На системном диске по адресу C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка находится вот этот файл mail.exe: http://files.etherway.ru/A6656 С каждым включением компьютера по адресу C:\Documents and Settings\Admin\Local Settings\Temp сохраняется вот такая папка wrd-000-000-0000.~lk (где вместо нулей разные комбинации цифр и латинских букв): http://files.etherway.ru/EA189 Что это может быть?
задвинь себе Юбунта на флешке и загрусь с него. стырь этот mail.exe и сохрани на фейл-обманнике. будет многим интересно дизассемблить это чудо ))
Там UPX навешан на него, снимается за 10 секунд (= Собственно, в эти папки распаковываются две флешки - одна переименована в расширение dat, но палится по заголовку и + еще 23 dll, которые так же имеют левое расширение (mdd). Строки, которые спокойно читаются hex-редактором во флешке ~swd1.swf: Code: [COLOR=SandyBrown][B]00000020 | 01 5F 67 6C 6F 62 61 6C 00 6D 64 6D 00 6D 64 6D | ._global.mdm.mdm 00000040 | 69 6E 69 74 00 53 59 4E 43 00 69 6E 69 74 70 70 73 76 00 26 00 73 70 6C 69 74 00 6C 65 6E 67 74 | init.SYNC.initppsv.&.split.lengt 00000060 | 68 00 3D 00 5C 00 5C 5C 00 75 6E 65 73 63 61 70 65 00 6A 6F 69 6E 00 5F 5F 70 61 72 65 6E 74 00 | h.=.\.\\.unescape.join.__parent. 00000080 | 5F 5F 6F 62 6A 65 63 74 00 5F 5F 69 73 49 6E 73 74 61 6E 63 65 00 41 53 53 65 74 50 72 6F 70 46 | __object.__isInstance.ASSetPropF 000000A0 | 6C 61 67 73 00 5F 5F 67 6C 6F 62 61 6C 00 5F 5F 4F 53 00 53 79 73 74 65 6D 00 63 61 70 61 62 69 | lags.__global.__OS.System.capabi 000000C0 | 6C 69 74 69 65 73 00 6F 73 00 73 75 62 73 74 72 69 6E 67 00 41 53 59 4E 43 00 61 73 79 6E 63 00 | lities.os.substring.ASYNC.async. 000000E0 | 66 6F 72 6D 69 64 00 30 30 30 30 30 30 00 5F 5F 69 6E 69 74 63 6D 64 00 57 69 6E 00 78 70 70 72 | formid.000000.__initcmd.Win.xppr 00000100 | 65 73 00 69 6E 69 74 53 4F 00 78 70 70 63 6D 64 00 5F 5F 63 6D 64 63 6F 75 6E 74 65 72 00 5F 5F | es.initSO.xppcmd.__cmdcounter.__ 00000120 | 73 65 6E 64 63 6D 64 00 4D 61 63 00 48 4E 31 44 49 30 36 00 73 30 30 30 30 30 30 30 30 30 30 30 | sendcmd.Mac.HN1DI06.s00000000000 00000140 | 30 00 00 4D 61 74 68 00 72 6F 75 6E 64 00 2F 00 53 68 61 72 65 64 4F 62 6A 65 63 74 00 67 65 74 | 0..Math.round./.SharedObject.get 00000160 | 4C 6F 63 61 6C 00 64 61 74 61 00 69 73 00 74 6F 53 74 72 69 6E 67 00 30 00 73 00 30 30 30 30 30 | Local.data.is.toString.0.s.00000 00000180 | 30 30 30 30 00 73 75 62 73 74 72 00 66 6C 75 73 68 00 5F 5F 72 65 74 63 6D 64 00 48 4E 31 44 49 | 0000.substr.flush.__retcmd.HN1DI 000001A0 | 30 32 00 63 6C 65 61 72 00 5F 5F 73 65 72 76 65 72 00 58 4D 4C 53 6F 63 6B 65 74 00 6F 6E 44 61 | 02.clear.__server.XMLSocket.onDa 000001C0 | 74 61 00 21 7D 7D 5E 7B 7D 21 00 6F 6E 43 6F 6E 6E 65 63 74 00 73 74 61 74 75 73 00 43 6F 6E 6E | ta.!}}^{}!.onConnect.status.Conn 000001E0 | 65 63 74 65 64 21 00 5F 5F 66 69 6E 61 6C 49 6E 69 74 00 45 72 72 6F 72 20 63 6F 6E 6E 65 63 74 | ected!.__finalInit.Error connect 00000200 | 69 6E 67 00 6F 6E 43 6C 6F 73 65 00 44 69 73 63 6F 6E 6E 65 63 74 65 64 00 5F 5F 70 6F 72 74 00 | ing.onClose.Disconnected.__port. 00000220 | 31 32 33 34 35 21 66 6F 72 6D 6D 70 6F 72 74 21 36 33 32 38 31 00 21 66 6F 72 6D 6D 70 6F 72 74 | 12345!formmport!63281.!formmport 00000240 | 21 00 31 32 37 2E 30 2E 30 2E 31 00 63 6F 6E 6E 65 63 74 00 63 00 21 7D 7D 76 7B 7D 21 00 66 00 | !.127.0.0.1.connect.c.!}}v{}!.f. 00000260 | 73 68 69 66 74 00 70 00 6F 00 2E 00 6C 61 73 74 49 6E 64 65 78 4F 66 00 5F 72 6F 6F 74 00 66 75 | shift.p.o...lastIndexOf._root.fu 00000280 | 6E 63 74 69 6F 6E 00 5F 72 6F 6F 74 2E 00 5F 67 6C 6F 62 61 6C 2E 00 61 70 70 6C 79 00 5F 5F 63 | nction._root.._global..apply.__c 000002A0 | 61 6C 6C 46 75 6E 63 74 69 6F 6E 00 61 64 64 50 72 6F 70 65 72 74 79 00 5F 5F 72 65 73 6F 6C 76 | allFunction.addProperty.__resolv 000002C0 | 65 00 6D 00 74 68 69 73 00 61 00 61 72 67 75 6D 65 6E 74 73 00 6C 00 64 6C 6D 00 21 7D 7D 5E 00 | e.m.this.a.arguments.l.dlm.!}}^. 000002E0 | 5E 7B 7D 21 00 65 73 63 00 73 74 72 69 6E 67 00 40 61 6D 70 40 00 40 64 71 40 00 22 00 40 63 6F | ^{}!.esc.string.@amp@.@dq@.".@co 00000300 | 40 00 2C 00 69 73 41 50 49 00 70 6F 70 00 75 6E 69 71 75 65 00 70 61 72 61 6D 73 00 3C 7B 7A 69 | @.,.isAPI.pop.unique.params.<{zi 00000320 | 6E 63 7D 3E 00 22 2C 22 00 44 61 74 65 00 67 65 74 54 69 6D 65 00 3C 7B 7A 69 6E 63 70 7D 3E 00 | nc}>.",".Date.getTime.<{zincp}>. 00000340 | 5F 5F 68 61 73 45 49 00 72 65 74 75 72 6E 76 61 6C 00 66 6C 61 73 68 00 65 78 74 65 72 6E 61 6C | __hasEI.returnval.flash.external 00000360 | 00 45 78 74 65 72 6E 61 6C 49 6E 74 65 72 66 61 63 65 00 63 61 6C 6C 00 6D 64 6D 2E 41 70 70 6C | .ExternalInterface.call.mdm.Appl 00000380 | 69 63 61 74 69 6F 6E 2E 63 72 65 61 74 65 46 6F 72 6D 00 46 6F 72 6D 73 00 5F 5F 64 65 73 65 72 | ication.createForm.Forms.__deser 000003A0 | 69 61 6C 69 7A 65 00 63 62 45 6E 61 62 6C 65 64 00 6E 00 78 00 74 6F 4C 6F 77 65 72 43 61 73 65 | ialize.cbEnabled.n.x.toLowerCase 000003C0 | 00 73 61 76 65 75 74 66 38 00 62 69 6E 61 72 79 66 69 6C 65 5F 73 65 74 64 61 74 61 00 73 77 66 | .saveutf8.binaryfile_setdata.swf 000003E0 | 5F 67 65 74 68 65 61 64 65 72 00 67 65 74 66 69 6C 65 61 74 74 72 69 62 73 00 67 65 74 72 65 73 | _getheader.getfileattribs.getres 00000400 | 6F 6C 75 74 69 6F 6E 00 67 65 74 73 69 7A 65 00 67 65 74 70 6F 73 69 74 69 6F 6E 00 67 65 74 6A | olution.getsize.getposition.getj 00000420 | 70 67 73 69 7A 65 00 67 65 74 6D 6F 75 73 65 70 6F 73 69 74 69 6F 6E 00 46 53 43 6F 6D 6D 61 6E | pgsize.getmouseposition.FSComman 00000440 | 64 3A 00 61 72 72 00 69 00 5F 72 6F 6F 74 2E 6D 64 6D 2E 5F 5F 74 6D 70 56 00 70 75 73 68 00 66 | d:.arr.i._root.mdm.__tmpV.push.f 00000460 | 6E 63 43 42 00 76 00 63 6F 6E 63 61 74 00 74 00 5F 5F 74 6D 70 00 5F 5F 6C 61 73 74 46 53 00 69 | ncCB.v.concat.t.__tmp.__lastFS.i 00000480 | 73 4E 61 4E 00 5F 72 6F 6F 74 2E 6D 64 6D 2E 00 73 70 6C 69 63 65 00 69 6E 64 65 78 4F 66 00 20 | sNaN._root.mdm..splice.indexOf. 000004A0 | 00 6D 64 6D 2E 5F 5F 67 6C 6F 62 61 6C 2E 00 21 7D 7D 5E 63 5E 7B 7D 21 00 73 65 6E 64 00 70 72 | .mdm.__global..!}}^c^{}!.send.pr 000004C0 | 6F 74 6F 74 79 70 65 00 5F 5F 6F 62 6A 65 63 74 50 61 74 68 00 63 6F 6E 73 74 72 75 63 74 6F 72 | ototype.__objectPath.constructor 000004E0 | 00 69 6E 69 74 66 6F 72 6D 73 00 5F 5F 69 6E 69 74 69 61 6C 69 73 65 00 5B 53 75 62 63 6C 61 73 | .initforms.__initialise.[Subclas 00000500 | 73 20 72 65 73 6F 6C 76 65 72 5D 20 00 5F 5F 5F 69 64 00 75 6E 73 68 69 66 74 00 5F 5F 73 65 72 | s resolver] .___id.unshift.__ser 00000520 | 69 61 6C 69 7A 65 00 6F 62 6A 65 63 74 00 6E 75 6D 62 65 72 00 62 6F 6F 6C 65 61 6E 00 41 72 72 | ialize.object.number.boolean.Arr 00000540 | 61 79 00 5B 00 5D 00 58 4D 4C 00 3C 2A 3E 00 3C 2F 2A 3E 00 23 00 75 6E 64 65 66 69 6E 65 64 00 | ay.[.].XML.<*>.</*>.#.undefined. 00000560 | 3A 00 7B 00 7D 00 6E 75 6C 6C 00 69 73 46 69 6E 69 74 65 00 63 68 61 72 41 74 00 08 00 0C 00 0A | :.{.}.null.isFinite.charAt...... 00000580 | 00 0D 00 09 00 5C 62 00 5C 66 00 5C 6E 00 5C 72 00 5C 74 00 63 68 61 72 43 6F 64 65 41 74 00 5C | .....\b.\f.\n.\r.\t.charCodeAt.\ 000005A0 | 75 30 30 00 66 6C 6F 6F 72 00 63 68 00 61 74 00 74 65 78 74 00 6E 65 78 74 00 2A 00 55 6E 74 65 | u00.floor.ch.at.text.next.*.Unte 000005C0 | 72 6D 69 6E 61 74 65 64 20 63 6F 6D 6D 65 6E 74 00 65 72 72 6F 72 00 53 79 6E 74 61 78 20 65 72 | rminated comment.error.Syntax er 000005E0 | 72 6F 72 00 40 71 40 00 62 00 72 00 75 00 70 61 72 73 65 49 6E 74 00 53 74 72 69 6E 67 00 66 72 | ror.@[email protected] 00000600 | 6F 6D 43 68 61 72 43 6F 64 65 00 42 61 64 20 73 74 72 69 6E 67 00 77 68 69 74 65 00 76 61 6C 75 | omCharCode.Bad string.white.valu 00000620 | 65 00 42 61 64 20 61 72 72 61 79 00 42 61 64 20 6F 62 6A 65 63 74 00 2D 00 39 00 42 61 64 20 6E | e.Bad array.Bad object.-.9.Bad n 00000640 | 75 6D 62 65 72 00 3C 00 65 00 61 72 72 61 79 00 64 61 74 65 00 78 6D 6C 00 77 6F 72 64 00 5F 5F | umber.<.e.array.date.xml.word.__ 00000660 | 63 72 65 61 74 65 50 72 6F 70 65 72 74 79 00 67 65 74 73 65 74 3A 20 00 67 65 74 73 65 74 00 2C | createProperty.getset: .getset., 00000680 | 20 70 72 6F 70 4E 61 6D 65 3A 20 00 70 72 6F 70 4E 61 6D 65 00 70 70 73 76 00 67 65 74 6C 00 5F | propName: .propName.ppsv.getl._ 000006A0 | 5F 5F 00 5F 5F 63 72 65 61 74 65 4F 62 6A 65 63 74 00 70 61 72 65 6E 74 00 6E 61 6D 65 00 5F 5F | __.__createObject.parent.name.__ 000006C0 | 69 6E 73 74 61 6E 63 65 73 00 5F 5F 70 61 72 61 6D 73 00 2D 31 00 2E 63 72 65 61 74 65 00 69 73 | instances.__params.-1..create.is 000006E0 | 4C 6F 61 64 65 64 00 5F 5F 70 72 6F 74 6F 5F 5F 00 5F 5F 63 6F 6E 73 74 72 75 63 74 6F 72 5F 5F | Loaded.__proto__.__constructor__ 00000700 | 00 64 69 73 70 61 74 63 68 51 75 65 75 65 00 64 69 73 70 61 74 63 68 45 76 65 6E 74 00 61 64 64 | .dispatchQueue.dispatchEvent.add 00000720 | 45 76 65 6E 74 4C 69 73 74 65 6E 65 72 00 72 65 6D 6F 76 65 45 76 65 6E 74 4C 69 73 74 65 6E 65 | EventListener.removeEventListene 00000740 | 72 00 5F 5F 69 6E 69 74 69 61 6C 69 73 65 4F 62 6A 65 63 74 00 3C 7B 21 21 7A 21 21 7D 3E 00 3C | r.__initialiseObject.<{!!z!!}>.< 00000760 | 7B 21 7A 21 7D 3E 00 3C 7B 7A 7D 3E 00 6F 62 6A 4E 61 6D 65 73 00 40 00 68 61 73 4F 77 6E 50 72 | {!z!}>.<{z}>[email protected] 00000780 | 6F 70 65 72 74 79 00 73 6C 69 63 65 00 67 65 74 00 73 65 74 00 69 6E 74 65 67 65 72 00 42 6F 6F | operty.slice.get.set.integer.Boo 000007A0 | 6C 65 61 6E 00 5F 5F 69 6E 69 74 69 61 6C 69 73 65 46 6F 72 6D 00 74 68 69 73 46 6F 72 6D 00 3C | lean.__initialiseForm.thisForm.< 000007C0 | 7B 21 7A 21 21 7D 3E 00 5F 5F 64 69 73 70 61 74 63 68 45 76 65 6E 74 00 74 61 72 67 65 74 00 6D | {!z!!}>.__dispatchEvent.target.m 000007E0 | 64 6D 2E 00 6F 62 6A 4E 61 6D 65 00 65 76 74 4F 62 6A 00 74 79 70 65 00 65 76 74 4E 61 6D 65 00 | dm..objName.evtObj.type.evtName. 00000800 | 69 6E 73 74 49 64 00 74 65 73 74 73 74 72 00 5F 5F 71 5F 00 6D 6F 76 69 65 63 6C 69 70 00 68 61 | instId.teststr.__q_.movieclip.ha 00000820 | 6E 64 6C 65 45 76 65 6E 74 00 48 61 6E 64 6C 65 72 00 6F 6E 00 74 6F 55 70 70 65 72 43 61 73 65 | ndleEvent.Handler.on.toUpperCase 00000840 | 00 71 75 65 75 65 4E 61 6D 65 00 5F 5F 69 6E 69 74 00 5F 5F 70 61 75 73 65 00 63 6C 65 61 72 49 | .queueName.__init.__pause.clearI 00000860 | 6E 74 65 72 76 61 6C 00 65 69 52 65 74 75 72 6E 00 6D 64 6D 2E 68 61 73 45 49 00 69 6E 69 74 69 | nterval.eiReturn.mdm.hasEI.initi 00000880 | 61 6C 69 73 65 00 5F 5F 74 65 6D 70 50 61 74 68 00 66 69 6C 65 3A 2F 2F 00 5F 6C 65 76 65 6C 30 | alise.__tempPath.file://._level0 000008A0 | 00 5F 75 72 6C 00 41 70 70 6C 69 63 61 74 69 6F 6E 00 70 61 74 68 00 74 65 6D 70 50 61 74 68 00 | ._url.Application.path.tempPath. 000008C0 | 2E 64 61 74 00 6F 6E 45 6E 74 65 72 46 72 61 6D 65 00 72 65 73 6F 75 72 63 65 50 61 74 68 00 7E | .dat.onEnterFrame.resourcePath.~ 000008E0 | 73 77 64 00 2E 6A 70 67 00 96 2B 00 00 73 63 72 69 70 74 4C 69 6D 69 74 73 20 72 65 63 75 72 73 | swd..jpg.–+..scriptLimits recurs 00000900 | 69 6F 6E 20 32 30 30 30 20 74 69 6D 65 6F 75 74 20 36 35 35 33 35 00 17 96 02 00 08 00 1C 96 02 | ion 2000 timeout 65535..–.....–.[/B][/COLOR] Теперь по dll (по мере убывания их по размеру).Под словом работает подразумевается то, что затрагивает: Code: [COLOR=SandyBrown][B]13 - работает с изображениями; 4 - работает с базой данных MS SQL; 11 - работает с FTP протоколом; 12 - работает с HTTP протоколом; 17 - работает с протоколом MAPI (электронная почта в Windows) - Outlook; 22 - работает с DirectX; 3 - работает с COM портом; 1 - работает с элементами ActiveX; 15 - работает с Windows Media Player; 8 - работает с файловой системой ОС (копирование, вставка, удаление etc); 18 - опять же ActiveX, работа со страницами; 14 - работает с устройством ввода JoyStick; 20 - еще одна dll работающая с ActiveX; 0 - работает с аудио (звуком); 7 - работает с шифрованием (Encryption); 5 - работает с диалогом открытия файла; 10 - работает с формами программ; 6 затерто 9 - работает с флеш; 19 - работает с процессами; 21 - работает со строками; 16 - работает с контекстным меню; 2 - работает с буфером обмена.[/B][/COLOR] Собственно, затрагивается почти весь базовый функционал ОС. //Могу быть неточен.