VMcS
03:47 19-11-2012 Подцепил заразу
редиректит все гугловские запросы на ihavenet.com
запрос в поисковике ihavenet.com вычищается

запускается дрянь из реестра через HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Amuvuuwi rundll32 "C:\Users\vmcs\AppData\Roaming\xwtpduin.dll",DKUWPY

прибил. чищусь.

ЧСХ MS Security Essentials его прозевал, ESET тоже, хотя последний отловил его запущенным в памяти, чем себя реабилитировал.
Комментарии:
Lelik
10:46 19-11-2012
Как поймал ?
Копии не осталось ?
VMcS
15:48 19-11-2012
Lelik По описанию в инете - возможно через эксплоит в Опере.
Копия как раз осталась! И избавиться от нее не удается.
xwtpduin.dll невидим ни в эксплорере (при включенном показе скрытых файлов) ни в коммандной строке, его видит Far, но ни удалить его, ни изменить аттрибуты не может. Все простые приемы не помогли, изощеренные еще не пробовал. Антивирусы его видят, сканируют, но ничего не находят.
Lelik
16:37 19-11-2012
VMcS
Он прописал себя в аля защищенные файлы (реестр, не помню где). Стандартные возможности Windows его не видят т.к. смотрят на эту запись, а вот Far может

Если быстро/качественно, то скачай livecd usb (примерно 200Mb) с rutracker, загрузи комп с flashки и убей dll
например http://rutracker.org/forum/viewtopic.php?t=3146678