Новый троян

Предыстория.
В интернете выложили "активатор для ДаймондТулз ПРО".
Ссылка на .zip, скачивается .exe. Внутри 2 файла "file.exe" "MIRC(L~1.exe".

"Активация"
Запускаем. Ничего не происходит.
Реакция антивирусов:
Symantec Endpoint - не нашёл
Macafy - сругнулся на какие-то скрипты
Microsoft (MRT.exe) нашёл потом Zlob!(чего-то там)
AVZ не нашёл ни до ни после
UnHackme видит этот троян, но не может удалить, т.к. тот сразу появляется

Но так или иначе работа продолжается. Только винт начинает что-то делать. Активности в интернет нет.


Как нашёл.
- в Windows\CurrentVersion\Run может прописаться .exe файл. А может и не прописаться
- в Windows\System32\ от текущей даты появлются файлы. Имена рандомные. Основной модуль - .dll файл. Остальное рандомно. У меня были .ini, .ini2 у знакомого были (решили проверить у него Макафи) 6 exe файлов. Но внутри их "MZ..." заголовок.
удаляем файлы, они мгновенно снова появляются. Основной файл определяется просто - он не удаляется.
- в менеджере задач нет посторонних программ
- самое главное прописывается в
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
тут создаётся ветка с именем основной DLLки.


Как убил.
После многочисленных попыток понять и найти основной модуль, сделал просто.
- предварительно зачистил все удаляемые файлы и \Run ветки
- зашёл в консоль восстановления системы и удалил этот DLL


Файл сохранён как 081013_012316_daemon_keygen_4_30_48f2e9541cd46.zip
Размер файла 58732
MD5 185308190e72aba99f510ead7ee73d07


"MIRC(L~1.exe"
[url]http://www.virustotal.com/ru/analisis/e5fd2719e12fd77b9dcef851da030a23[/url]
eSafe 7.0.17.0 2008.10.12 Suspicious File
F-Secure 8.0.14332.0 2008.10.12 Suspicious:W32/Malware!Gemini
Panda 9.0.0.4 2008.10.12 Suspicious file

"file.exe"
[url]http://www.virustotal.com/ru/analisis/15166876ef2c78d7f6c1efe398afc919[/url]
детектится многими антивирами