wmfcgr

[Avatar25]

Всем доброго времени суток. Уже раз писал, однако почему-то не сохранилось. Пишу ещё раз. Началось всё пару дней назад. Стоит КИС 2009. КИС заявил, что запускается потенциально опасная программа wmfcgr.exe. Попытки её отыскать на диске не увенчались успехом, посему я поместил её в группу Недоверенные в каспере и зашатовался. На следующее утро я получил лишь заставку виндовс на экране монитора. Ни иконок, ни Пуск, ничего. Диспетчер Задач заблокирован, Win+E, Win+R дают нулевой результат. На данный момент ситуация вроде как разрулена. Делал я следующее. Я запустил Windows narrator (Win+U) и по счасливой случайности окрылось окошко со ссылочкой на сайт майкрософта из серии, если вам что-то не понятно, проследуйте по этой ссылочке. Таким вот способом получилось запустить интернет эксплорер. Далее начал гуглить проблему. Я уже знал что меня заразило и что надо удалить, я лишь не знал где оно находится и как его удалить. Было понятно что моя задача - найти и ликвидировать файл wmfcgr.exe. Нашёл статейку что этот вирус может создавать в папке систем32 файлы с определёнными именами. С помощью браузера просмотрел папку, из перечисленных в статье имён файлов нашёлся лишь один 55.exe. Посредством интернет эксплорера была запущена командная строка и файл 55.exe был удалён командочкой del. Однако главная проблема осталась. Далее нагуглил, что помочь может утилита AVZ. Она была скачена на другом компьютере и посредством командной строки скопирована на зараженную машину. Посредством интернет эксплорера она была запущена. Далее, прочитав небольшой гайд на официальном сайте утилиты, я поставил максимальную эвристику и вообще отметил едва ли не все возможные галочки, в том числе и Исправить системные ошибки. Пошло сканирование. В его ходе обнаружился-таки зловещий wmfcgr.exe, находящийся в папке RECYCLER, а точнее в одной из подпапок (в названии много цифер). Утилита выдала приблизительно следующее: \$ Flfti MailBomb detected ! D:\RECYCLER\(циферки)\wmfcgr.exe >>> suspicion for P2P-Worm.Win32.Palevo.nlp. Также благодаря галочке Исправлять системные ошибки был разблокирован Диспетчер Задач и более того было сообщение что он был подменён на всё тот же wmfcgr.exe и что эта подмена также была исправлена. Далее зайдя в пункт Файл\Отображать список подозрительных объектов утилиты был эвристически удалён wmfcgr.exe. В ходе всего сканирования, вплоть до удаления был включен AVZGuard. Как ни странно, но после перезагрузки рабочий стол вернулся на место. Дело было уже глубокой ночью и я зашатовался. Сутра комп также нормально включился. Был просканирован RECYCLER, в нём ничего обнаружено не было. Также он был проверен мной вручную (включена опция отображать скрытые папки и файлы, а также системные папки и файлы). Он оказался пуст. Сегодня вечером, если всё будет нормально прогоню ещё раз каспером всё. К сожалению логи утилиты не сохранял. Они могли быть сохранены лишь в случае их сохранения по умолчанию. Однако wmfcgr.exe был скопирован в карантин утилиты. Если вы расскажете как и куда слать, могу отправить карантин. Вопрос следующий, какова вероятность, что проблема была решена таким образом и какие дополнительные меры вы бы посоветовали предпринять чтоб окончательно убедится в этом? Желательно рекомендуйте антивирусы и утилиты, совместимые с каспером и AVZ. Заранее огромное СПАСИБО!

[pig]

Внимательно прочитать, аккуратно выполнить

[Avatar25]

Спасибо, но походу ситуация разрешилась. Я уже не смогу выполнить ваши требования, потому что последние логи антивируса чисты, а так как внешних признаков заражения я больше не наблюдал, поверим антивирусу. Более того после обновления баз КИС удалил этого червя даже из карантина AVZ, так что высылать уже нечего. Подозрительным осталось лишь одно. Описание данного вируса на сайтах, в том числе вашем, утверждает что он блокирует выход в инет, зато ни слова не упоминается, о том, что он блокирует виндовс шэл, виндовс эксплорер и диспетчер задач. У меня же он сделал именно это, зато инет был в порядке. Но на данный момент похоже на то, что чтобы это ни было, его у меня уже нет. Если вдруг что в следующий раз создам тему по всем правилам, но надеюсь, это произойдёт не скоро