Вирус портит флешки [Trojan-Downloader.Win32.Andromeda.udc ]

Здравствуйте!

Вирус создает на флешке ссылку в виде Removable Disk на C\Windows\System32\rundll32, через которую она и открывается.
При этом в скрытой папке создаются файлы с расширением init с именем _WDTKXFRWPDM на одной флешке и _WMSJDJYIAG на другой . Файлы легко удаляются но потом создаются заново.
По-моему заражается любая флешка вставленная в юэсби или кардридер.

Проверки CureIt, AVG, eset ничего не дают. Касперский Virus Removal скачался но говорит базы повреждены.
[COLOR="#FF0000"]
Обновляю сообщение[/COLOR]: Только что этот вирус снес Панда USB Vaccine, которую я забросил на флешку

[COLOR="#FF0000"]Еще раз обновляю[/COLOR]: После этого Bitdefender Usb immunizer просто напросто Failed to Grant Access to file \\?\H:\autorun.inf.

Помогите избавиться пожалуйста

Уважаемый(ая) [B]Вечеслав[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('c:\progra~2\dxdodir.exe','');
QuarantineFile('C:\Windows\system32\UjzaccAmsirn.dll','');
DeleteFile('c:\progra~2\dxdodir.exe');
DeleteFile('C:\Windows\system32\UjzaccAmsirn.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','53320');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

- Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]

- Проведите процедуру, которая описана [url=http://virusinfo.info/content.php?r=290-virus-detector][B]тут[/B][/url]. Ссылку на результат проверки напишите в сообщении здесь.

1. Карантин подгрузил
2. Выполнил проверки hijack, syscheck

3. Подгрузил Карантин DF1591CBA99FDFD2094317F53D6EBA5C [Trojan-Downloader.Win32.Andromeda.udc ]
Ссылка на результат проверки:
[url]http://virusinfo.info/virusdetector/report.php?md5=DF1591CBA99FDFD2094317F53D6EBA5C[/url]

4. [COLOR="#FF0000"]обновлено[/COLOR] Успел таки проверит мвам. лог прикрепляю. самостоятельно ничего не удалял.

Посмотрите пока предварительные результаты?

пс. Вспомнил что вчера пытался найти dxdodir точка екзе в гугле - выдает сначала много результатов, которые через долю секунды исчезают и остается только один, явно не относящийся к делу. Что бы это могло быть?

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('G:\autorun.inf','');
QuarantineFile('H:\autorun.inf','');
QuarantineFile('C:\PROGRA~2\LOCALS~1\Temp\msbauxv.com','');
DeleteFile('C:\PROGRA~2\LOCALS~1\Temp\msbauxv.com');
DeleteFile('UjzaccAmsirn.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','53320');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

autorun.inf - на флешках сами создавали ?

autorun.inf на флешках не создавал, на одной из них, как мне кажется, его вообще не было до вируса, на другой - не помню.

логи и карантин чуть позже

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[TABLE]
[TR]
[TD]1. Это карантин
Файл сохранён как
[/TD]
[TD]130503_175823_quarantine_5183fabf8ece9.zip[/TD]
[/TR]
[TR]
[TD]Размер файла[/TD]
[TD]43817[/TD]
[/TR]
[TR]
[TD]MD5[/TD]
[TD]f609a78af0a0e380d855c5f4f5fef29c[/TD]
[/TR]
[/TABLE]

2. Логи прикрепил

жду ответа

Верните себе права на ветку HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run и удалите параметр [B]53320[/B]

+ [url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\progra~2\\locals~1\\temp\\msbauxv.com - [B]Trojan-Downloader.Win32.Andromeda.udc[/B] ( BitDefender: Trojan.GenericKDV.932101, AVAST4: Win32:Downloader-SYZ [Trj] )[*] c:\\windows\\system32\\ujzaccamsirn.dll - [B]Trojan-Proxy.Win32.Agent.pev[/B] ( BitDefender: Gen:Variant.Kazy.169470 )[/LIST][/LIST]