Skip to content

Virus/Rootkit

В пятницу совершенно случайным образом словил себе на компьютер какую-то заразу. Зашёл на страницу в wikia.com, файрфокс вдруг открыл новое окно с какой-то совершенно идиотской страницей, без текста, но с какими-то квадратами от отсутствующих плагинов. Я это дело прибил, но оно успело установиться в самую глубину системы и стало в файрфоксе раз в пять минут открывать таб с какими-то рекламными сайтами, плюс кликанье на результаты поиска в гугле через раз открывало откровенно спамерские сайты с “поиском” тех слов, что я искал на гугле. Плюс Гугль Хром вообще отказывался запускаться, а Интернет Эксплорер 9 открывал исключительно не те страницы, что я хотел, а те, что кому-то там надо было рекламировать.
Прочесал систему всеми сподручными средствами, антивирусами и анти-руткитами – ничего нет. Но проблема всё равно есть! Плюс система стала раз в полчаса падать с синим экраном… Попробовал восстановить из Windows Restore – не удалось, так как все ресторы были инвалидными, видно зараза по ним прошлась первым делом.
Перегрузившись в очередной раз, решил я глянуть – а не подключён ли я к кому-то сразу после загрузки. Набрал “netstat -abno” – и правда, подключён по HTTPS к какому-то хосту, расположенному на server.lu Пошёл в настройки Windiws Firewall и запретил доступ к этой подсети. Посмотрел что за процесс установил соединение, оказалось svchost.exe. То есть та штуковина, которая запускает все сервисы. Хм, посмотрел на сервисы – вроде бы только майкросовтовские, обычные, запущены… Перегрузился. Опять нетстат – неа, нет никакого соединения, файрволл сработа… БАБАХ – Синий экран!
Перегружаюсь – “MISSING BOOTRECORD” Опаньки! Получается что руткит, которому отрезали связь с мастером, просто берёт и убивает системный диск! И это – несмотря на всякие Data Execution Protection на Hardware уровне, на всяческие пляски с escalation если программа лезет куда-то не туда. Windows 7 64bit, хвалёная…
Короче делать было нечего, пришлось найти запасённый двд с Windows 7 и установить всё заново. Данные, которые жалко потерять, у меня хранятся в отдельных от системного диска местах, плюс они задублированы. Но потерялся файл от iTunes, где вся музыка была отсортирована и почти вся оценена… Потерялся только потому, что ненатуралы из Майкрософта все программные настройки и My Documents кладут рядом с Windows, то есть на системном диске.
Теперь на домашнем компьютере новые правила: по сети буду ходить исключительно из виртуальной машины. На реальную машину будет ставиться только что требует реальных ресурсов: программы для обработки фоток и игры. Плюс всё свежескачанное из пиратских мест барахло будет проходить проверку на вшивость путём предустановки в специально отведённую для таких целей виртуальную машину без доступа к сети. Пусть там удаляют партишн таблицу, хаха!
Видимо словил какой-то 0-day руткит… Теперь буду осторожничать и бэкапить, бэкапить, бэкапить!

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.