Симптомы - через некоторое время после загрузки компа лезет на oldartero.com, берет оттуда что-то (список адресов и текст мыл?) и рассылает.
Для всех притворяется services.exe (но эт и не удивительно).
Поймал благодаря оутпосту и сумантековскому антивирусу (в нем почтовый гейтвей есть - так он начал орать про посылку сообщений и захламлять экран).
Как зовется на самом деле и откуда запускается - хз. Известные мне места ничего криминального не содержат.
По oldartero.com гугл дает только одну запись http://ktulhu.livejournal.com/113584.html :)) но у меня явно другая версия этой гадости
Udate: не, нашел. Опыт не пропьешь. Хоть и у меня другая версия гадости, но свой способ маскировки она не изменила. Поискал скрытые файлы в windows/system32 ... и нашел.
У меня они зовутся constat.dll и conmgr32.dll. Оба скрытые, обоих нет на "чистой" windows. Хотя зовется только один.
А не нашел потому что regedt при показе обрезал строчку и я попросту не увидел их ....
Update2: гадость отправил в drweb, ибо он у меня честный. посмотрим, что скажут. Но пока, судя по логам, services.exe перестал хотеть залезть на этот сайт ...
Update3: пытаюсь понять, как его эта машина поймала. запускаю поиск по всему диску по слову oldartero и пойду домой. мож чего-нить найдет ...
