Включил сегодня компьютер и обнаружил, что процессор используется на 60% процессом с гордым именем explorer_3.exe. ProcessExplorer рассказал, что в параметрах процесса есть УРЛ какого-то сайта. При внимательном рассмотрении в папке C:\Windows обнаружились ещё 2 эксплорера – “_1” и “_2” вместе с bat_start.exe (эта оказалась кривой и при запуске упала с сообщением о несловленном исключении в .NET, чем, собственно, себя и выдала). Все имеют одну дату создания и ни одного опознавательного знака типа копирайта или ещё чего-то. Вспомнил, что вчера “устанавливал” гаджет для мониторинга батареи из файла BatteryMonitor__2348_i281263245_il16641.exe. Правда, никакой гаджет в итоге не установился (остался zip-файл с ним на рабочем столе), зато установилась кучка какой-то хрени:
При этом установщик использовал новый способ маскировки сообщения об установке “подарков” (для меня, по крайней мере – обычно на каждый “подарок” бывает своя страничка - да и станешь разве ожидать на Windows 8 установку какой-то андроидной развлекухи?):
Папки этих программ в C:\Users\...\AppData\Local\ имеют ровно такую же дату создания, что и “эксплореры”, и больше папок/файлов с такой датой на дисках не обнаруживается. Значит, отсюда троянец и заполз… Какого-то вреда от троянца не находится, сильно похоже, что на халяву пользуются процессором – в одной из папок троянца есть подпапка data7 с файлами, в которых есть строка “http://upload.voga360.com/mu3/…”. Bitcoin’ы добывают, что ли?
Интереснее другое: на компьютере имеется как встроенная “антивирусная” программа “Защитник Windows”, так и “антитроянская” программа
И ни одна
Похоже, дело кончится выбрасыванием всей этой пафосной “защитной” хрени и использованием парочки ClamWin + ClamSentinel. Там, по крайней мере, есть соответствующие настройки.
Комментариев нет:
Отправить комментарий