Недавно заметил что на серваке сквид кушает 70-90 % процессорного времени. Непорядок, однозначно. Перелопатил пол-сервака - ничего что могло бы такие тормоза вызвать не нашёл.
Стал по-очереди отрубать клиентские подключения к сквиду. Первым делом отключил сетку бухгалтерии - загрузка проца сквидом сразу же упала до обычных 4%. Вотоно, как говорицца...
Попёрся в бухгалтерию. Обновил базы антивиря, всё проверил - ничего не найдено, типа всё чисто. Вернул по-очерёдно подключения бухгалтерских тачек к сквиду. При подключении первых трёх - процент сквида не менялся, а вот при четвёртой - опять сразу полез на 80%.
Короче, заразу локализовал. Полез лечить. Ещё раз прогнал NOD32 - ничего не найдено. Полез за струментом.
Струментом стали сисинтерналовские ProccessExplorer и TCPView.
TCPView сразу показал что winlogon.exe ломится на s14.esthost.eu:33344. Эстоооонцы атакуууууют, однаааааако...
Полез в ProccessView смотреть какие дллки он с собой тянет. Оказалось, что кучу дээлэлок. Стал убивать те, у которых вызываемая функция не указана и одновременно контроллировать, перестал ли winlogon.exe ломиться к эстоооонцам. Первой же подозрительной стала subsys.dll.
После ребута - всё чики-пуки, winlogon.exe перестал стучаться на левый эстооонский сервак.
Полученный (и скопированный на память) subsys.dll отправил Кашпировскому на проверку. Тот сразу матюгнулся что это некий Trojan-Downloader.Win32.Small.vuy.
Блин, если бы NOD32 его знал, то и шарить ProccessExplorer\'ом не пришлось бы, но так даже интересней получилось :-)
Ну а дальше, зная название трояшки, нашёл кучу рекомендаций по его убиванию и соббсно, его описание. Хотя всё это не пригодилось, ибо я уж сам нашёл всё что требовалось.
