Несколько дней назад я при входе на один из сайтов РУНЕТа, трижды поймал трояна. Изыскал возможность и сообщил владельцам сайта.Под видом трояна мой Каспер-7 выловил руткита. Их специалисты провели профилактику на сайте и на сервере и дали свои рекомендации. "Наши спецы говорят вот что. Этот вирь разновидность так называемых
руткидов, и очень суровый. Внедряется на уровне ядра NT с уровнем
"систем", т.е. администрирования.
Делает вот что:
1. перехватывает некоторые процессы на себя ( и только по этому его
можно вычислить) как - напишу ниже.
2. меняет где то в глубине системы настройки URL, т.е. некоторые
адреса подменяет несколькими своими url и разбавляет некоторыми из
Вашей истории для маскировки (по этому и попал www.sgravity.com - он здесь не причем как видите, насколько мы его сегодня смотрели, там нет даже файлов php)
При наборе Вами подмененного url выставляет свои (Вы привели один в письме) и качает по ним трояна.
Как быть. Вирь бессмертен, т.к. вирем как таковым ( по понятиям) не
является а косит под добровольно установленную комплексную прогу. Есть слухи что убивает его 7-й Каспер, но спецы наши не верят.
Можно сделать следующее - скачайте с инета AVZ - 4.27, обновите базы ( это бесплатно) - правда вирь старый, можно не базы обновлять.
Заускайте AVZ и смотрите какие процессы перехвачены ( их как правило несколько одной прогой - эта прога и есть ядро виря - обычно расширение .sys)
Если искать ее по пути - не найдете, но ищется набором названия в
виндовском "поиске". Найдите ее таким образом и удалите.
Все - вирь убит, НО!!! подменянные url найти не удастся Нужно
вычислить, при наборе каких ваш браузер отсылает по ВАми в письме
указаному url и не набирать его ((
И в дальнейшем переустановить ОС
Так что Валерий мы в этом не виноваты, вирь подцеплен где то на другом сайте.
А в будущем нужно: ставить файрволлы, хотя бы Панду, и лучше будет использовать Висту чем XP.
__________________________________________________
С Уважением, Виталий Рохмистров, информационная группа,
Школа Барислава Карина [c] 2004-2007
======================
Мои комментарии:
Спасибо за информацию такую подробную и метод борьбы с вирей.
Я действительно с одного места входил на этот сайт. Место это рассылка Школа Барислава Карина (Выпуск 69) она у меня в оутлуке., и с сайта Субскрайб, там где живет блог рассылки. Пытался написать в блоге сообщение, почему то не вписалось и я рискнул через другой сайт сообщить это.
Далее: Как реагировал мой каспер-7. Крик или визг Трояна я очень хорошо помню ( несколько раз пару лет назад, выводил всю систему таким визгом). Каспер задержал его на входе и выбросил красную табличку. Я дал команду удалить. Что и было сделано.После этого я отключал от сети комп и проводил полную проверку. Все чисто. Дополнительно у меня еще стоит анти-шпион от Агавы (бесплатная версия).
Комп работает как часики. Без тормозов и затяжек. Уверен, что этой вири нет. Если бы был, даже просто при работе вне Интернета, комп зависал бы.