Набрался...

[Игорь Жучий]

Похоже новая зараза потому что в полном объеме не распознается и не лечится ничем.

Зараженный компьютер портит любую воткнутую флешку таким образом, что создает в корне каталог с именем, состоящим из одного пробела, все содержимое флешки перекладывает в этот каталог, в корень флешки кладет файлы из вложения. После втыкания зараженной флешки в чистый комп автоматически заражение не происходит. Пользователь открывает флешку и по понятным соображениям тыцает в файл с расширением .lnk.

После этого вирус пошел в комп. Что удалось выяснить. В корне Ц: создается c:\msi\trustedinstaller.exe. Этот trustedinstaller висит некоторое время в процессах, потом пропадает. Эта первая фаза происходит всегда одинаково. И размер и содержимое этого файла одинаковые. И после этого c:\msi\trustedinstaller.exe вирусу уже как бы не нужен. Дальше, в зависимости неизвестно от чего, вирус находится в файлах с разным содержимым и эти файлы находятся в разных местах. Местонахождение бывает ...\local settings\temp..., но не всегда, запуск производится например через ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer\Run\и потом цифры, но тоже не всегда.

К сожалению, те два компа, которые особо жалко, все испробованные мной антивирусы считают незараженными. Пробовал MSE, MBAM, тулзы от касперского и дрвеба. MSE сегодня начал распознавать зараженную флешку и trustedinstaller.exe, но последнюю стадию заражения не распознает. С целью изучения я заразил пару чистых компов, некоторые варианты последней стадии заражения определяет и лечит MBAM, но не те, которые меня интересуют. Компы, очевидно, заражены, так как заражают вышеописанным способом любую воткнутую флешку. Я не уверен, но мне кажется, что какие - то свои части вирус подтягивает через интернет.

Пишу в надежде, что гуру посоветуют, в каких еще ключах реестра может находится автозапуск вируса.

Заражение через те файлы, что во вложении, воспроизводится 100%.

[Info_bot]

Уважаемый(ая) Игорь Жучий, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Alexey P.]

файлы с вирусом не надо прикреплять в теме, это запрещено. Отправляйте по ссылке вверху для карантина.

- - - Добавлено - - -

Вы правы, это действительно загрузчик. Что притянет - еще вопрос, сейчас вроде как бэкдор Андромеда.
Пробуйте лечить куреитом, должен побить. И флешку вылечить.