[QUOTE]marshal64 пишет:
Полностью? Просто на моей памяти были случаи, когда у нода возникали проблемы с доступом к System Volume Information, т.е. для очистки System Volume Information приходилось либо отключать Восстановление системы, либо загружаться из-под LiveCD.[/QUOTE]

У меня чёт таких проблем не было.

[QUOTE]zloyDi пишет:
Это вопрос к техподдержке....[/QUOTE]

Уже ответили, что разбираются. Ладно с этой бякой всё понятно, будем надеяться, что больше таких косяков не будет.

У меня кстати остался только один вопрос, каким образом Esset изначально признал эту заразу чистым файлом ?

[QUOTE]zloyDi пишет:
Скоре всего вирус использовал уязвимость именно Явы. [/QUOTE]

Нет, запуск Java я бы заметил. Внедрение прошло именно по портам MySQL, судя по всему, как чел ниже написал.


[QUOTE]marshal64 пишет:
А стоит обычный нод[/QUOTE]

Обычный. Чёт Смарт не купил. Может и имеет смысл, хотя у меня порты все прикрыты ( DCOM, RPC, NetBIOS ), а всякие UDP пакеты и шелупонь, успешно роутер отражает. Тут однозначно сам клювом прощёлкал.


Ну и напоследок, эта хрень положилась в SystemVolumetInformation в _restore, вот потому второй экземпляр возникал при каждом запуске. Щас всё ок. Обновлённые базы Nod Эту заразу чистят.  8)

Приложил полный файл автозапуска.

Вирус отослал. Лог по uVC уже смысла не имеет, систему откатил. Поэтому там нифига нет, всё чисто. ДА и прога что-то не грузится, сайт недоступен.

Обнаружил внедрение в систему. В папке автозагрузка появился файл 3zfvv3w3xfi.exe атрибуты системный скрытый. Антивирус молчал, как партизан. Более того, отправленный файл на анализ, ни один On-line сканер никак не детектировал. При старте системы файл запускался и шифровался под процесс SVCHOST, запущенный от Explorer.

Собственно проблема-то оказалась на в этом. Проблема оказалась в другом. При старте запустился не только этот один товарищ, но и второй, который обозначился как tk8jw213op.exe

Файл из автозагрузки был удалён, просмотрел реестр, вроде всё чисто. Однако. При старте системы запускался второй друг и создавал процесс SVCHOST. Поиски второго экзешника ни к чему не привели. Система каким-то макаром его находила также в папке автозагрузка. Но там было чисто чисто. Поиск по реестру, по компу ничего не давал. При старте системы я наблюдал запуск tk8jw213op.exe которые зачем-то запускал explorer.exe а затем всё это переходило в SVCHOST

Избавиться от этой петрушки было сложно. Короче после двух часов мучений, сделал откат по системе на 14.06 проблема решилась. Нагрузку этот процесс на память и процессор не создавал, правда когда он был в системе, при старте Apache, процесс httpd.exe начинал загружать машину на 60-80%. А уж отлаживать сайты было невозможно. Скрипты обрабатывались еле еле. После отката всё стало ок.

И еще, внедрение произошло тогда, когда я по ошибке с запущенным MySQL сервером, Apache, PostgrSQL вылез в сеть за какой-то надобностью.


Отправил файл на анализ в Esset и получил ответ:

Присланный Вами файл не является вирусом и соответственно не опасен. Спасибо
Ваше обращение № 454 921 закрыто.
Чтобы продолжить решение данной проблемы, обратитесь в техническую поддержку. При обращении в техническую поддержку необходимо будет указать номер Вашего обращения, указанный в начале данного письма.


Почесал репу и отправил сегодня файл в лабораторию DrWeb. Через час пришёл ответ:

>Угроза: Trojan.DownLoader3.32132
>Спасибо за сотрудничество.


Задал вопрос тех.поддержке Esset вот жду ответа.