Category: отношения

Category was added automatically. Read all entries about "отношения".

vinny

Ботнет или Успешная история одного субботнего вечера

Нашел таки причину неведомой хуйни. Как всегда банально -- троянчег.

Вот как это было:

  1. После очередного такого зависона, начал исследовать проблему. Как уже говорил, пинг и трейс ходили, а вот другие проги нет. Ради интереса запустил wget, он мне выкинул "no buffer space available".

  2. С этой ошибкой я пошел в Гугл и через некоторое время выяснил, что это 10055 Winsocket error и она вызвана тем, что превышено количество допустимых подключений. Такое часто бывает когда какая-нибудь прога зыбывает их закрывать.

  3. Чтобы выявить подлеца скачал CurrPorts. Более продвинутый аналог системной утилиты netstat. Вскрытие показало, что процесс svchost занимается порочащей его деятельностью, а именно делает соединения на smtp порты ко всяким загадочным серверам. Помимо CurrPorts поглядывал еще в Sysinternals Process Explorer.

  4. "Ага!" — подумал я и отправил файл в онлайн проверку к Касперскому. Но ни он, ни avast! ничего не нашли. Странно... значит похоже кто-то другой юзает svchost для своих целей.

  5. После непродолжительного гугления вышел на Malwarebytes' Anti-Malware, которая нашла заразу в виде Rootkit.Agent, который загружался в качестве сервиса из ati4eixx.sys.

  6. Отметил на удаление и перегрузился. Поток соединений от имени svchost неожиданно прекратился :))



ЗЫ. До этого проверял NOD32 и еще ранее Ad-Aware -- оба ничего не нашли.