Сегодня пришлось у клиента повозиться. Жалоба - не работает интернет. Интернет подключается через DSL-модем. Консультации по телефону привели к мысли, что перебит кабель от компьютера к модему (физически устройства находятся в разных комнатах и теоретически шанс перебитого кабеля был очень высок). Прийдя к клиенту, обратил внимание, что отключены настройки протокола TCP IP. Настроил. Но до модема достучаться не могу. При этом и модем и сетевая на компьютере индикаторами показывают, что они увидели друг друга. Забрал модем в комнату к компьютеру. Подключил через свой патч-корд. Ситуация не изменяется - устройства вроде бы и видят друг друга, а пинги от компьютера к модему не проходят вообще. У людей стоял на вооружении Аваст. Обратил внимание, что в сетевых протоколах есть служба "Аваст фаерволл...что-то там еще". Отключил ее. Пошли пинги, появился интернет. Начал ковырять глубже. На данном этапе на компьютере в трее отображается ярлык Аваст Интернет Секьюрити. Попытки открыть его настройки - открывается стандартное окно Аваста, в котором написано что-то вроде "Аваст в данный момент работает в супер защищенном режиме и от Вас ничего не требуется". Посмотрел откуда Этот Аваст стартует... И обалдел... Windows\update.1\svchost.exe с параметрами. На диске есть такая папка. В запущенных службах как обычно куча процессов svchost. Убил все, которые запущены от имени пользователя. Почистил папку Temp, Temporary Internet Files, реестр там где было подозрительное упоминание svchost, автозагрузку через msconfig(дополнительно были удалены запуски подозрительных файлов - без описания производителя и со странными именами, состоящими из одних цифр). Перезагрузился. Вроде все работает стабильно. С помощью unlocker удалил \Windows\update.1\svchost.exe. Перезагрузился еще раз - все работает. Образец на всякий случай взял на флешку. Попытался найти какие нибудь остатки Аваста - только запись в "Установленных программах" с возможностью эту запись удалить. В общем вирус удалил полностью Аваст, установился под его именем и запрещал доступ в сеть. Дома проверил папку с образцом с помощью НаноАВ. НаноАВ сказал
вылечить не смог и удалил файлик svchost.exe с примечанием "\update.1\svchost.exe Заражен Trojan.Binary.Win32.Agent.llsi Удален". Вот такая вот история приключилась.А Аваст на рынке антивирусов работает дольше, чем НаноАВ. А все такой же дырявый, как и был несколько лет назад. Собственно почему я от него и отказался.
PS из подозрительных файлов с цифровым именем один у меня все таки остался(вспомнил что нужно бы проверить дома). Но при проверке НаноАВ его пропустил. Стоит ли отсылать образец в лабораторию?