А вот и вирус!

Точно такую же заморочку имел несколько дней назад - видать, эпидемия? Выкорчевал вручную, пропахивая system32 и реестр, но каждый раз сомневался, не удаляю ли что-то важное... Интересно, есть ли списки (или проги), которыми можно точно определить, относится ли данный файлик к легальному составу ОС, или он "пришлый"? Метод сравнения с соседским ПК не предлагать - на нём может быть совсем другой набор установленных программ.

И у нас на работе подобная херня на одном из компютеров завелась, только сообщение по русски в трее выводит. Надо будет посмотреть на наличие вышеописанных файлов. Антивирусник тоже не помог.

Спец:
пропахивая system32 и реестр
Я сперва отключал процессы, пока "крест" не исчез (для этого надо было каждый раз на него курсор наводить). А потом уже нашёл и удалил "вычисленый" экзешник.

Неплохая утилитка есть здесь http://z-oleg.com/, недавно сам ей вирь гонял.

Сергей ps: Сергей ps
17 апреля, 19:39

Неплохая утилитка есть здесь http://z-oleg.com/, недавно сам ей вирь гонял.

Я уже AVZ здесь рекомендовал использовать,но только в дополнении к основной антивирусной программе.Про антивирусные программы , кто какие использует - не комментирую.

Спец: Интересно, есть ли списки (или проги), которыми можно точно определить, относится ли данный файлик к легальному составу ОС

так вот http://anvir11.narod.ru/ с предыдущей страницы - пытается это делать.

Между делом, "шпионским" >
Черный список antispyware. > http://softoroom.net/topic13367.html

Программы,которым можно доверять:

1. AD-AWARE SE PRO . Доверием пользуются все продукты этой компании

2. Spybot Search&Destroy.

3. Антивирусная утилита Зайцева (AVZ)

4. Microsoft AntiSpyware
***
Ежели в системе не наблюдается левый процесс (все Анти.. и бессилны )
но глюки наблюдаются, желательно проверить а что по WinLogon (Current system) в реестре >
> "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\"

если имеются левые записи (загрузка из левых папок, не из windows и т.д., кроме crypt32chain, cryptnet, cscdll, ScCertProp, Schedule, sclgntfy, SensLogn, termsrv, wlballoon - они без директорий)
Разобраться, к чему он и лишние убить.

Ну в реестр лезь требуется ежели нечем просмотреть из порядочного приложения.
Ежели имеется Spybot Search&Destroy Он усё покажет И, удалит, при вашем желании.
(Помимо поиска гадости, в нём много приблуд просмотра (в том числе и Автозагрузка, которую Вынь частично скрывает, и..и...)

ЗЫ
Весьма полезная штучка (всё в ту же тему) Process Monitor v1.32 >
http://technet.microsoft.com/ru-ru/sysinternals/bb896645(en-us).aspx

Блин, и её Майкроглюкт к рукам прибрал
Пользовал давно, но от другого Владельца (и искал по старым ссылкам, А, нашлась у "Дядьки Б." )

Сотрудники "Доктор Веб" выявил спам-бота руткит-невидимку:

Многие из нас замечают странные утечки трафика, а наши почтовые ящики по оценкам специалистов почти на 90% переполнены совершенно ненужной и раздражающей информацией. Одной из причин такого невиданного уровня спама как раз являлся Win32.Ntldrbot.

Главное предназначение Win32.Ntldrbot – заражать ПК, превращая их в боты, с которых впоследствии можно рассылать спам, и создавать из таких зараженных компьютеров ботнеты – гигантские сети по рассылке спама. Но не только заражать, а еще и оставаться абсолютно невидимым. Что с успехом и делал этот руткит предположительно с октября 2007 года! По оценке компании Secure Works бот-сеть, созданная Rustock, стоит на третьем месте среди крупнейших бот-сетей и способна рассылать ежедневно до 30 миллиардов спам-сообщений. Основная область «специализации» этой сети - ценные бумаги и фармацевтика.
.........................
Некоторые технические характеристики Win32.Ntldrbot :
-Имеет мощный полиморфный протектор, затрудняющий анализ и распаковку руткита.
-Реализован в виде драйвера уровня ядра, работает на самом низком уровне.
-Имеет функцию самозащиты, противодействует модификации времени исполнения.
-Активно противодействует отладке - контролирует установку аппаратных точек останова (DR-регистры), нарушает работу отладчиков уровня ядра: Syser, SoftIce. Отладчик WinDbg при активном рутките не работает вообще.
-Перехватывает системные функции неклассическим методом.
-Работает как файловый вирус, заражая системные драйверы.
-Конкретный экземпляр руткита привязывается к оборудованию зараженного компьютера. Таким образом, на другом компьютере руткит с большой вероятностью работать не будет.
-Имеет функцию перезаражения, срабатывающую по времени. Старый зараженный файл лечит. Таким образом, руткит «путешествует» по системным драйверам, оставляя зараженным какой-нибудь один.
-Фильтрует обращения к зараженному файлу, перехватывая FSD-процедуры драйвера файловой системы и подставляет оригинальный файл вместо зараженного.
-Имеет защиту от антируткитов.
-Имеет в составе библиотеку, внедряемую в один из системных процессов. Данная библиотека занимается рассылкой спама.
-Для связи драйвера с DLL используется специальный механизм передачи команд.

подробнее

Cherema: Программы,которым можно доверять:
...3. Антивирусная утилита Зайцева (AVZ)...
Как-то не верится, что один человек смог создать, а главное - поддерживать (т.е. отслеживать и в реальном времени успевать пополнять антивирусные базы) приличный антивирус на уровне не хуже известных монстров NOD32, Каспера и т.п. А если уровень ниже, то понятное дело - стоит ли связываться?
Или у AVZ есть какие-то особые преимущества перед монстрами?

Спец: Как-то не верится
Я тоже не верил, но проверил... и поверил

Спец: Или у AVZ есть какие-то особые преимущества перед монстрами?
Многие антивирусы бессильны против руткитов, недавно впоймал с помощью AVZ одного такого гада(хотя другие антивирусы его не видели) - теперь компьютер ведет себя прилично