Fertőzés helyettesíti a hosts fájlt
Mégis ez történt - Katya szedett (alatt uchotkoy) fertőzés. Többnyire az én Toshiba :-( NOD32 fertőzés nem láttam, de még nem frissítették a licence alatt. Tehát csak egy ok, hogy kiterjesszék litsuhu.
Röviden, troyashka érdekes, szinte minden másolatát megölt egy, de ő még él. Most ez a fő laptop ellenőrzött biztonságos módban és AVZ NOD32.
Az ásatások hoztak sok érdekes dolgot, de ez lesz leírni később. Prolez troyashka alatt opera keresztül zhavu (JRE). NOD32 definíciója szerint Kriptik. Katya észre, amikor megpróbálja „VKontakte” jön, akkor egy üzenet kéri, hogy küldjön SMS fő oldalon.
Kiderült, a csere házigazdák. De nem banális, és nagyon érdekes.
Az egész akkor kezdődött, elcsépelt - Katya azt mondta, hogy nem tudott a „OpenID”. Eleinte azt hittem, hogy vinloker egy szál, de kiderült, hogy az üzenet kérdezi, hogy küldjön sms - a főoldalon „VKontakte”. Magától értetődik, hogy a szerver csere. Bemásztam% WINDIR% \ system32 \ drivers \ etc \ hosts És ez üres. Csak regisztrált lokalhost.
Ez lett érdekes. Ran AVZ - esküszik nagyszámú horgok a rendszer kéri társított fájlrendszer (és nem csak).
NtCreateFile funkció (42) - a módosítás a gépi kód. meghatározatlan módszer.
NtEnumerateKey funkció (74) - a módosítás a gépi kód. meghatározatlan módszer.
NtEnumerateValueKey funkció (77) - a módosítás a gépi kód. meghatározatlan módszer.
NtOpenFile funkció (B3) - a módosítás a gépi kód. meghatározatlan módszer.
NtQueryDirectoryFile Function (DF) - módosítása a gépi kód. meghatározatlan módszer.
NtQueryKey funkció (F4) - módosítása a gépi kód. meghatározatlan módszer.
NtQuerySystemInformation funkció (105) - módosítása számítógépes kód. meghatározatlan módszer.
NtCreateFile funkció (83088E82) - módosítása a gépi kód. meghatározatlan módszer.
NtOpenFile funkció (830B85C4) - módosítása a gépi kód. meghatározatlan módszer.
NtQueryDirectoryFile funkció (830B862F) - módosítása a gépi kód. meghatározatlan módszer.
NtQuerySystemInformation funkció (83074416) - módosítása a gépi kód. meghatározatlan módszer.
Csökkentett módban ugyanabban a könyvtárban, mint a hosts mutatott nevű fájlt host2 Tartalma nagyon szállítjuk:
dsf45453
85.234.190.72 www.telebank.ru
85.234.190.73 www.vk.com
85.234.190.73 mail.ru
85.234.190.73 www.mail.ru
85.234.190.72 telebank.ru
85.234.190.73 www.vkontakte.ru
85.234.190.73 vk.com
85.234.190.73 www.odnoklassniki.ru
85.234.190.39 www.alfabank.ru
85.234.190.39 alfabank.ru
85.234.190.39 click.alfabank.ru
85.234.190.39 www.click.alfabank.ru
85.234.190.73 www.odnoklassniki.ua
85.234.190.73 odnoklassniki.ua
85.234.190.73 odnoklassniki.ru
85.234.190.73 vkontakte.ru
gh54646455454
Katya azonnal küldött egy kis laptop, gyorsan változik minden a jelszavukat. Itt még az Alfa Bank adatai, amit használni egy ideig. De van egy egyszeri jelszavakat, a SMSkah jön, így nem kell félned. De még mindig kellemetlen.
Röviden, továbbra is találni sobssno fertőzés, amit találtam, hogy ez helyettesíti. Én újraindította a normál üzemmódba - és meg is találtam ott. Csak a hülye a könyvtárban van egy fájl neve host2 És nincs konzol, dir csapata nem jelenik meg. De dir host2 csapat - mutatja :-) És ez a fájl másolható, nyitott, törölni (de még mindig újra létre). Ha bárhol a meghajtót, vagy akár létre egy másik lemezre fájlt ugyanazzal a névvel - éppen eltűnik. Röviden, eszébe jutott, hogy a horgok akasztani. Itt találtam egy fertőzés és maszkokat.
A legtöbb füge sem AVZ vagy NOD32 fertőzés nem található. Azonban a Node engedélyhez ért véget, így gyorsan vettem egy kiterjesztés. De még mindig semmi káros találtak. Érthető - nykat. Meg kell indítani a LiveCD. És azt kell, hogy kézzel semmit nem alkalmas :-( Igen, és kezeli, mint egy fertőzés felszámolására.
Due AVZ sikerült találni egy nyom:
7. A heurisztikus rendszer ellenőrzés
>>> Feltehetően maszkolás szolgáltatás regisztrációs kulcs \ Driver „illyhadt”
Ez illyhadt.sys található c: \ windows \ system32 \ drivers, kereken visszautasította, hogy nyissa ki, nem az, hogy eltávolítjuk. És a registry nem adja el magát. „Illyhadt” - Az Eszközkezelőben az eszköz találtak az eszközök listájában nonadaptive. Azonban eltávolítjuk határozottan nem kívánatos - megesküdni, hogy a készülék sérült, és nem működik megfelelően.
Vajon, elvégre indul el a LiveCD és meghajtó vírusölő. Aki gyorsan megtalálta a illyhadt.sys és fejezte be. Voltam túl boldog, de újra letölteni a Windows, és látta, hogy egy fájl host2 ismét maszkos. Ismét valaki takarót, és újra ugyanazt a horgot akasztani. De az idő eljött, aludni akart. Tehát, hogy gyorsan letölthető a Windows boot lemezt, lebontották a régi, két éves expozíció, Win7 és szabadonfutó vadonatúj. Tehát most van egy ügyes Windows 7.
Igen, ez az, ahogy én vinduzyatnik. Linux otthon gépek nem sok tekintetben. A szerver - még inkább. De frya a szerveren - igen, frya taxik!
UPD> By the way, NOD32 fertőzés azonosított Win32 / Agent.RKL és hogyan Win32 / Kryptik.FWU
UPD> És felmászott rá, tényleg, az Opera böngésző beépített Java. És Katya csak valami hasonló mp3 download által küldött link egy barátja.