Позвал давеча босс с банальной проблемой - "флешка не открывается" (с). Ну думаю щас прищучим в пять сек. Ан-нет. Зверек попался интересный.
1. Нодом естественно невидим
2. Естественно не дает выставить "показывать скрытые"
Какая в сущности банальность. Начинаем убивать.
Autorun.* обнаружен только на флешке. Чистим ее, не поулчается. Покуда зверь висит в памяти - постоянно отслеживает наличие личинок на флешке и в случае очистки регенерирует.
Обнаружен %windir%\system32\explorer.exe, который даже и не думал прятаться от процесс эксплорера. Убиваем, зачищаем флешку, лезем в \system32\ убивать - там его нет. После ребута естественно зверь снова жив мешает боссу открывать флешку. Проверяем авторансами, ищем %windir%\system32\explorer.exe - и не находим. Значит есть запускальщик, а все эти дешевые фокусы - для отвода глаз.
Итак, не сталкивался ли кто с этим чудом? Подскажите где искать его рассадник. Дополнительные приметы:
- по всей видимости это прокси/сокс-бот, listening на двух рандомных портах
- по данным процесс эксплорера был запущен легальным explorer.exe. Ничего не понимаю
Короче, надеюсь на вашу помощь гггг, бо вообще ламер