Не думал, что буду заводить тему на тему вирусов, но, как говорится, "Не зарекайся".
Мне притащили сильно зараженный комп. Вычистил много. Вроде как вирусов нет. Но они есть!
Первое - это сразу заражается флешка. На нее пишется два файла: наш друг autorun.inf и system.exe.
Второе: с частой переодичностью опрашивается дисковод дискет. То есть с этой же периодичностью он пытается записывать эти два файла.

Итак. На жестком авторана нет. System.exe тоже нет.
Проверял с сегодняшними базами чем: CureIt!, NOD32, AVZ. Результат - ноль вирусов либо подозрительных файлов.

Дальше: В безопасном режиме вирус тоже активен. В процессах ничего нет подозрительного. Отключил службу WMI на всякий случай, ушел процесс wmiprvse или как-то так. Батников на винте нет. Cmd файлов нет. Vbs файлов нет. Служб подозрительных нет. В реестре в Run ниче подозрительного. Службу восстановления тоже отключил. Была фигня с разделом реестра Winlogon. После первой чистки вирусов перестал загружаться процесс explorer. Нашел в реестре лишний раздел Winlogo2. Удалил - загрузка нормализовалась.

Есть еще одна инфа. Это инфа файла autorun.inf:
[autorun]
;g
open=system.exe
;g
Shellexecute=system.exe
;g
Shell\Explore\command=system.exe
;g
Shell\Open\command=system.exe
;g
Shell=Explore


;g - это не буква диска. Такого нет. Бывает там стоит ;с.
Поиск в реестре system.exe ничего не дал.

Все! Я пока обессилен... Помогите, а? [Ответ]

А форматнутся?
Имхо- лучше не будет - только грохнуть все и заново. [Ответ]

Serge N, Все нормально работает. Программ дохрена, в том числе и 1С! Форматнуть - значит сдаться. Это можно на любые вирусы советовать форматнуть.

Проблема в чем: я не могу отловить тот процесс, который выполняется. Каждую минуту идет обращение к флопу. Ну соответственно и к флехе. Интерес недетский. [Ответ]

Если это руткит - так просто ты его не выловишь.
AVZ неплохо проверить
Ну еще попробуй autoruns http://technet.microsoft.com/en-us/s.../bb963902.aspx и обрати внимание на папку %systemroot%\system32\drivers - нет ли чего новенького и странного. [Ответ]

Сообщение от AleksandrD:
AVZ неплохо проверить

Вот я с этим плохо знаком. Пользовался второй раз. Обычно двух других хватало + руки. Хорошо проверить - это как? Всякие галочки типа эвристический анализ стоят. [Ответ]

Такая ж проблема была...Но NOD хорошо справился...Мозги больше не компостируються=) [Ответ]

Drweb Live CD есть типа такая шняга загрузочная [Ответ]

Zav, При помощи «Диспетчера задач» завершить процесс «system.exe».
Удалить файл:
%System%\system.exe
Удалить значение системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"SysTray" = "%System%\system.exe" [Ответ]

да еще попробуй

Сообщение от :
Скачать утилиту AVZ, в меню файл/Выполнить скрипт/В окно копируем скрипт/Выполнить/Перегрузка.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\имя пользователя\Local Settings\Temp\~DFA223.tmp',' ');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\ssHelios.scr', '');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('F:\autorun.inf');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

[Ответ]

aditus, это все не то. Нет такого процесса в диспетчере.
D0rmid0n, нафига она нужна. Итак все грузится. И в безопасном.
ABC алфавит, у меня не справился. Базы сегодняшние. [Ответ]

Zav, Удаляй файлы:
C:\WINDOWS\system32\sysmgr.exe
C:\WINDOWS\system32\msvcrt2.dll

Удаляй ключ в автозагрузке:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run, "C:\WINDOWS\system32\sysmgr.exe" [Ответ]

Сообщение от aditus:
Zav, Удаляй файлы:
C:\WINDOWS\system32\sysmgr.exe
C:\WINDOWS\system32\msvcrt2.dll

таких нет. Есть msvcrt20.dll msvcrt40.dll и просто msvcrt.dll.

Сообщение от aditus:
Удаляй ключ в автозагрузке:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run, "C:\WINDOWS\system32\sysmgr.exe"

Такого тоже нет. Там ниче такого нет. Все знакомо, дрова SoundMax да HP. [Ответ]

Zav, советую отследить обращения к флоппу как самые примечательные.
попробуй запустить файловый монитор в режиме захвата всего, дождаться обращения к флоппу и найти заразу которая обращается к A:\
в принципе также можно отследить какой процесс пишет авторан на флешку
путь длинный но интересный ) [Ответ]

Zav, вот еще попробуй прогнать прогой [Ответ]

Zav, если есть желание,можно попробовать=)
приложи отчет от http://download.sysinternals.com/Files/Autoruns.zip (в меню Save и заархивируй в rar)
приложи отчет от AVZ (файл->стандартные скрипты->выбери 2-й скрипт"сбора информаци...."
Этот отчет можно найти в папке avz4\LOG\virusinfo_syscheck.zip

Сообщение от Zav:
Итак. На жестком авторана нет. System.exe тоже нет.

это уже интереснее,похоже руткит.В инет есть возможность выходить с другого компа,чтобы спокойно можно было бы писать?
Нужно будет удалить файерволлы и антивири и даже дэймонтулс с его драйвером. [Ответ]

Сообщение от aditus:
Zav, вот еще попробуй прогнать прогой

ноль.

Тэкс... Вроде утихло...
Конеш, теперь сложно выяснить, что именно повлияло. Но одним из действий было перенос файла и переименование c:\Program Files\Microsort Common\svchost.exe. Причем у меня после перезагрузки опять не хотел грузиться explorer. Никак не хотел. Даже из диспетчера. Запустил AVZ, сделал оттуда восстановление системы и потыкал там все логичное, в том числе и про эксплорер. Вроде тишина. Проверяю НОДом свцхост - ноль....

.... Да. Перезагрузился - тишина. Ну вот сам и вылечил Даже не успел файловым монитором просканить. А идея - класс! Почему то я не догнал сразу [Ответ]

Zav, svchost не должен находится в программных файлах,99% что это вирус. Пришли плиз этот svchost мне на почту (gpic@yand**.ru) [Ответ]

trox, ну да, поэтому я его и "того". Ушло. Пароль на архив "virus". [Ответ]

Zav, спасибо. Ну что сказать-100% вирус.Запакован upx,получает высокие привилегии,запускает зачем-то IE и обращается к звуковым драйверам=) Комодо рулит =))
Заодно посмотри,есть ли в темпе или drivers файлик размером 6656 байт-возможно тоже участник=) Только смотри,бывают драйвера такого размера безопасные-просто так не удаляй. [Ответ]

незнаю байан или нет, но начал замечать что прописывают себя не в автозагрузку, а
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
имя параметра
Shell
оригинальное значение
Explorer.exe
измененное
Explorer.exe xxx.exe
где xxx.exe имя файла. часто подделка под csrss.exe [Ответ]

путей,куда прописываются вирусы уже десятки и мне уже давно не встречались вирусы,прописывающие себя в "Автозагрузка". К сожалению,это борьба антивирусов и вирусов никогда наверное не закончится.А может и к счастью - очень много народу кормится=)
шутка. [Ответ]

trox, это не шутка, а походу правда [Ответ]

Oleg R, тоже только что было. что примечательно-вирус принесли на флешке, и нод до заражения его не увидел. после выполнения обнаружил, но уже поздно. реестр пришлось ручками чистить.
trox, aditus, да вот же...неудобно стало-раньше автозагрузку почистил и все, а теперь все чаще в реестр приходится лезть. [Ответ]

Zav, проверься с помощью GMER
AVZ - Сервис - Диспетчер служб и драйверов
AVZ - Сервис - Модули пространства ядра

поищи подозрительное при включенном драйвере AVZ [Ответ]

Все уже. Два дня мучил. Снести систему - плевое дело. А вот выиграть биологическую войну - вот это победа!

Сообщение от X0R:
Zav, проверься с помощью GMER

Уже не успел)

Сообщение от X0R:
AVZ - Сервис - Диспетчер служб и драйверов
AVZ - Сервис - Модули пространства ядра

Смотрел. Полезная штука. Кстати, svchost, выявил именно благодаря AVZ, но не явно. Там было одно красным цветом. Но в итоге все равно писал, что подозрений и вирусов ноль.
Комодой тоже не пользовался. Ни разу. [Ответ]

Сообщение от aditus:
trox, это не шутка, а походу правда

Что кормится-правда. А что "А может и к счастью" -шутка =) [Ответ]

проверил этот svchost пачкой антивирей. Руткит однако по drweb и некоторым другим вендорам=)
http://virscan.org/report/f9a1682e4c...07216c8f1.html [Ответ]

что любопытно NOD 32 в списке virscan не фигурирует [Ответ]

обшибся=) Этот руткит,та библиотека 6 кб,которую я у себя нашел после запуска svchost и про которую я выше писал.
А вот данные по свцхосту -http://www.virscan.org/report/b4bf30b5d04ef23a71ed8af4802ea2bb.html

Проверил на другом сайте:
Ikarus Found Worm.Win32.AutoRun
Kaspersky Anti-Virus Found Worm.Win32.AutoRun.rjn
NOD32 Found Win32/AutoRun.FakeAlert.M -интересно,почему FakeAlert. Фэйк-это же подделка.Неужто "ошибочная тревога"... [Ответ]

Zav, скачайте утилиты от бывшей сисинтерналз process explorer и file monitor и спокойно отловите эту гадость) [Ответ]