*** …Намедни попросили меня разобраться с очередным загадочным сбоем.
Настольный ПК (ОС – 64-битная Windows 7 SP1; ОЗУ – 4 гигабайта; 4-ядерный процессор) ужасно "тормозил" и глючил, на нажатия кнопок клавиатуры и мыши реагировал со значительной задержкой. При запуске веб-браузеров (при открытом интернет-подключении) автоматически загружалась всевозможная реклама.
Тщательное расследование инцидента показало, что система заражена вирусами. В фоновом режиме (сразу после запуска ОС) загружались и оставались резидентными: – процессы установленных в системе браузеров (Mozilla Firefox, Opera, Internet Explorer); – фейковый Процесс исполнения клиент-сервер (дисковый адрес – C:\Windows\csrss.exe; 177 152 байт; настоящий расположен по адресу C:\Windows\System32\csrss.exe; 7 680 байт); – фейковый Хост-процесс для служб Windows (дисковый адрес – C:\Windows\svchost.exe; 177 152 байт; настоящий расположен по адресу C:\Windows\System32\svchost.exe; 27 136 байт); – фейковый Диспетчер задач Windows (дисковый адрес – C:\Windows\taskmgr.exe; 73 216 байт; настоящий расположен по адресу C:\Windows\System32\taskmgr.exe; 257 024 байт).
В свойствах ярлыков для запуска веб-браузеров был прописано расположение bat-файлов, запускающих вредоносное программное обеспечение: – Internet Explorer – C:\ProgramData\xFwRQdtNc\qNIXCmTqfT5.bat; – Mozilla Firefox – C:\ProgramData\dyFWEQeDvW\ziqfcTLnv4.bat; – Opera – C:\ProgramData\tPWtvMAcw\keewSmNW3.bat.
Что же происходило? При запуске веб-браузеров в фоновом режиме командным интерпретатором обрабатывались вышеуказанные пакетные файлы. Далее в браузерах автоматически загружались сайты с рекламой.
Для лечения ПК был отключен от Глобальной сети (на время лечения). Все фоновые процессы веб-браузеров были выгружены из памяти. Также были выгружены фейковые Процесс исполнения клиент-сервер (C:\Windows\csrss.exe), Хост-процесс для служб Windows (C:\Windows\svchost.exe); Диспетчер задач Windows (C:\Windows\taskmgr.exe). Были удалены пакетные файлы C:\ProgramData\xFwRQdtNc\qNIXCmTqfT5.bat, C:\ProgramData\dyFWEQeDvW\ziqfcTLnv4.bat, C:\ProgramData\tPWtvMAcw\keewSmNW3.bat.
Далее для предотвращения повторного самозаражения системы был очищен кэш интернет-файлов.
После перезагрузки ПК заработал в штатном режиме.
*** Дело об очередном загадочном сбое закрыто…
Валерий Сидоров
*** • Дело о… • Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + … • Apps for iPad, iPhone, iPod touch…
|
18+
© 2016. All rights reserved.
Авторство всех материалов сайта https://netler.ru принадлежит Валерию Сидорову и охраняется Законом о защите авторских прав. Использование материалов сайта в offline-изданиях без согласования с автором категорически запрещается. В online-изданиях разрешается использовать материалы сайта при условии сохранения имени и фамилии автора и активной гиперссылки на сайт https://netler.ru.