Решил я вчера подыскать новый ключик, он же таблетка от жадности, для верой и правдой работающего KAV-а. (Не бейте сильно ногами и не пишите гневные письма в комментарии, ибо я уже поплатился и подумываю о покупки лицензии на этот замечательный продукт) Итак предыстория понятна: подходит заветная expiration date, а оставаться без антивирусной защиты в наше время - это для компоубийц. Лезу на медсклад запрещенных таблеток и начинаю искать файл ключа с "датой подальше", но толи версии часто меняются, толи ключи, но кроме уже использованного ключа нашел еще один со сроком на два месяца больше. И вот, в самом разгаре поиска, скачиваю файлик Kaspersky_Anti-Virus_Personal_v5.0.121_by_Unknown.zip, и обнаруживаю внутри exe файл с внешними атрибутами патча. И тут я допускаю громадный просчет. Я не распаковываю exe файл, а сначала выгружаю KAV из памяти. Дальше понятно? :) Почти мгновенно появляется сообщение от firewall-а о попытке доступа explorer-a под командованием svchost-a, в интернет. Пресёк и загрузил KAV, а дальше началась битва...
Хитрец вирус засунул копию своего тела в win директорию под именем csrss.exe (если кто не знает - client server runtime process) и вешает на него системный приоритет и защиту. Попытка удалить его кувалдными средствами привела к синему экрану и последующей перезагрузке. При запуске вирус прикрутил dll-ку к shell-у (в моем случае - к aston-у). От количества окон предупреждения от антивируса и firewall-а пестрел весь экран, но так удалось сдержать его дальнейшее распространение и выбить его из памяти.
"На текущий момент огонь локализован и ситуация находится под контролем".


Current music: Autumn Tears - Commiseration In Mourning