О неизвестных spyware
На прошлой неделе травил у себя на компе неизвестную дрянь.Скорее всего spyware.Симптомы:при полностью рабочей системе (переустановил 1 октября начисто с форматированием и очисткой всего диска ,со всеми обновлениями) при работе браузеров TOR или Opera,Edge, вдруг происходил lockaut подключения к сети.Причём ОС показывала,что подключение к интернет не нарушено,адаптеры сети в норме,при попытке перезапустить любой браузер они не реагировали т.к. в оперативной памяти был намертво заблокирован исполняемый процесс брраузера.Удалить его оттуда не могли даже сверхмощные утилиты лечения AVZ,спецутилита Microsoft Process Explorer запустилась но не смогла прекратить блокировку с баннером "Отказано в доступе". Adwcleaner-ещё одна мощная лечащяя утилита ,не запустилась,заблокировалась и осталась висеть в памяти. Пришлось перегружать машину с аварийным остановом и разбираться вручную,т.к. основной антивирус ZA Pro никак не реагировал.После перезапуска и введения в режим "чистой загрузки" с помощью AVZ запущенной с подключённой флешки стали видны некоторые подробности вредоноса.Был сформирован ещё один default профиль на компьютере,получивший привилегии суперпользователя (как при удалённом принудительном администрировании с сервера Microsoft).В корне диска С сидела папка с директориями,папка была в автозагрузке,и две папки были в Appdata. Конечно были насованы и посторонние ключи реестра.Всё это настолько сногсшибательно,поскольку был отодвинут в сторону мощнейший двусторонний файерволл ZA ,который следил за системой и реестром и его настройки не позволяли ни изменение реестра,ни системных файлов,ни элементов автозагрузки ни дефолтных настроек IE, ни подгрузки AktiveX элементов! Кроме того,левые записи обнаружились в томе System ( системный загрузчик UEFI).Причем запущенные крутые MBAM и MBAR ничего не нашли,хотя они сканируют этот загрузочный раздел диска 0. Пришлось это всё удалять в ручную и пересоздавать системный загрузчик.Кроме того была поражена служба Cryptsvc-системная служба криптографии,которая выдавала ошибку 1052 (доступ запрещён).И САМОЕ ИНТЕРЕСНОЕ-при попытке скопировать файлы папок вредоноса в карантин AVZ они самоуничтожились! Естественно,левый профиль удалил,папки тоже, ключи реестра удалились утилитой AVZ ,как только я удалил левый профиль с машины.Папки удалял file assassin-ом, всё остальное их не брало, даже unloker. Вот такие чудеса бывают,господа атеисты и гости ресурса.Что это за зверь у меня поселился -не знаю.Левых процессов и попыток выхода за периметр файерврлла не наблюдаю.Самое возмутительное,что мощнейший мой защитный комплекс с ещё одним фильтром в роутере,web-зонтиком,файерволлом,антивирусом,антималварными сканерами,и защитой от runsomware НЕ ИЗДАЛИ И ПИСКА!
ЗЫ:Аккуратнее работайте в deepweb господа.Эта дрянь оттуда.