[Severny]

Скачай Cureit , и проверь системный диск в безопасном режиме.
Скачай HijackThis
сделай лог и выкладывай здесь.
Скачай AVZ , распакуй, обнови и перейди в меню
Файл-Исследование системы. Полученный лог запакуй и выкладывай здесь.

[asbo]

Severny, спасибо за оперативность.

Только вот в безопасный я раньше завтрашнего вечера не смогу :(
Каким из них можно на ходу попробовать с бОльшей степенью достоверности? AVZ я вроде трогал год-полтора назад. Его вперед и попробую. О результатах доложу.

[asbo]

Severny,
Ну вот. Первый результат. AVZ не видит этот вирус (он у меня в папочке сохранен). Я, конечно, просканировал загрузочный, системный, swap диски и TMP-хранилища (cache IE & OS). Со всеми галками на средней эвристике. Исследование системы тоже сделал. Подозрительного ничего не увидел. Кое-какие есть вопросики по отчету, но они не критичны, имо.

БУду пробовать HiJack. Я его, оказывается, тоже трогал буквально намедни (какая-то мдм из MS советовала в своем блоге).

[asbo]

Ну вот. Эпопея завершилась. Как всегда сама-собой.

Мне пришлось-таки перезагрузиться. В безопасном режиме проверился, по совету Severny, DrWeb не увидел этот вирус в его папочке, минут за 50 проверил от силы четверть планируемого, больше времени я не имел и выключил его. AutoRub-ом Руссиновича проверил всю автозагрузку. Криминала не нашел. Загрузился. Файер молчит. И ужЕ никто никуда не лезет. Видимо гадость эта осталась в памяти после остановки службы BTI, ну а после ресета, понятно, исчезла. Для интереса я запустил службу вновь, и вот уже пару часов файер молчит, на левые адреса никто не рвется. Службу остановил взад.

Жаль, что такие, казалось, зубры, как Nod, DrWeb, AVZ не видят его, по крайней мере на сегодняшний день...

Всем спасибо

[yurfed]

Очень интересный выход из ситуации.
Может ни чего и небыло?

[Severny]

asbo,
C:\_Vir\_Vir.rar/
Ну а что у тебя по этому пути? Судя по названию архив с вирусами, вроде как и не скрывалось.

[asbo]

yurfed,

Цитата yurfed:

Очень интересный выход из ситуации »

Ага. ВОвремя ты с комментом. А главное с полезным.

Цитата yurfed:

Может ни чего и небыло? »

Конечно. Ты появился после того, как все было. Осталась волшебная палочка без волшебной дырочки. А так - 145-я была бы. Чо за гонки на новичков беспонтовые? Я что, репорт от нормана в блокноте ваял?

Распальцованные антивири облажались в очердной раз - вот главный вывод. Хочешь его уточнить по-делу - во вложении он самый. Плз. Тренируйся и результаты отпиши поподробней (расширение не забудь сменить, архиватор можешь здесь взять http://www.rarlab.com/rar/wrar371.exe) .

Nod, кстати, до сих пор его не видит. Пять минут назад обновился до 2630(20071031).
Удачи.

[asbo]

Severny,
Да. Эта та самая папочка, куда я складываю заразу для анализа. С ней все нормально. Там, кроме сабжа, еще образцы лежат, раньше их подцепил. Они все упакованы и опасности не представляют. Это моя папка. Я же говорил, что сам-то файл я выявил сразу через файер и процмон и блокировал. А вот последствия его "труда" не удалось с лету.

Я для себя сделал вывод, что остался он где-то в памяти. Выгрузка службы без ресета не помогла. После ресета, понятно, все стало чисто. Но я не мог это сделать более суток.

[asbo]

То, что пишет норман в своем репорте о его инсталляции, у меня по другому было. C:\ - загрузочный. D:\ - системный. Папки Windows у меня нет ни на том, ни на другом. Она по-другому называется. Встал он в корень C:\. Файлы del.bat и H????D???? $. я по всем винтам не нашел. Видимо он их сам почикал. На второй узел besttopsearch2007.com не лез. Только на promocash24.com Запись в реестре есть, но на нее и другие сылаются, вроде легитимные, но я ужЕ не исследовал, благо сервис BTI остановил - мне он ни к чему. К тому времени, как понадобится - описание дельное будет к вирю, да ось, может, другая. Вот, вроде, и все