[quote name='АРЕФ'] Чтобы разгадать сию загадку надо просто запустить сей файл и посмотреть что будет и как будет реагировать антивирус. [/quote]Я мог бы так сделать и даже в виртуальной машине, что бы не экспериментировать на живой машине.Только мне лень. Раз три вирусные лаборатории после исследования файла сказали, что он чистый, значит чистый.[quote name='АРЕФ'] А если пишите что семантик отреагировал, то на их сайте должно быть описание сей угрозы. [/quote]Вполне возможно, что этот вирус состоит из нескольких файлов. Собственно вредоносная программа и какой-нибудь вспомогательный файл-спутник, который сам по себе не несет угрозы. Вполне возможно, Симантек и многие другие лаборатории добавляют в сигнатуры как сам вирус, так и все его компоненты, что бы вычищать после него все без остатка. А Каспер, в частности, чистит только самого вредоноса, оставляя после него мусор в виде нерабочих Autorun.inf или вот таких файлов-спутников[quote name='Brain'] А если зараза просто снесет все файлы до которых сможет дотянутся? [/quote]А еще можно так:1. читаем реестр (это ведь не возбраняется никак и даже программы мониторинга на чтение реестра не реагируют) – ищем в реестре программы, которые уже есть в ключах RUN2. находим программу в автозагрузке (пусть это какой-нибудь неинтересный сервис под названием hplaserjet.exe, примочка к принтеру HP) и переименовываем оригинальный файл в hplaserjеt.exe, заменив в названии английскую букву e на русскую. Или например просто в hplaserjet1.exe.3. Себя троян переименовывает в hplaserjet.exe и кладет вместо оригинального. Так троян попадает в автозагрузку. После того, как автозагрузка запустит трояна, он уже сам запускает оригинальный сервисТаким макаром, троянчег может затесаться в систему, не тронув реестр.Конечно, можно запустить трояна в виртуальной машине и не беспокоиться за последствия. Посмотреть. Может чего увидишь.
.
