Мое исследование не претендует на лавры профессиального администрирования.Я просто юзер.С компьютерами творилось нечто невероятное, с чем мне никогда не приходилось сталкиватся.
Признаки зараженной системы. Корни. 1)ресурс в общем доступе в сетке, под произвольным именем 2)скрытая папка “wsnpoem” в system32.содержащая audio.dll, video.dll 3)ntos.exe в system32 4)неубиваемый файл с раширением *.tmp,под произвольным именем 5)скрытая папка Settings в Общих документах с содержанием *.dll desktop.ini. Имя *.dll соответствовало имени ресурса открытого к общему доступу. 6)безмятежно спящий нод32.
Признаки зараженной системы.Последствия. 1.совершенно мертвый IE 7, никакого соединения. 2.неубиваемый процесс iexplore.exe с захватом ресурсов процессора до 100% 3.нарастающее количество всевозможных файлов *.dll, *.exe в system32 4.превращение компа в “зомби”, прокси сервера для спама и дддос.
Начал копаться в безопасном режиме: CPU до 100%, процесс iexplore.exe не убивается из за того что не постоянен.Амплитуда включений 1-2 сек.GMER вообще не мог его захватить.Ну думаю, настала пора подключать к другому компу.Тут уже начались невероятные вещи, Папка “settings” с содержанием *.dll desktop.ini.скрытая в общих документах была НЕ ВИДНА в безопасном режиме с правами администратора.Вновь подключил к первой системе....есть.Стер.
Решил теперь на первой системе , ради интереса, попробовать удалить парочку *.exe в безопасном режиме в system32 и Temp ....он и не удаляются.Пришлось использовать Unlocker, с большим трудом удалось после 2-3 перегрузок стереть файлы.Содержимое папки “wsnpoem” в system32 удалось стереть только через GMER, утилита Unlocker не помогла. Так и не смог получить ответа,что же делали скрытые файлы в папке Drivers? Без расширения, не определяемые НИЧЕМ, только благодаря интуиции определил, что они как то связаны с тем кавардаком в системе. Попробовал удалить.Не могу, опять через GMER. Он выдал сообщение об ошибке и перегрузил комп.Только после мытарств с отключением “winlogon”, с висящим сообщением о критической ошибке и обратным отсчетом, удалось стереть эти два файла.К сожалению их уничтожил безвозвратно.Не взяв в архив.
После вот таких приключений решил посмотреть, кто стал хозяином зараженного компа. DNS был подменен на 85.255.116.99 / 85.255.112.66. Узнаешь, урод?
Решил немного получить инфу с интернета, но в большинстве своем информация из поисковиков сводилась исключительно к уничтожению данной заразы с помощьюSDFix. Я же аккуратно заархивировал большую часть файлов.Особенно радуюсь папочке “wsnpoem”,которую в упор Касп не видит, а также “wsock3.dll” намертво, убившую связь интернет и “mssrv32.exe” которую можно использовать как утилиту для разогрева CPU.
Благодарю разработчиков Windows xp за такой режим безопасный, с правами Администратора, где я без помощи сторонних утилит не могу удалить файлы даже в Temp.Особенная благодарность разработчику системного реестра, за то что можно вписать всякую хрень, кому угодно, в системные политики, типа "software\ microsoft\windows\ currentversion\ policies\ system ”DisableTaskMgr”
Для любителей поэкспериментировать могу предоставить все "коллекционные" файлы.
Вот что будет с компом если защита дырявая. Рег ключики
Для этого существует утилита AVZ. А то с чем ты столкнулся вещь очень не плохо известная - называется "rootkit". Её цель - захват управления атакуемой системой с одновременной маскировкой данного события. И то, что сам сумел с ним справиться - молодец. Не многие пользователи не профессионалы смогли бы правильно разобраться в данной ситуации. От всей души поздравляю с победой. Этот опыт дорогого стоит.
Добавлю: на систему надо поставить надёжный брэндмауер, могу рекомендовать Jetico Personal Firewall Pro V2. Скачать последнюю версию можно по указанному адресу. Но имей ввиду - Jetico требует знаний, хотя за это отлично работает. А пару Ad-AVARE + KAV я бы рекомендовал заменить на иную пару - Symantec AntiVirus Corporate Edition 10.1.7.7000 Russian (официальная русская версия) + AVZ. На моём сайте AVZ 4.30 Installer можно скачать готовую сборку с инструментами для автоматического обновления баз AVZ с использованием любого планировщика заданий, например nnCron, русская страница загрузки - там имеется обновлённая документация, дополнительные модули и большое количество ссылок.