Реванш над трояшкой

В продолжение вот этой заметки...

Пару дней назад Маман подключила, наконец-то, проводной инет от Билайна. После тормозного ADSL Домолинка (512Kbit/sec) два мегабита днём (и четыре ночью), причём симметричных и анлимных - это лепота. Но практически одновременно с подключением интернета у Маман резко активировались трояшки. Уж не знаю, где она их подцепила, но факт есть факт - трояшки имеются и даже себя активно проявляют - появляются непонятно откуда окна (консольные приложения) где скачет курсор.

Маман пожаловалась мне, я полез смотреть через удалёнку (конечно же, TeamViewer). Только невооружённым взглядом нашёл кучу заразы (лицензионный и свежеобновлённый NOD32 молчал в тряпочку), AVZ нашёл ещё кучку. Начал в FAR'е убивать налево и направо. Главная зараза (конечно же, ею оказался Conficker, но были и другие трояшки) сидела в C:RECYCLER, причём не в обычных тамошних подкаталогах вида S-1... а в R-1-что_то_там. Файлег назывался acleaner.exe, размером 41004 байт), в процессах не виден, не переименовывается не удаляется и всё в том же духе, т.е. явно запущен. В реестре нашёлся уж не помню в какой ветке, параметр taskman. Удаляться из реестра не пожелал, мгновенно перезаписывал параметр, если я его удалял или изменял. Права доступа тож возвращал в исходную позицию.

Продолжение...

Удалить в безопасном режиме, само собой, не удалось ибо трояшка и там грузился. Ещё один экземпляр нашёлся в C:Documents and Settings NetworkService Local Settings. И ещё куча копий в файлах вида XX.exe (где XX - произвольные две цифры, размер - всё те же 41004 байт). Единственный путёвый вариант - загрузиться с другого диска и удалить всё нафиг не прокатывал ибо у маман не было ничего такого подходящего загрузочного, и болванок тож нема, так что скачать и записать не получится. Да и скачать толком ничего не получалось ибо сайты не открывались, одна из зараз проксёй висела но нихрена через себя не пропускала.

В кэше IE нашлись файлики с адресами хостов, откуда подгружались новые трояшки, эти хосты быстренько были перенаправлены на 127.0.0.1, появление новых паршивых файликов прекратилось, а там уж я и активную мелочёвку подчистил. Но главный зараз всё ещё был во всеоружии, так что пришлось рискнуть и задать запрет на чтение того подкаталога R-1... в RECYCLER, где сидел acleaner.exe На удивление, права нормально удалились, после чего машину отправил в ребут...

Из которого она уже не вышла :-) Циклический ребут и хоть ты тресни.

Воленс-ноленс, придётся искать что-нить загрузочное. А время уж позднее. Позвонил Domini Kane, попросил записать на болванку какой-нить WinXP PE. Оповестил Маман, что ей надо будет быстренько до Ромыча мотануться. А Маман в том районе не особо ориентируется, тем более в темноте и по колдобинам. Так что пришлось давать отбой и думать как лучше поступить. Посоветовал на следующий день по дороге с работы заскочить в магазины и там поспрашивать виндовые лив-сиди.

На следующий день оказалось что в Туле таким не торгуют. Нигде ничего подобного не оказалось. Так что пришлось думать дальше. В итоге огромное спасибо Лёхе из офиса где Маман бывает по работе, за то что оперативно записал болваночку. Маман благополучно забрала диск, вечером созвонились, я записал себе точно такую же болванку, далее уже действовали синхронно. Я у себя на компе что-то делаю и командую Маман последовательность действий :-)

Где-то через пол-часа и несколько ребутов основная винда-таки начала нормально грузиться, ещё через пять минут появился инет а заразы и след простыл. Но появилась новая проблема - не подключается к сети. Роутера у Маман пока нет, комп напрямую подключён, надо VPN коннектить. А он, гад такой, не коннектится. Выдаёт ошибку авторизации 718. Хотя пять минут назад коннект к VPN был, но инета всё равно не было. Посоветовал отключить сетевуху, потом снова включить. Бред, но помогло :-) Впн приконнектилось, инет появился, Маман с радостным "тук-тук" постучалась в аську.

Дело сделано, винда грузится, трояшки повержены, инет работает.

А через пять минут пропал инет у меня... Как оказалось, авария у Билайна была, вот 718-я ошибка и выскакивала. Только вот у Маман со второй-третьей попытки завелось, а я до полуночи без инета просидел...

UPD> Можно уже на мониторе звёздочки рисовать - по количеству вылеченных по удалёнке через teamviewer тачек :-)