ох, прописалась в системе какая-то хрень, в процессах висит под именем MailRuUpdater, цифровая подпись имеется, но удостоверяющий центр самоподписанный, короче левак полный.
живет в рандомном пользовательском каталоге, который меняется при каждой загруке. запускается вообще из каждого места, откуда можно автозагрузится, при удалении любой такой записи она (запись) тут же восстанавливается. при удалении процесса он самовосстанавливается через десяток записей в планировщике.
установленный Nod нифига мышей не поймал, впрочем, линуксовые дрвеб и касперский тоже ничего не нашли. самое фиговое то, что после вытаскивания винта и мануальной терапии в итоге начисто пропали все сетевые функции, sfc перематерился почти на весь сетевой стек. после ручного запуска вышеупомянутого MailRuUpdater тут же заработала сеть, инет, ну и реклама при запуске браузера тоже вернулась.
да, эксплорер и фаерфокс эта гадость не трогает, как и хром, почему-то "любит" только оперу. заслал экзешник на вирустотал, 3 срабатывания от каких-то неведомых мне антивируса, остальные молчат (надеюсь это временно).
Цитата(comador @ 20.07.2014, 22:23)
ярлык запуска браузера
собсно да, при создании любого ярлыка с именем Opera (хоть на калькулятор) к нему тут же дописывается рандомный сайт, у ярлыка удаляются все права на запись включая юзеоа system. изменить его нельзя, можно только быстро-быстро стать владельцем, разрешить запись и покилять.
при запуске напряму с экзешника реклама открывается параллельно, но не ранее чем будет открыта любая новая вкладка. первый раз такое вижу, хотя на работе сидит полсотни бухов которые чего только не ловят.