругом
мозг говорил мозг, сука, взрывается :-) Но пишут всюду. И звонят всюду.
да их миллионы кругом это лемминги )))) у кашмарского один полезный продукт - образ сидюка пингвинусом и лечащим модулем
Но в спорах рождается истина.Спасибо всем за участие и рекомендации, отпишусь по сути:
Hostage, спасибо, что не пожалел времени написать последовательность лечения - да, такой набор телодвижений очевиден. Но я хоть и продвинутый, но все же юзер. Мне подобное приходится делать не чаще раза в пару лет (я тщательно маскируюсь от окружающих, чтобы меня не записали в тыжпрограммисты). А потому не знаю, как залезть в реестр не активной системы (это к пункту 2):
> с 10ки же проверить реестр 7ки - основные автозапуски, (папки RUN, параметры shell - на память всего не скажу, пальцы-глаза помнял, мозг нет, а тебе гугл подсткажет все точки автостарта куда точнее чем я сейчас)
Подскажешь?
> Это было то, что делается за полчасика, с закрытыми глазами и... 99% случаев на этом заканчивается.
Ну ты дал! За полчаса - это только если регулярно этим занимаешься. А если раз в два года? И не помнишь ни фига, и новое что-то могло за это время родиться. В общем, либо я тормоз, либо ты загнул.
> Не люблю я винду переставлять. Иногда это бывает куда сложнее, чем вылечить.
Вот +100500. У меня системы пятилетками стояли и даже мигрировали со всем прикладным обвесом с железа на железо (правда, это было больше характерно для XP). Так что пока поставил Win10 в загрузку по умолчанию, а приболевшую Win7 скорее всего буду лечить по мере возможности (наличия времени).
По теме "Microsoft Essential Security vs Касперский" скажу, что когда-то я был маньяком вирусной защиты и лелеял DrWeb (давно это было). Он тогда ловил то, что корпоративный нортоновский вирусняк пропускал (работал в конторе, где у админа были свои предпочтения). Но потом домашние компьютеры перестали подключаться напрямую к провайдеру единственным в квартире шнурком, попрятались в локальные сети за роутерами со своими fireewall'ами, отпала острая необходимость держать непосредственно на компе все эти средства индивидуальной защиты и закрывать порты/дырки от любопытных недоброжелателей и извращенцев. И в этих современных условиях продвинутому юзеру вполне достаточно Microsoft Essential Security на случай очень ядерной войны. А продвинутого долбоеба и Касперский не спасет. Потому я не парюсь.
_________________________
Update: Ага, нагуглил и вроде бы разобрался с садоводством (загрузкой и выгрузкой чужих кустов в RegEdit)
_________________________
Update2: Да, еще раз спасибо всем за участие, но не уходите пока - наверняка у меня еще будут вопросы
Ага, нагуглил и вроде бы разобрался с садоводством
причём тебе надо как юзерскую часть проверить (ntuser.dat в профиле) так и системную (SYSTEM и SOFTWARE в \windows\system32\config)
раз в два года то спросить ближайшего гуру и сделать за час, у девушек есть иной рецепт, ясное дело
Подскажешь?
1. папки стартап - в главном меню юзера и эвривана (первая в профиле - старт меню - программы - автозагрузка, вторая в профиле оллюзера и так же по пути)
2.a. (юзерская часть) реестр - HKCU -> Software -> Microsoft -> Windows -> Current.. -> Run (Run Once)
2.b. (системная часть, файл software) реестр - HKLM -> Software -> Microsoft -> Windows -> Current.. -> Run (Run Once)
3. (системная часть, файл software) реестр - HKLM - Software - Micorsoft - Windows NT - curr. -> Winlogon - там параметры UserInit и шелл. Шелл доджен быть explorer.exe юзеринит должен быть один по дефолту, вири часто дописывают через запятую себя туда
это из того что вспомнил прямо сейчас
Газпрём
[Print]
MMM