Блокировка админских прав, неудаляемый утилитами вирус.

[Fogocytose]

Схватил с флешки вирус. Вообще-то, всегда запускаю USBGuard и он обычно их вылавливает, но в этот раз ничего не увидел. На флешке создается папка с рандомным названием по аналогии с уже существующей (Например, создает Book .exe). Дальше - больше. На всех жестких дисках появилась папка AUTORUN.INF. Папку ничем удалить нельзя - при попытке удалить через скрипт в AVZ вообще произошла блокировка админских прав и ничего невозможно было сделать. После ребута блокировка исчезла, но на диске C (где Windows) вместо папки AUTORUN.INF появилась папка autorun.bak. Периодически выскакивает сообщение об ошибки системного процесса в svchost.exe (значит, вирус там). Ну, и постоянно, примерно раз в 10 секунд, происходит переключение на какую-то папку g (AltTAb), что даже это сообщение писать невозможно. Что нужно сделать?

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\SysFiles\abBDlBwpK9rDYaxAi.dll','');
 QuarantineFile('C:\WINDOWS\muis\svchost.exe','');
 DeleteFile('C:\WINDOWS\muis\svchost.exe');
 DeleteFile('C:\SysFiles\abBDlBwpK9rDYaxAi.dll');
 DeleteFileMask('C:\SysFiles', '*.*',true);
 DeleteDirectory('C:\SysFiles');
BC_ImportALL;
ExecuteSysClean;
 DelBHO('{83821C2B-32A8-4DD7-B6D4-44309A78E668}');
 DelBHO('{EBB40BA1-63A1-8892-4AFF-4FCBCD2CD453}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service','EventMessageFile');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=68333).
Сделайте новые логи.

[Fogocytose]

Эту часть вируса мне удалил CureIT в безопасном режиме на 98% проверки. (до AVZ) Но продолжают создаваться папки на флешках (когда есть, когда нет, непонятно) и не удаляются папки в корневых каталогах жестких дисков AUTORUN.INF и autorun.bak. (Уже после)
Думаю, логи ничего нового не дадут, карантин закачал.

P.S. В папках находиться какой-то файл zhengbro., но ни удалить, ни открыть невозможно (Пробовал Unlocker, скриптом под AVZ)

[Bratez]

Активного заражения в логах больше не видно.
Касаемо "неудаляемых" объектов - отключайте простой общий доступ, смотрите владельца и разрешения.

[Fogocytose]

Спасибо, папки не удаляются, но по другой причине - они были созданы программой USBGuard, и, наоборот, необходим, т.к. "вирусные" автораны не смогут записаться в корневой каталог таким образом.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения вредоносные программы в карантинах не обнаружены