Зараза есть 100% — троян Pinch. При запуске косит под системный csrss.exe, только csrss.exe лежит не в WINDIRe, а в SYSDIRe. При убиении процесса csrss не перепутайте с системным, а то получите блюскрин. При ручном удалении надо еще файлики удалить и реестр почитить. Pinch ставит драйвер.
Типовой механизм запуска Спаренных двух и более файлов, один из которых зараза, а другой нормальный. При запуске происходит распаковка обычно в %TEMP%, все зависит от используемой программы Binder-а, т.е. где создаются вредина и нормальный. Нормальный виден нам, а вредина втихую творит свои дела. Антивирусы во многих случаях не обнаруживают заразу запрятанную Binder-ом, в лучшем случае они кричат на файл, если знают использованный Binder, но что там спрятано они не знают, только после запуска они просыпаются, опять же не всегда.
Рекомендация. Запускаем VMware, затем Process Explorer и подозрительный файл. Если видно, что по мимо нашего файла стартуют и другие процессы, есть вероятность заражения.
Но есть один плюс, зараза сама отделяется от нормального файла при запуске, правда не всегда. Для данного руссификатора, она отделилась без проблем. Нормальный файл как раз лежит в директории распаковки. В сети море зараженных таким способом кейгенов, кряков, патчей. Будьте осторожны.
Дистриб, тоже заражен, но отделяется аналогично руссику.
Вот именно. Ничего страшного нету в том что произоидет скрытыи пуск известного тебе приложения. После распаковки каспер сами фаилы еще разок просканит и уже выдаст полныи вердикт. Вобщем всё нормально народ — несцыте. Никакого трояна там нету !!! А вот когда скачивал прогу — что то по HTTP пытались впарить- я вчитываться нестал , грохнул сразу ... Фаилообменник дерьмовыи вобщем.
Программный модуль F:\Documents and Settings\WWWW\Local Settings\Temp\fo-ga5f.exe установлен и запускается без взаимодействия с пользователем. Данное поведение характерно для троянских программ.
Ну вот это как то поинтереснее анимирует ;)
3D SexVilla v3.0 — туева хуча изменений! Теперь теток можно прокачивать ;) изменяя их "параметры"!
Архив побит на 2 части: ПЕРВАЯ ЧАСТЬ ВТОРАЯ ЧАСТЬ
В комплекте есть все (кроме прямых рук), включая мануал по запуску на English. РУССИШ версион мануалрусиш версион мануал
Комментарии
Типовой механизм запуска Спаренных двух и более файлов, один из которых зараза, а другой нормальный. При запуске происходит распаковка обычно в %TEMP%, все зависит от используемой программы Binder-а, т.е. где создаются вредина и нормальный. Нормальный виден нам, а вредина втихую творит свои дела. Антивирусы во многих случаях не обнаруживают заразу запрятанную Binder-ом, в лучшем случае они кричат на файл, если знают использованный Binder, но что там спрятано они не знают, только после запуска они просыпаются, опять же не всегда.
Рекомендация. Запускаем VMware, затем Process Explorer и подозрительный файл. Если видно, что по мимо нашего файла стартуют и другие процессы, есть вероятность заражения.
Но есть один плюс, зараза сама отделяется от нормального файла при запуске, правда не всегда. Для данного руссификатора, она отделилась без проблем. Нормальный файл как раз лежит в директории распаковки. В сети море зараженных таким способом кейгенов, кряков, патчей. Будьте осторожны.
Дистриб, тоже заражен, но отделяется аналогично руссику.
Данное поведение характерно для самораспаковывающихся инсталляторов.
Чайнег нах
3D SexVilla v3.0 — туева хуча изменений! Теперь теток можно прокачивать ;) изменяя их "параметры"!
Архив побит на 2 части:
ПЕРВАЯ ЧАСТЬ
ВТОРАЯ ЧАСТЬ
В комплекте есть все (кроме прямых рук), включая мануал по запуску на English.
РУССИШ версион мануалрусиш версион мануал