Спасибо за архив. Скинул в корень диска.
Как я понял *.COM приложение типо будет заставлять его включиться?
А он у меня т.е. как бы удален был, да?
В общем дело такое...
После того, как в корень положил 2 файла... Перезагрузился, поменял интерфейс подключения, начал запускаться, правда там везде были одни иероглифы в окнах где выбрать "безопасная загрузка" и т.д.
Зашел, загрузился...
Вдруг у меня резко ни с того ни с сего, когда я зашел под пользователь... У меня стала какая-то музыка играть, щелканья такие, как будто в ИЕ разные страницы открываются... И как только я открывал любой процесс, приложение, даже если тот же диспетчер задач, то у меня фаервол писал, что такой то процесс пытается перехватить нажатие клавиш... Процесс назывался svchost32.exe.... Я так подумал... Обычно все эти приложения доверенные, значит если Аутпост ругается - следовательно что-то внедрилось в explorer.exe
Кроме того у процесса svchost.exe нету никаких 32...
И тут я зашел в диспетчер задач и увидел этот процесс, но выключать не стал, а начал включать анализаторы соединений, процесс-вьюверы разные и т.д.
Я посмотрел путь к этому файлу.... А потом посмотрел какие соединения он использует, преимущественно всё шло через 80 порт, т.е. HTTP... И соединений было таки много... Также в основном все соединения шли через протокол TCP, но некоторые и через низкоуровневый UDP.
В общем я зашел в папку эту с вирусом, там в основном батники, также могу сказать, что вирус был написан на Delphi. Заметил много файлов разного содержания, в которых, был и мой айпи и вчерашнее число и ещё куча разных ссылок, видимо по ним оно заходило... Но я так и не понял откуда этот вирус взялся, и какая выгода с него писавшему... И как это он вообще прошел... В общем это я ещё разбираю... Сейчас просмотрю логи безопасности, весь лог аутпоста и спайбота за вчера. Проанализирую все это дело, а потом поищу по БД, может найду какие-то корреляции...
Кому нужен вирус - могу заархивировать и выложить.
Собственно вот где он был прописан: O4 - HKLM\..\Run: [svchost32.exe] C:\Program Files\Microsoft Standart Files\svchost32.exe
Пока что только это нашел... Теперь надо ещё будет попробовать его декомпиллировать типо, чтобы посмотреть хоть что-то... В конце концов из-за него не загружалось ничего, сейчас я его пофиксю, проверю как будет работать система и отпишусь...
P.S.: А так - спасибо всем большое за помощь.
