Конференция VBStreets

**tyomitch** » 16.02.2006 (Чт) 13:17

Нечто запускается вместе c explorer.exe, записывает в темп свою библиотеку под случайным именем, ставит глобальный хук и из него ломится в интернет.

Образец библиотеки выложен на http://users.isnet.ru/tyomitch/uqc9.tmp (почему-то в этом разделе запрещены аттачи). На всякий случай в начало файла допечатаны два пробела, уберите их перед "исследованием".

Как найти, кто всё это вытворяет, и обезвредить?
В принципе, я и без explorer.exe могу прожить, но как-то это скучно :-|

**alibek** » 16.02.2006 (Чт) 14:01

В HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (Userinit) что указано?

**tyomitch** » 16.02.2006 (Чт) 14:42

В общем оказалось, что у меня практически все exe-файлы на компе заражены Win32.Partite.2 (и это реальный вирус, а не троян)
То ли explorer.exe грузился первым и поэтому палился только он, то ли вирус успел так разползтись, пока я разбирался в чём дело.
Обидно :-(

Топик, я думаю, можно совсем убивать.

**neic** » 17.02.2006 (Пт) 21:55

У моего друга 1000файлов на C:\ и фиг знает скока на D:\ (уходил было 40) за режены этим вирусом!

Признаки : начинает хавать файл подкачки ( у того же друга аж до 1700Мб подскочило) =(

**minotawr** » 18.02.2006 (Сб) 6:04

Сегодня выковыривал данную заразу с одного из компьютеров в своей сети (на работе), самое странное, что Win32.Partite был только на одной машине, и по остальной сетке не разлетелся. Кстати лецензионный, ежедневно обновляемый Каспер его не прочухал сразу... :evil: