Вирус

Искал кей-ген для запуска CS. И вроде бы даже нашел. Небольшой архивчик с тремя файлами: текстовиком и двумя экзешниками. И чего я полез сразу запускать экзешник с именем keygen.exe? Нет чтобы сперва заглянуть в txt и увидеть там серийник.

Как итог, через несколько минут заорал Outpost: winlogon.exe что-то там поменял в памяти iexplorer.exe. Благодаря Oupost'у ничего в наружу не вылезло. Но, если честно, уже на следующий день начало конкретно бесить, что любое окно IE через некоторое время блокируется firewall'ом.
NOD32 честно молчал. И это мне не очень понравилось. Поэтому я принялся шерстить винт в поисках заразы. Нашел кучу новых файлов за последние дни, но это мне ничего не дало: файлов много, а информации о том, что же я подхватил нет. Запустил проверку встроенным в Outpost сканером на spyware. Получил информацию о том, что гадость сия зовется Mezzia. NOD32, как и следовало из его действий, ничего подобного и не слышал. Под рукой оказался небольшой дизассемблер. Прошелся я им по keygen.exe и понял, что где-то все это дело висит в windows/system32 в какой-то хитрой dll-ке. Дальше уже было проще: поиск dll в указанной папке за последние два дня. Ву-аля! Некий winmbj32.dll был единственным подозреваемым.

Дальше еще проще. Поиск в реестре по имени этой dll, небольшой бэкап найденной ветки и удаление инфы об winmbj32.dll. Собственно, и удаление самой dll с винта. Ребут и все чисто. Больше никто не ругается.
Решил проверить, как быстро в ESET распознают гадость и внесут (а внесут ли?) в базу. Скорость не порадовала: двое суток потратили ESET, чтобы научить распозновать гадость, которую есэтовцы обозвали Win32/Agent.QT троян.
Вот такой мой скромный вклад в борьбе с вирусами.

2 thoughts on “Вирус

  1. Респект за подсказку !

    Избавился от своего «зверя» (winosz32.dll )

Добавить комментарий