…Я уже мечтала о том, как пятничным вечером буду сидеть в уютной кофейне, помешивать ложечкой горячий шоколад с мороженым и согреваться размышлениями о фрактальной природе времени, о путешествиях сквозь пространства и ещё о чём-нибудь, что хотелось бы изучить глубже, осознать в полной мере и погрузиться в этот абстрактный мир с головой. Но оставалось ещё одно дело – настолько незначительное на первый взгляд, что, казалось, я уже открываю дверь кофейни, чтобы войти в уютный зал с оранжевыми креслами…
Нужно было срочно распечатать одну бумажку. Обычно, я делаю подобное дома, но тут возникли такие обстоятельства, когда до папиной работы было ближе, чем до квартиры.

Вставила флэшку, не обратив внимания на запущенный скан антивируса, отправила документ на печать, параллельно просматривая письма на «Вконтакте». Знакомая просила глянуть её задание по информатике и, если у меня есть время, сделать. После того, как отнесла документы, пришлось зайти домой, где-то за час (с учётом неспешного чаепития и совместного со знакомой обдумывания того, как это всё оформить) выполнить работу, перекинуть с помощью флэшки с ноутбука на компьютер, который имеет выход в Интернет. Отправила.
Предчувствие вечера пятницы уже наступало на каждую клетку тела… Но я промахнулась кнопкой, нажала «Перезагрузить» вместо «Выключить» и решила, что, если уж такое дело, то можно отдать несколько минут чтению ЖЖ.
Экран встретил меня предложением закрыть какое-то окно.



Учитывая то, что IE я не использовала очень давно, предположила, что компьютер заботится о моём здоровье и хочет кого-нибудь отправить, чтобы закрыть форточку на кухне :). Поняла, что ни о какой кофейне речи быть не может. И полезла в диспетчер задач…



Красивые названия у приложений, не правда ли? :). Таких, к слову, было больше, чем на пруфпике. Некоторые я посчитала нужным остановить – вдруг бы помогло? Перезагрузилась – они появились снова. Symantec на что-то ругался, но легче от этого не становилось. Загрузка ЦП постепенно приближалась к 80%. Узнала, с какими процессами связаны приложения, названные чудесными и похожими кодировкой именами, выписала в блокнот и остановила эти процессы. К слову, Гугл, когда вбила их названия, про них почти ничего не сказал. Глубокий скан локальных дисков результатов почти никаких не дал, кроме test2.exe, который тут же был помещён в карантин и, вроде как, удалён. Было очевидно, что это далеко не всё. Мне, но не моему антивирусу. Перепробовала если не всё, то многое: искала и McAfee, и Malwarebytes' Anti-Malware, и AVZ с применением скрипта, ребутнувшего компьютер, и Касперским в режиме онлайн (он долго загружал свои базы, много что нашёл, ничего не удалил; разбудил отключенный Symanteс, который устроил бунт – вероятно, не без помощи процесса fns.exe, после принудительного завершения которого безобразия прекратились).



В итоге, снесла Symantec, поставила Avast. Вирусов и повреждённых объектов он нашёл и удалил, конечно, больше, но с теми странными приложениями почему-то не справился. Открыла блокнот, где были записаны имена процессов – avsr.exe, msmp3.exe, cleannt.exe, naxmgr.exe, и – куда же без него – explorer.exe. Выцарапала их поиском из мест обитания. На моё удивление, к каждому процессу «прилагался» файл с расширением *.pf и схожестью в именах с процессом. Снесла всё, кроме explorer’a, к чёртовой бабушке. Перезагрузилась. Всё чисто, никаких приложений со странными именами в диспетчере задач больше не светится, процессов, грузящих ЦП, тоже нет.
Решила проверить и ноутбук на наличие вирусов и этих процессов. Пустота. По крайней мере, была. Пока ноутбук не подцепился по старой памяти к беспроводной сети. Сразу же подхватил naxmgr.exe.
…Вот так вечер пятницы прошёл не в кофейне за размышлениями, как хотелось, а затянулся дома до утра субботы.


Что тут можно сказать о тех заразах, которые я принесла домой и обезвредила…

Список процессов:

1. avsr.exe (не путать с gsvr.exe, который является процессом, относящимся к материнским платам Gigabyte).
2. msmp3.exe
3. cleannt.exe
4. naxmgr.exe
5. test2.exe

Случившееся наталкивает на некоторые выводы:

1. Зараза проникает, похоже, через дырки в IE.
2. Может заражать флэшки.
3. Проявляет активность на компьютерах, подключенных к Интернету (на ноутбуке через поиск не находился ни один из вышеперечисленных файлов, когда он не был подключен).
4. Процессы чрезмерно загружают ЦП.
5. Вероятно, не распознаются антивирусами (кроме, наверное, test2.exe).
6. Распространяются только на Windows 32-bit. Втыкали заражённую флэшку на 64х виндах – ничего не произошло.

Если я где-то ошибаюсь, и кто-то знает больше об этой заразе – прошу поправить.