|
English version |
***
…Намедни попросили меня разобраться с очередным загадочным сбоем.
Настольный ПК (ОС – 64-битная Windows 7 SP1; ОЗУ – 4 гигабайта; 4-ядерный процессор) ужасно "тормозил" и глючил, на нажатия кнопок клавиатуры и мыши реагировал со значительной задержкой.
При запуске веб-браузеров (при открытом интернет-подключении) автоматически загружалась всевозможная реклама.
Тщательное расследование инцидента показало, что система заражена вирусами.
В фоновом режиме (сразу после запуска ОС) загружались и оставались резидентными:
– процессы установленных в системе браузеров (Mozilla Firefox, Opera, Internet Explorer);
– фейковый Процесс исполнения клиент-сервер (дисковый адрес – C:\Windows\csrss.exe; 177 152 байт; настоящий расположен по адресу C:\Windows\System32\csrss.exe; 7 680 байт);
– фейковый Хост-процесс для служб Windows (дисковый адрес – C:\Windows\svchost.exe; 177 152 байт; настоящий расположен по адресу C:\Windows\System32\svchost.exe; 27 136 байт);
– фейковый Диспетчер задач Windows (дисковый адрес – C:\Windows\taskmgr.exe; 73 216 байт; настоящий расположен по адресу C:\Windows\System32\taskmgr.exe; 257 024 байт).
В свойствах ярлыков для запуска веб-браузеров был прописано расположение bat-файлов, запускающих вредоносное программное обеспечение:
– Internet Explorer – C:\ProgramData\xFwRQdtNc\qNIXCmTqfT5.bat;
– Mozilla Firefox – C:\ProgramData\dyFWEQeDvW\ziqfcTLnv4.bat;
– Opera – C:\ProgramData\tPWtvMAcw\keewSmNW3.bat.
Что же происходило?
При запуске веб-браузеров в фоновом режиме командным интерпретатором обрабатывались вышеуказанные пакетные файлы.
Далее в браузерах автоматически загружались сайты с рекламой.
Для лечения ПК был отключен от Глобальной сети (на время лечения).
Все фоновые процессы веб-браузеров были выгружены из памяти.
Также были выгружены фейковые Процесс исполнения клиент-сервер (C:\Windows\csrss.exe), Хост-процесс для служб Windows (C:\Windows\svchost.exe); Диспетчер задач Windows (C:\Windows\taskmgr.exe).
Были удалены пакетные файлы C:\ProgramData\xFwRQdtNc\qNIXCmTqfT5.bat, C:\ProgramData\dyFWEQeDvW\ziqfcTLnv4.bat, C:\ProgramData\tPWtvMAcw\keewSmNW3.bat.
Далее для предотвращения повторного самозаражения системы был очищен кэш интернет-файлов.
После перезагрузки ПК заработал в штатном режиме.
***
Дело об очередном загадочном сбое закрыто…
Валерий Сидоров
***
• Дело о…
• Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …
• Apps for iPad, iPhone, iPod touch…