Fri Dec 07 2007 19:41, Yuri Petrov wrote to All:

YP> Что за зверь? В локалке нашел...
Вирус. Инфицирует экзешники, в первую очередь от работающих процессов.
Системные при этом не трогает, видимо, чтобы не было ругани об их изменении,
т.е. для скрытности. Полезная нагрузка - тащит и ставит PWS трояны. У того,
что я видел - Trojan.PWS.Gamania.5719 и Trojan.PWS.Legmir.1967.
При удалении части файлов может восстанавливать остальные из интернета, я
видел, как это делал cdralw.sys. Точно это же умеет делать и linkinfo.dll. Я
думаю, на это способны и все зараженные тоже.
Файлы у Alman.4 с этими PWS троянами.
C:\WINDOWS\system32\drivers\uuid.sys
C:\WINDOWS\linkinfo.dll
C:\WINDOWS\system32\drivers\IsDrv122.sys
C:\WINDOWS\system32\drivers\cdralw.sys
C:\WINDOWS\AppPatch\AcPlugin.dll
C:\WINDOWS\AppPatch\AcSpecf.dll
C:\WINDOWS\system32\drivers\eth8023.sys
C:\WINDOWS\194952L.exe
C:\WINDOWS\194952WL.DLL
C:\WINDOWS\194952W.exe
в кэше IE:
C:\Documents and Settings\user\Local Settings\Temporary Internet
Files\Content.IE5\89V7K7GQ\file[1].dll
C:\Documents and Settings\user\Local Settings\Temporary Internet
Files\Content.IE5\IXZVZG4G\1[1].jpg
C:\Documents and Settings\user\Local Settings\Temporary Internet
Files\Content.IE5\WGGUXN2Y\2[1].jpg
Hу, и плюс все зараженные, конечно. Alman.4 увеличивает файлы при заражении
на 36352 байт (возможно, бывают варианты).
Доктор это лечит, проблем не увидел.