Win XP - самый большой вирус?

Hi All!
Неожиданно нарисовался интересный фактик!
Поставил себе Win XP Pro c SP2. Так как этот отстой мне быстро надоел, то через пару дней снес его и вернулся в 98-й. Но при попытки установки необходимых программ (хранятся на винте), получил недопустимую операцию и мертвый вис. В досе выяснилось, что помимо зависшего экзешника в каталоге появился файлик с тем же именем но с расширением - ~01. Собственно это и был оригинальный экзешник(который с CD), он то и запустился нормально.
В общем оказалось, что у всех файлов, что я запускал под XP, в начале приклеен какой то загрузчик, который не только вешает 98-й, но и дописыват себя и к SCANREGW.EXE, после чего винда виснет еще при загрузке. Вот фрагмет его сигнатуры:

Цитата

© 1996-1999 Laszlo Molnar & Markus Oberhumer $
$IdАдтЄ(_ДvI Copyright © 1996-1999 Markus F.X.J. Oberhumer $
$License: NRV for UPXШs distributed under special li $

Вопрос. Какое отношение UPX имеет ко всему этому? На упаковщик не похож, т.к. размер файлов совсем даже не уменьшился, а скорее наоборот
Может кто сможет мне объяснить что это за хрень, и как это можно быстро вылечить, не шаря по множеству CD и без использования RESET'а с переименованием?

PS: То же самое было и когда я прикупил этот винт, на нем была неплохая коллекция програм, но тогда некогда было разбираться и я их все снес(о чем сейчас и жалею
PPS: Чтобы не плодить тем спрошу уж здесь(просто для интереса): в XP у меня постоянно подмигивал индикатор HDD. Как это то лечится?

Антивирусом пробовал пройтись?
Хотя, есть мнение, что это таже фигня, когда ты прогу с Инета тянешь, и при попытке запустить этот файл Винды выдает сообщение, типа действительно вы хотите это выполнить или нафиг.

Цитата FullArcticFox @ 13.11.06, 23:33

Антивирусом пробовал пройтись?

Да на вирус то не похоже. Ведь файл действительно восстанавливается после подвисания, к тому же вирусы как правило не виснут . Да и при покупке винта те же симптомы были. У тебя не XP? А то загляни в начало любого исполняемого, может тоже ту же сигнатурку увидишь

Добавлено 13.11.06, 23:45

Цитата FullArcticFox @ 13.11.06, 23:33

Хотя, есть мнение, что это таже фигня, когда ты прогу с Инета тянешь

Вполне может быть что и защита какая навесная, или XP таким образом чего то распознает

А XP которую ставили не левая?
нет ни одного дня чтоб не запускал одну и ту же программу под XP и 98 но такой
"№;%:?*-ни не разу не видел. Сдается что что-то заразное на ХР было

поробуйте прогнать "страные" файлы через drweb.ru онлайновый чекер

У меня ощущение, что это таки вирус, упакованный UPX!.

Цитата AlexJ @ 14.11.06, 03:12

поробуйте прогнать "страные" файлы через drweb.ru

Каюсь, антивирусом пользовался раза два. Но в свое оправдание могу сказать, что это было в далеком детстве

Цитата Romtek @ 14.11.06, 08:14

У меня ощущение, что это таки вирус, упакованный UPX!.

Поскольку мнения разошлись, пришлось таки пройтись сайсом. Вы правы народ, хрень оказалась вирусом, написанным на Virtual Pascal (впрочем есть и асм вставки в распаковщике). Не знаю упаковка это или нет, возможно сигнатуры использует для прикрытия, хотя не разбирался детально, просто перехватил выполнение после распаковки/расшифровки.
Вирус пытался собрать детальную инфу о компе(в том числе и из кэшей браузеров) в файлы BUFFER.TXT и KEYLOG.TXT(правда нет у меня KEYBOARD.DLL, который он пытается найти), после чего, при выходе пользователя в инет, он пытался переплавить их на один из е-мейлов:
11581@MAIL.RU
ALIEN-Z@MAIL.RU
IMAGER@MAIL.RU
с помощью Mozilla, The Bat или OutLook
Ну а во "время X" любезно должен вывести MessageBox:

Цитата

Message from ST. v.2.09 - Sector ©. Salavat-city 2003.

<<<<< Hey Lamer! Say "Bye-bye" to your data! >>>>>

Copuright © by Sector

Опознает себя в памяти по классу окна - "KUKU".
Но честно говоря в ломы разбираться, почему он виснет под 98-й виндой, хотя, судя по коду, изначально рассчитывался и на нее
Не пойму только, где ж я эту заразу подхватил то С инета точно не мог.
PS: а на диске после подвисания действительно оставался незараженный файл, и антивируса не надо
PPS: перед этим попробовал Win ME, но вирус ее вырубил сразу же, так что она потребовала переустановки, и больше не запускалась Вывод:
Win 98 - рулез! Win ME и Win XP - маст дай!

Цитата FullArcticFox @ 13.11.06, 23:33

Хотя, есть мнение, что это таже фигня, когда ты прогу с Инета тянешь, и при попытке запустить этот файл Винды выдает сообщение, типа действительно вы хотите это выполнить или нафиг.

Я думаю, что это делается за счет дополнительных потоков NTFS, а не за счет модифицирования данных файла.