VMcS
19-11-2012 03:47 Подцепил заразу
редиректит все гугловские запросы на ihavenet.com
запрос в поисковике ihavenet.com вычищается

запускается дрянь из реестра через HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Amuvuuwi rundll32 "C:\Users\vmcs\AppData\Roaming\xwtpduin.dll",DKUWPY

прибил. чищусь.

ЧСХ MS Security Essentials его прозевал, ESET тоже, хотя последний отловил его запущенным в памяти, чем себя реабилитировал.
Группы: [ system ]
Комментарии:
доктор Пилюлькин
Как поймал ?
Копии не осталось ?

Камрад
Lelik По описанию в инете - возможно через эксплоит в Опере.
Копия как раз осталась! И избавиться от нее не удается.
xwtpduin.dll невидим ни в эксплорере (при включенном показе скрытых файлов) ни в коммандной строке, его видит Far, но ни удалить его, ни изменить аттрибуты не может. Все простые приемы не помогли, изощеренные еще не пробовал. Антивирусы его видят, сканируют, но ничего не находят.

доктор Пилюлькин
VMcS
Он прописал себя в аля защищенные файлы (реестр, не помню где). Стандартные возможности Windows его не видят т.к. смотрят на эту запись, а вот Far может

Если быстро/качественно, то скачай livecd usb (примерно 200Mb) с rutracker, загрузи комп с flashки и убей dll
например http://rutracker.org/forum/viewtopic.php?t=3146678

Закрыть