Re: Re: Еще раз здраствуйте Valeri [services.exe worm]

[ThSt]

Вот еще что интересного удалось найти, в истории SpyBot’a в файле Resident:
22.09.2008 21:09:58 Разрешено (based on user decision) value «scrnsave.exe» (new data: «C:WINDOWSsystem323PLANE~1.SCR») добавлено in Desktop settings!
22.09.2008 21:24:45 Разрешено (based on user decision) value «FreeCall» (new data: «»H:Program FilesFreeCall.comFreeCallFreeCall.exe» -nosplash -minimized») добавлено in System Startup user entry!
01.10.2008 0:09:35 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
01.10.2008 0:09:43 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
01.10.2008 0:09:50 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
01.10.2008 0:09:54 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
01.10.2008 0:09:58 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
01.10.2008 0:10:21 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
01.10.2008 0:12:06 Разрешено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
01.10.2008 17:16:06 Разрешено (based on user decision) value «{53707962-6F74-2D53-2644-206D7942484F}» (new data: «») удалено in Browser Helper Object!
01.10.2008 17:47:29 Разрешено (based on authenticode whitelist) value «SpybotSD TeaTimer» (new data: «C:Program FilesSpybot — Search & DestroyTeaTimer.exe») добавлено in System Startup user entry!
01.10.2008 17:47:47 Разрешено (based on user decision) value «FreeCall» (new data: «») удалено in System Startup user entry!
01.10.2008 17:47:48 Разрешено (based on user decision) value «services» (new data: «») удалено in System Startup global entry!
01.10.2008 17:48:35 Запрещено (based on user decision) value «scrnsave.exe» (new data: «») удалено in Desktop settings!
05.10.2008 13:02:12 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
05.10.2008 13:02:17 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
05.10.2008 13:02:21 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
05.10.2008 13:02:30 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
05.10.2008 13:02:37 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
и дальше эта строка про «services» повторяеться чуть ли не каждую секунду, возможно где то здесь есть ответ на вопрос, откуда пошло заражение?
очень смущает вот эта строка:
22.09.2008 21:24:45 Разрешено (based on user decision) value «FreeCall» (new data: «»H:Program FilesFreeCall.comFreeCallFreeCall.exe» -nosplash -minimized») добавлено in System Startup user entry!
что за FreeCall, буквы «H» у меня нет, значит это был переносной носитель, флешка или мини-жеский…