?

Log in

No account? Create an account
 
 
03 Февраль 2011 @ 10:30
Про Trojan.WinSpy.988  
Бродила я вчера по интернету и где-то в районе 21:47 зашла на сайт rodimus.ru, посвященный, как нетрудно догадаться по имени, трансформерам. Сайт так себе, форум засран спамботами, но мне почему-то захотелось отметиться в опросе. Черт дернул меня это сделать. NoScript по умолчанию заблокировал всю гадость, но когда я ради одного этого паршивого опроса частично разрешила выполнение скриптов сайта, то на мой комп сразу же посыпался град вирей. Постоянно стали выскакивать окна Java 6, сразу же вылетали с ошибкой, потом пошли обращения к zindrat.com и еще какому-то сайту. Я еле-еле закрыла вкладку с этой мерзостью, потом сразу же пошла в Temp и нашла там три штуки подозрительных экзешников, которые сразу же полетели в известном направлении. Где-то через минут пять я решила выключить комп, но вместо этого он спустя секунд пять после появления надписи "Windows is shutting down" выпал в BSOD с дампингом памяти. После перезагрузки и проверки chkdsk'ом пропали все сохраненные задачи Касперского (сам Каспер нормально работает - я восстановила нужные задачи; а то я боялась, что он упал и "утащил" за собой полсистемы, как уже было в середине сентября 2007 г.), Speed Fan стал коннектиться черт-знает-куда, а Outpost Firewall стал называться просто < PRODUCT > (без пробелов - просто с пробелами это слово воспринимается как HTML-тэг), сохранив всю функциональность. После этого было еще несколько BSOD'ов вместо выключения и, соответственно, перезагрузок. В общем, запустила я CureIt, и он нашел в файле Windows/system32/sfcfiles.dll вирус Trojan.WinSpy.988 и вылечил его. После этого был еще один BSOD, но после перезагрузки комп снова стал нормально выключаться и перезагружаться. НО! Вирус, видимо, не до конца вылечен, поэтому принтер, сканер и веб-камера перестали быть видны на "своих" местах, сохранив при этом всю функциональность (так, печатать можно, как и раньше, из, например, ворда; сканер сканирует из фотошопа, правда, через другую прогу; веб-камера работает - это видно в скайпе); в панели управления невозможно добавить новый принтер / сканер / веб-камеру и т.д. - при клике по "Add new printer" и т.д. ничего не происходит, только выводится подсказка. В реестре же все видно (по крайней мере, принтер виден, сканер я не стала искать, т.к. в процессе поиска мне сначала выводилась куча всякого мусора, среди которого было одно упоминание о сканере; видимо, информация о самом сканере шла как бы "ниже", но я не стала заморачиваться с этим); более того, в диспетчере устройств веб-камера нормально отображается. Также пропал значок сетевого подключения из трея; при этом все сетевые интерфейсы в реестре видны; также из панели управления невозможно ни создать новое подключение (появляется окно мастера создания нового подключения, но все стопорится на самом первом шаге, т.е. на этапе выбора типа подключения - мастер не реагирует на нажатие Next, только Back и Cancel), ни посмотреть свойства существующего - сначала выводится предупреждение, что не установлено ни одного протокола, хотя все протоколы видны в окне сетевого подключения, а кнопка Properties недоступна. Интернет при этом работает! Сетевой адаптер также нормально виден из диспетчера устройств. Ладно, фиг с ним, в конце концов, в ближайшее время мне точно не придется менять настройки TCP/IP, а после защиты диплома я в любом случае переустановлю винду. А сейчас, наверное, надо будет прогнать комп еще парочкой лечащих прог.
Пока нашла единственное упоминание о Trojan.WinSpy.988: http://216.246.91.178/~virusinf/showthread.php?p=763233

Блин, ну как же меня угораздило напороться на такую фигню - ведь всегда же стараюсь держать NoScript включенным, не тыкать куда попало... Надо будет написать админу rodimus.ru о вирусах на сайте (сайт-то этот жив и даже обновляется, но вот форум не чистится).

P.S. Я в курсе, как можно восстановить значок сетевого подключения в трее, уже нагуглила нужные ссылки.
P.P.S. После перезагрузок от BSOD'ов наблюдались следующие глюки: оформление винды изменялось с классического на стиль XP; то сбрасывалась, то восстанавливалась фоновая картинка рабочего стола; один раз после экрана приветствия появилось окно выбора пользователя, чего раньше никогда не было. Правда, один раз (вечером 9 июля 2007 г.) у меня самопроизвольно изменился фон рабочего стола - туда самопроизвольно встала картинка с описанием десептикона Соларстрайка, так что "фокусы" с фоном рабочего стола меня не удивили.
P.P.P.S. Еще после удаления вируса в диспетчере задач перестали показываться пользователи, от чьего имени запущен тот или иной процесс; такое бывает не всегда - когда-то показывается весь список пользователей, когда-то - ни одного пользователя, когда-то - только у System idle process (пользователь SYSTEM).
P.P.P.P.S. Сегодня обнаружила еще один глюк - когда вставляешь флэшку, в трее не показывается значок безопасного извлечения устройства. Сами флэшки нормально работают.
 
 
Настроение: worriedworried
Музыка: Ideas - 02-Phoenix | Powered by Last.fm
 
 
 
(Анонимно) on Февраль, 4, 2011 10:22 (UTC)
Вчера до обеда шарился по инету и хапанул эту заразу! Эта гадость не только в Windows/system32/sfcfiles.dll но и Windows/system32/spool/prtprocs/w32x86. У меня глюкнуло еще специфически! первый за сегодня старт прошел нормально! после перезагрузки начало воявляться BSOD! Вот стартанул CureIt и посмотрю чем закончится! Нашел гадость эту! но еще не конец скана