Здравствуйте.
Вот чтото подцепил, но я не совсем лопух, выяснил кое что, может поможете дальше разобраться, главное, что интересно как эта зараза работает
— Разворачивается в:
— D:\WINDOWS\System32\Services\{DF23860D-B383-49DB-88C9-F8B4791F94D2}\SVCHOST.EXE (номер меняется, походу это GUID)
— D:\WINDOWS\System32\Services\{DF23860D-B383-49DB-88C9-F8B4791F94D2}\SVCHOST.dll — инъектирует во все (ну или почти все процессы)
— D:\WINDOWS\System32\Services\{DF23860D-B383-49DB-88C9-F8B4791F94D2}\SVCHOST32.dll — инъектирует во все (ну или почти все процессы)
— D:\WINDOWS\System32\Services\{DF23860D-B383-49DB-88C9-F8B4791F94D2}\security.EXE
— D:\WINDOWS\System32\Services\{DF23860D-B383-49DB-88C9-F8B4791F94D2}\security.dll — инъектирует в LSASS.exe
— Прописывает себя в автозагрузку в ветку HKLM\Software\Microsoft\Windows\Current Version\Run, параметр Service Host , причем так же ведет контроль если удалить то появляется вновь
— Меняет домашнюю страничку у IE
— Выкидывает окошко IE через интервалы времени на страничке
— На всех страничках открываемых в браузере некоторые слова делает ссылками на свой сайт: http://ipassist.biz/search.php?id=11258?qq=слово , где слово то которе встретилось на страничеке. Заметил следующие слова: web, own, check, you, all, qroup, chat, online, part, help, right, first, server, men, place, open, service, person, name, state
— Некотроые стринички, в основном результаты поисковиков таких как google.com, yandex.ru, aport.ru если ввести слово для поиска, то выдает вместо результатов дурацкую страничку в которой написано, что мол браузер блокировал эту страничку, то Вы можете пройти по одной из следующих и указывает список ссылок, причем названия ссылок сформированны из исковерканых по всякому адресов поисковика, например для google.com: com google, com com google, com
Заранее благодаре за любую помощь в понимании как она работает, не понятно как она может во всех страничках содержание фактически менять , причем, вероятно, это не через дырку, поскольку пробовал через IE и Opera 8 beta.