Принесли мне давеча флешку, заражённую троянцем, прячущим папки пользователя и заменяющим их на исполняемые файлы вредоноса с иконками папок. Обычное дело, но оказалось не всё так просто. Прошлая версия вредоноса просто-напросто делала папки пользователя скрытыми с атрибутом «системные».

Тут же оказалось всё куда интереснее: папки пользователя отсутствовали вовсе, но место на флешке явно занимали. Ни проводник, ни любые другие файловые менеджеры никаких скрытых или же системных папок не видели в упор. CHKDSK спокойно рапортовал, что с файловой системой всё в порядке. Файлов нет — а место занято.

На компе не запускался кипер вебманей из-за этого самого файла и у меня возник вопрос— Что такое LinkAir.exe и для чего он нужен?

Оказалось это кусок моего LG PC Suite. Он размещается в папке 'C:\Program Files (x86)\LG Electronics\LG PC Suite IV\LinkAir\' и имеет размер 2440552 байт. Сидит в системе и ждем когда ты подключишь свой телефончик, для автоматического его обнаружения и запуска нужных для обмена информацией драйверов.

Серая зона коротких номеров и аспекты безопасности в эпоху Андроида. Рукотворный детектив.

Действующие лица:
Я - пользователь коммуникатора с ОС Андроид, абонент Мегафона
Неизвестные Злоумышленники - они же $#$$%^&&*@№!!! =) действуют в неизвестном количестве, извлекают прибыль из платных СМС.
Поддержка Мегафон-Кавказ - call центр Мегафон-Кавказ, которым я ни разу не пользовался..ну или пользовался очень давно.
Поддержка оператора коротких номеров - некая Оперативная Помощь СМС Доступ http://sms911.ru/

acrvk.exe это галимый вирус, маскирующийся непонятно под кого. Настолько нелепое имя файла тупо выдает его злобные намерения.

А то как он грузит процессор сразу дает понять что парня надо валить прямо в голову. Диагноз - вирьё.

Очередной подозрительный процесс с именем AcSvc.exe. Приложение не видно пользователю и это не системный файл Windows.

По информации из интернеров это не вирус а системный файл который чаще всего появляется на ноутах фирмы Lenovo и IBM. Встроенный Fingerprint Reader для ThinkPad.

Название процесса: Access Connections Main Service
Приложение, использующее этот процесс: ThinkPad Access Connections suite
Автор: Lenovo

На одной из юзерских машин я столкнулся с новым для меня зверем по имени aadrive32.exe, нагрузка процессора, имя пользователя и объем ОЗУ сразу намекнули, что парень не добрый и нам совсем не нужный.

Так и оказалось, это был мерзкий вирусеныш.

На досуге провели сканирование сети и обнаружилось огромное количество рабочих станций с простыми паролями на Radmin, что оказалось причиной заражения вирусом IPZ. Часть из них атакует HCI. Поэтому до конца года необходимо везде, где стоит Radmin установить на него ПАРОЛЬ.

После удаления Radmin, необходимо просканировать РМ утилитой AVZ, а потом в командной строке выполнить скрипты:

Программа отвечает  за обработку COM+ процессов в Internet Information Services (IIS) и других программах. Например, ее использует .NET Runtime. В системе может быть загружено несколько процессов с именем DLLhost.exe.

Если на вашей машине появился чудо файлик digiwet.dll, то это верный признак того, что компьютер ваш заражен очередным вирусом.

Находится файл в системной папке, и на данный момент детектируется всеми антивирусами.

C:\WINDOWS\system32\digiwet.dll - Backdoor.Win32.Zdoogu.du

Однако удвлив файл, радоваться рано, кроме этого файла в системе сидит еще пара-тройка кусков, схваченного вами вируса. Рекомендуется пройтись по машине всеми любимым CureIT. В моём случае сам файл уже убил антивирус и я лишь вычищал за ним кишки.

Столкнулся с одной проблемой на компе юзера. Сообщение на экране: Windows заблокирован / Пополните номер абонента 8-(910)-711-86-11 на сумму 500 рублей. По опыту работу с подобным злом код разблокировки даже не искал, так как проще удалить гада руками.

Запустив один сайт в любимом браузере Internet Explorer 6, тут же отгреб порнобанер. Загрузился с загрузочной флешки, спалил три незнакомых файла в папке documents and settings/username.