Live Security Platinum - свіжий вірус
Що стосується самого Live Security Platinum, то він, зрозуміло, просив активуватися, що б перейти з режиму демонстрації в повноцінний і, нарешті, покінчити з усією цією нечистю на комп'ютері користувача. Для цього треба просто придбати цю чудову програму. При його мізерному розмірі, у нього було навіть меню, в якому навіть був чекбокс, щоб відключити автозапуск, але, напевно, в цій версії програми ще цю можливість не реалізували :)
Отже, пошуком файлів зловредів був знайдений, і потім заблокований. (Як заблокувати см. Тут) Після перезавантаження він дав себе спокійно завантажити в карантин ожила Avir'е і відправився в лабораторію компанії.
Ось він у себе вдома, разом з іконкою, яка сиділа в треї, повідомляючи про одягну загрози:
Але Live Security Platinum залишив для мене і загадки. Я не зміг знайти точку його запуску. У реєстрі було тільки це:
Можливо, він запускався іншим exe-файлом, тому що в тимчасових теках були ще gweho.exe, файл виду 0.абракадабра.exe, і купа всяких .tmp Загалом, я не задоволений цією обставиною, але часу на розслідування вже не було, залишимо це хлопцям з антивірусних лабораторій.
А ось і результат з сайту VirusTotal.com:
P.S. Кілька днів по тому прочитав, що цей вірус запускається з ключа RunOnce. Тепер зрозуміло, чому я не знайшов точку його запуску: після старту система спробувала його запустити, а потім видалила ключ. Запущений вірус повинен був його відновити, але не зміг, так як запуск був заблокований і не відбувся.
Спасибі за пораду. Уточню: у мене 7, що не ХР. В папку application data я потрапляю, проблема в тому, що ні я очима, ні комп пошуком не бачить потрібний файл. До речі, його його повне ім'я не збігається з тим, що скопійований нижче цьому пості. Мабуть, зараза модифікується. Але це не головне. Головне - як мені його побачити, щоб перемістити в кошик і видалити.
Пошук в 7-ці, як мінімум, незрозумілий. Бувало, він НЕ знаходив файли, які перед очима. На нього покладатися не будемо.
У вас повинен бути включений показ прихованих файлів: в провіднику натисніть ALT, зверху з'явиться меню, в ньому Сервіс - параметри папок - вкладка Вид - останні пункти - прибрати галки Приховувати і перемкнути на Показувати.
Далі Вам потрібна папка AppData Вашого профілю, а в ній, припускаю, Roaming