В пятницу совершенно случайным образом словил себе на компьютер какую-то заразу. Зашёл на страницу в wikia.com, файрфокс вдруг открыл новое окно с какой-то совершенно идиотской страницей, без текста, но с какими-то квадратами от отсутствующих плагинов. Я это дело прибил, но оно успело установиться в самую глубину системы и стало в файрфоксе раз в пять минут открывать таб с какими-то рекламными сайтами, плюс кликанье на результаты поиска в гугле через раз открывало откровенно спамерские сайты с “поиском” тех слов, что я искал на гугле. Плюс Гугль Хром вообще отказывался запускаться, а Интернет Эксплорер 9 открывал исключительно не те страницы, что я хотел, а те, что кому-то там надо было рекламировать.
Прочесал систему всеми сподручными средствами, антивирусами и анти-руткитами – ничего нет. Но проблема всё равно есть! Плюс система стала раз в полчаса падать с синим экраном… Попробовал восстановить из Windows Restore – не удалось, так как все ресторы были инвалидными, видно зараза по ним прошлась первым делом.
Перегрузившись в очередной раз, решил я глянуть – а не подключён ли я к кому-то сразу после загрузки. Набрал “netstat -abno” – и правда, подключён по HTTPS к какому-то хосту, расположенному на server.lu Пошёл в настройки Windiws Firewall и запретил доступ к этой подсети. Посмотрел что за процесс установил соединение, оказалось svchost.exe. То есть та штуковина, которая запускает все сервисы. Хм, посмотрел на сервисы – вроде бы только майкросовтовские, обычные, запущены… Перегрузился. Опять нетстат – неа, нет никакого соединения, файрволл сработа… БАБАХ – Синий экран!
Перегружаюсь – “MISSING BOOTRECORD” Опаньки! Получается что руткит, которому отрезали связь с мастером, просто берёт и убивает системный диск! И это – несмотря на всякие Data Execution Protection на Hardware уровне, на всяческие пляски с escalation если программа лезет куда-то не туда. Windows 7 64bit, хвалёная…
Короче делать было нечего, пришлось найти запасённый двд с Windows 7 и установить всё заново. Данные, которые жалко потерять, у меня хранятся в отдельных от системного диска местах, плюс они задублированы. Но потерялся файл от iTunes, где вся музыка была отсортирована и почти вся оценена… Потерялся только потому, что ненатуралы из Майкрософта все программные настройки и My Documents кладут рядом с Windows, то есть на системном диске.
Теперь на домашнем компьютере новые правила: по сети буду ходить исключительно из виртуальной машины. На реальную машину будет ставиться только что требует реальных ресурсов: программы для обработки фоток и игры. Плюс всё свежескачанное из пиратских мест барахло будет проходить проверку на вшивость путём предустановки в специально отведённую для таких целей виртуальную машину без доступа к сети. Пусть там удаляют партишн таблицу, хаха!
Видимо словил какой-то 0-day руткит… Теперь буду осторожничать и бэкапить, бэкапить, бэкапить!
Archives
Categories
android blogging books cars denmark downloads food gadgets globalmadness hack hardware HD home howto HTPC humor ideas idiots internet investing IPhone java life links mediacenter movies music photo piracy politics question recruiters russia shopping software technology travel tv uk Uncategorized usa video web 2.0 wordpress work