Среда
24.05.2017
17:40
Календарь
«  Июнь 2015  »
ПнВтСрЧтПтСбВс
1234567
891011121314
15161718192021
22232425262728
2930
Категории раздела
Работа [95]
Компьютеры, куда ж мне без них.
Статья [22]
Материал, призванный помочь в сфере, для которой написан
Семья [30]
Все, что касается семьи
Разное [25]
Все, что не вошло в другие категории.
Поиск
БЛОГ- 5ка новых
[20.05.2017>> Заблокировали на сайте? Решаемо.
[17.05.2017>> На счёт раз напрягаемся, на счет два расслабляемся: блокировка ресурсов на Украине... отменяется :)
[13.05.2017>> Компьютерные разводилы)
[06.05.2017>> "Компьютерный сервис" или "компьютерное кидалово": что вернее?
[17.03.2017>> Пара слов о Pale Moon
БЛОГ- комментируем
[04.01.2017] [Работа] [ShaddyR](53)
>> Опыт: мошенники в интернете - данные кидал, аферистов, с которыми пришлось "познакомиться"
[10.07.2012] [Статья] [ShaddyR](35)
>> Опыт: Патч ReadyFor4GB или Практическое применение мифической таблетки.
[24.07.2016] [Статья] [ShaddyR](26)
>> Выбор компьютера - шаблоны типовых конфигураций
[21.02.2013] [Разное] [ShaddyR](18)
>> Victoria 4.47 (неофициальная windows-версия)
[30.03.2016] [Работа] [ShaddyR](14)
>> RJ-45? Не важно, как обжать, лишь бы одинаково было?
[06.10.2016] [Разное] [ShaddyR](11)
>> Промокод или халява-налетай :)
[13.04.2013] [Работа] [ShaddyR](11)
>> Кошелек или... карма? ;)
[31.01.2015] [Работа] [ShaddyR](9)
>> M$ и день, потраченный впустую
[25.01.2013] [Статья] [ShaddyR](8)
>> Алгоритм диагностики нестарта компьютера
[06.10.2012] [Семья] [Zozulia](7)
>> ЧП в нашей семье
Полезные ссылки
  • OSZone.net - Компьютерный информационный портал + Форум
  • Parent-Guide.info - Родительский путеводитель
  • SpeedTest.net - проверка скорости интернет-канала
  • Удаленная помощь - TeamViewer
  • Удаленная помощь - Ammyy Admin
  • Личный уголок Шедовых

    Мысли о...

    Главная » 2015 » Июнь » 25 » Троян с интересными симптомами: отключен звук, mute.
    21:06
    Троян с интересными симптомами: отключен звук, mute.

    http://yakhow.ru/uploads/posts/2015/3/kak-ustranit-trojan_1.gifНачалось с того, что клиентка нахваталась вредоносных программок в свой ноутбук Lenovo. Вредоносов я вычистил, вроде порядок, сканеры ничего не находят, руками все перерыл, никаких больше рекламок не вылазит и ничего не тормозит - отлично. Звонит со словами "А у меня теперь нет звука. Точнее, на звуке стоит птичка "отключить звук" и не снимается". Чудеса, думаю, надо глянуть. Приехал. Действительно, драйвера звука на месте, аудиоустройства установлены верно и правда в регуляторе громкости включена функция "mute", причем перманентно - не меняется состояние, при попытке снять галочку она мгновенно возникает на том же месте.

    По началу решил, что балУется родная утилита Lenovo - может, заедает что в ней, случаи бывали. Сношу ее, заодно захожу в процессы, посмотреть, что там... вижу какой-то неизвестный мне процесс stdrt.exe, убиваю, отказываюсь от перезагрузки, предложенной удаляемой утилитой, снимаю галочку и... о, звук есть, значит таки Ленововская болячка. Отлично, перегружаюсь, звук приветствия слышу, ставлю заново утилиту Lenovo, перегружаюсь и... снова нет звука и птичка упорно не снимается. Да что задела? Снова удаляю утилиту, перегружаюсь - а звука все так же нет! И утилиты нет уже. Но как-то же я звук получил? Воспроизвожу последовательность действий в памяти и вспоминаю неизвестный процесс, удаленный с памяти... связи не улавливаю, но иду в диспетчер задач и - таки да, указанные запускаемый файл на своем месте. Недоверчиво удаляю процес, снимаю птичку в регуляторе громкости - мы снова при звуке. Вот так новость! Снова пробегаю утилитами по всем точкам, где может грузиться файл с именем stdrt.exe - а нигде не грузится, вот хоть убейся... но как-то же он попадает в память? Делаю поиск по имени - замечательно: папка временных файлов полна папок вида MRT2.TMP, с указанным файлом внутри, с занятной иконкой . Очищаю папку полностью, перезагружаю систему, иду снова в папку временных файлов... она все так же пуста... с минуту... затем снова появляется подпапка знакомого вида, с тем же гадостным файлом и парой вспомогательных. Что за Копперфильд такой? Лезу в яндекс, узнаю - точно, троян, почти никакому антивирусу не знакомый - на ПК как раз стол Касперский, до него был MSE - ноль; на вирустотал из 47 антивирусов его знали 4.

    Выходит, у него в системе есть сообщник... что ж, будем искать. По информации с форумов, искать следовало файл

    C:\WINDOWS\SYSTEM\REGSRV.EXE

    или adbcnsl.exe в папке system32. Ни того, ни другого я там не нашел. Зато сортировкой по времени создания нахожу в папке system32 другой файл с той же иконкой - lnsecsl.exe. Сайт вирустотал дает ему абсолютно тот же диагноз - 4\47. А поиск по системе дает информацию о том, откуда у него ноги растут: в системе имеется хорошо замаскированная служба, мозолившая мне глаза, но не вызывавшая явного подозрения:

    Имя: Adobe Licensing Console
    Описание: This service allows console management and licensing for FLEXnet enabled products.
    Запускаемый файл: C:\WINDOWS\System32\lnsecsl.exe

    Вот такая вот собака поселилась. Зверек прикольный, но хозяйка шутку со звуком не оценила... пришлось пристрелить... нет, не хозяйку, а именно зверька. ;)

    Категория: Работа | Просмотров: 479 | Добавил: ShaddyR | Теги: вирус троян trojan | Рейтинг: 5.0/2
    Всего комментариев: 0
    Добавлять комментарии могут только зарегистрированные пользователи.
    [ Регистрация | Вход ]