Сообщение об XP-D4B4D314.EXE...

[petcheneg]

Здравствуйте!
При сканировании дисков, получил сообщение о вирусе в павке Win/Sys32/ XP-D4B4D314.EXE
Удалил. Сканил Авирой. AVZ не видит.
Авира, сообщила так же о вирусе в local setings/..com.exe
В данный момент пока не могу их обнаружить.
Да внешнем HDD Barracuda 250GB(USB) несколько папок переименовались в .EXE с одинаковым размером. В тотал коммандере все новые файлы упакованы в DirToFile-EXE.rar(прилагается)
Исходным папкам присвоены атрибуты скрытый, системный, только чтение. В проводнике они не видны.
На этом же диске, имеется autorun.inf(не удаляется). Так же не удаляется.
Диск куплен в ноябре новым -в запаянной упаковке. Сразу после подключения начались проблемы. Окончилось переустановкой системы, и, форматом нового диска. Так и всплывают периодически автораны на разных дисках. На диске, был предустановлен софт для синхронизации рабочего копма с тем, на который планируется переносить данные(благое вроде дело). Что то не срослось.
Как победить? Не ххочется снова переустанавливать.
Упакованный авторан, и. переименованные папки прилагаю.
Второй файл не разбивается на рахивы. Прикрепить не могу -ограничение размера.

Выкладывать вредоносные файлы на форум запрещено!
Для загрузки карантина есть красная ссылка вверху темы

[Bratez]

"Папки, переименованные в ехе-шники" - это на самом деле вирус.
Ваши папки с этими именами сделаны скрытыми.

Подключите ваш внешний HDD, а также флэшки и др. съемные носители и сделайте логи в соответствии с правилами: http://virusinfo.info/showthread.php?t=1235.
Все устройства оставьте подключенными до конца лечения.

[petcheneg]

Ребут получился только после холодного старта -с отключением БП.
Невозможно сделать видимыми скрытые\системные файлы в свойствах папки.
Периодически AV-утилиты поругиваются на /sys32/amv0.exe и amv0.dll

[Bratez]

Удалите программу FieryAds через Установка/удаление программ

Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe

Выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('F:\autorun.inf','');
 DeleteFile('F:\autorun.inf');
BC_ImportALL;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=40415).

Показ скрытых файлов и папок должен заработать. Поудаляйте ехе-шники с именами и значками папок (в Проводнике удобнее включить Вид-Таблица, чтобы видеть сразу, где папка, а где программа, или используйте Тотал коммандер) и снимите атрибут "скрытый" со своих папок.

Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[petcheneg]

Сканнирую после выполнения скриптов.
Возможно, не поставил галочки на всех дисках. Да диске D:/ есть 2 папки в которые не могу войти. Раньше система на нём стояла тоже. Documents and settings недоступна сейчас.
autorun на внешнем удалился, скрытые папки появились.
О! Сканирование не закончилось, AVZ вылетел из памяти. Логи только старые в папке.

Добавлено через 59 минут

AVZ вылетает при сканировании папки
F:\RECYCLER\S-1-5-21-854245398-329068152-1644491937-500
Из проводника, папка пуста. Видима из тотала. При попытке удалить содержимое папки, появляются новые файлы. С каждой попыткой количество увеличивается на 1-2. Всего 560 файлов. Пробовал затереть с Simple File Shredder, не вышло.
Пробую с BCWipe.
Точно такая же папка есть и на внешнем диске
E:\RECYCLER\S-1-5-21-854245398-329068152-1644491937-500
Но, видима в проводнике. Её и пробую затереть.

Добавлено через 1 час 3 минуты

Последние новости:
Внешний почистил, и, пока отключил.
Папку E:/Recicled почистил, но, остались две папки. В одной ехе-шник 5кБ, во второй INFO2 без расширения 800байт. При попытке удалить, скопировать, переименовать и т.д, ехе-шник возражает. Пр этом, в соседней папке создаются новые файлики с произвольным названием и размером. Удаляются легко, кроме INFO2 меняющего размер. При удалении INFO2 остаётся не меньше 800 байт всегда.
ехе-шник, ни в одном редакторе не открывается, включая три Hex-редактора. IDA Pro говорит permission denied/. OllyDbg тоже матом кроет.
Пакость теперь и на С:/ переползла.))) Может и была там.
Доступа к System volume information нет.

[Bratez]

Много самодеятельности и мало толку.
Что-либо сканировать и курочить Корзину я не просил.
Откройте раздел Диагностика в правилах и сделайте логи по п.2 и 3.

[petcheneg]

Разумеется не просил. Об этом говорят п.2 и п.3. А чуть выше, написано, -AVZ вылетает во время сканнирования. Вроде по русски...
Результат "самодеятельности":
-В Recicler на E:\ торчит только Dd1084.ехе. Ничем не открывается.
-В Recicler на вынешем торчит jwgkvsq.vmx. Ничем не открывается.
-AVZ запускается и не вылетает. Ниначто не ругается. Вылетал при сканнированнировании одной из папок по ARM-контроллерам(удалена). Ошибок не находит ни одной. Не находят и другие утилиты.

Доступа к некоторым папкам, нет по той причине, что раньше стояла система и на диске D:\. Папки системные. Одна из папок создана установкой Net Framework 3.5.( в работе).
-FieryAds среди программ небыло, так как в папке нет ехе.файлов. Была затёрта только с помошью BCWipe 3. Другими средствами не получилось.

Работа системмы ускорилась заметно. AV средства ниначто не ругаются.

Корзина на всех дисках отключена -пока. Остались 2 файла в корзинах дисков E и внешнего. Пока молчат.

Таков результат "самодеятельности"...

На помощь можно надеяться, или, только упрёки?

Последнее сообщение в мой адрес в 15:41. Чего то надо было ждать?...

Добавлено через 1 час 45 минут

Спасибо за помощь!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены