0xygen: кстати, есть у меня свежее длл-ко.. с меты в пятницу одному из руководителей конторы приползло. lsass.exe вылетает с ошибкой. Симптом кроме этого - 100% загрузка проца, с помощью запуска route.exe от имени системы все антивирусные провайдерами диапазонами /24 завёрнуты на адрес собственной сети на lan. Проверка длл-ки по вирустоталу - никто её не знает, как вирус. Себя эта длл-ка прописала в hklm\system\ccs\control\securityproviders (потому и лсасс вылетает, но никто юзеру не мешает успеть сказать shutdown -a и заняться лечением гадости), кроме того - пишет хвост к ключу userinit в винлогоне. Собственно, переименовать себя даёт, потом ресет компа и загрузка с ливчика, и чистка (ручками), насколько я понял - я поймал самое начало заражения этим "комплектом".
Лечил, как всегда, ручками и глазками (стадо екзешек + эта длл в систем32, аттрибуты своих файлов не подменяет, т.е найти легко отсортировав по дате.создания), антивирусы этого не знают, заражение далее не пошло (поймали вовремя)
На компе у знакомых, с нодом32 краденым - пошло дальше, приволокло модуль ядра, грузящийся из темпа в локалсеттингс (классический алгоритм, в общем-то). Тут пришлось работать авз + анализ глазками и лечение ручками.
Так вот. Уже знаю с десяток подобных случаев в Харькове..
ps по состоянию на сегодня, вирустотал:
Только панда сказала "подозрительный файл"..
мдя.
через ливцд какой нить.
