Как удалить два "неудаляемых" вируса, их "назначение", и принцип работы
 

С Днём Победы всех! Здоровья крепкого!

В общем расклад такой
Предистория\пролог
Есть ноутбук, на котором есть 6 логических дисков. C: - D: - E: - F: - G: - H:, антивирусника на нём не было. Точно знаю, что были там вирусы. Форматнул диск C:, установил систему, драйвера, и... понял, интуиция или ещё как? Но понял точно, что вирусы есть всё равно, переустановка не помогла удалить их. Подключил ноут по локальному соединению к своему стационарному компу, проверил Касперским, предварительно обновив базы. Антивирус нашёл 12 опасных объекта: 6 Вирусов и 6 Троянов. На каждом диске, в корне лежало два одинаковый файла:
Файл autorun.inf, содержит такой код:
Понятно, что он запускает файл u.bat, назначение которого мне неясно, может поскольку он троян, то что-то кому-то передавать?
Антивирус Касперского идентифицирует их как:
Вот скрин:


Мои действия и попытки удалить
Удаление этих файлов антивирусом, не решает проблему, он их конечно удаляет, но они потом восстанавливаются. Данные файлы, имеют атрибуты: Скрытый, Системный, Только для чтения. Поэтому на ноуте я не могу выставить отображение скрытых и системных файлов, решение предложенное в этой теме Доступ - [решено] Помогите отобразить скрытые папки и файлы! проблему не решает. С ноута их не видно, с моего компа через локалку, я их вижу, и удаляю вручную, через секунд 15-20 они чудесным образом появляются на диске. Решил пойти таким путём, решил переименовать их, но номер не прошёл, они переименовались, но это действие было эквивалентно < Shift + Del >, всё равно по прошествии пол минуты они появляются. Следующий мой шаг был через команду:
снять все атрибуты, потому что снятие через Свойства - снять галочку Только для чтения, тоже не решает, атрибуты: Скрытый, Системный, Только для чтения, восстанавливаются, хоть через командную строку, хоть через Свойства. Потом хотел изменить содержимое autorun.inf, выставив знак " ; " перед строками, что ниже, (можете смотреть, или нет), но скажу, сразу не помогло, хоть и подтверждается запись, и изменяется, но содержимое остаётся неизменным.

Последний ход был, скорее агоничным. Загрузился я с загрузочного CD - запуситл Volcov Commander, и в чистом DOS'e, попробовал удалить их нажав клавишу F8 Delete - не удалились, выдало сообщение с выделенной буквой, для файла: (буквы которые были выделенны, тут выделены жирным курсивом)

autorun.inf
u.bat

С перемещением вышли те же грабли... Хотел переместить в одну папку и потом грохнуть... Не судьба... Но интересно ведь, неужели я не могу их победить?! Они ничем не проявляют себя, кроме того, что эти файлы присутствуют и нельзя другие файлы отобразить если они скрытые и системные. Есть конечно вариант с форматированием всего винчестера, но это крайняя мера, поскольку там есть законодательные и бухгалтерские базы. Таблицы и документы... В связи с этим, возникают несколько вопросов:
1. Что это за вирусы? Их назначение? (Если они только в корне диска и всё.)
2. Насколько безопасно будет перекопировать все данные с одного компа на другой, кроме этих вирусов? (Не передадутся ли и они, как "бонус", с копированием?)
3. Как их всё таки удалить? (Поскольку те выделенные буквы, как будто комп не понимает имени файла, так и пишет: Bad command or name file, когда я из под DOS'a, хочу их удалить, команды вводил правильно.)
4. Возможно ли их удалить без форматирования всего винчестера?! (Как я понял, если трояны, то кроме как "уворовывания и слежения" за ноутом, у них нет другого назначения?)
Была ещё задумка(ночью пришла), написать .cmd с таким содержимым:
Чтобы сразу удалить все файлы во всех дисках, может тогда они не успеют восстановиться? Потому что если они где-то в другом месте ещё зарыты или как-то связаны с win.ini, то я не знаю, с локалки я туда не могу зайти, а с ноута не видно этого файла...

Drongo, попробуйте загрузится с диска Windows PE/bartPE, а не DOS и удалить их.
И какого содержание u.bat? скиньте мне в PM. Только в виде текста!

А файла d.com случайно нет? А то, судя, по информации из Интернета, он из этой же вирусной "семьи".

Цитата:

Цитата Drongo \\Alexandr\MEDIA (G)\autorun.inf »

Цитата:

Цитата Drongo \\Alexandr\MEDIA (G)\u.bat »

Так вы пытаетесь "лечить" компьютер через локальную сеть? :-0

========================
И еще:
можно просканировать систему утилитой drweb cureit! (http://freedrweb.com/)

Котяра, Его нет. Тоже нет.
Пожалуйста, здорово смахивает на исполнимый, но на кой лад переименованый в .bat. При попытке копирования его содержимого могу только скопировать этот текст, (больше не копируется)
Скрин с содержимым вот (подобный текст до конца, там есть ещё полоса прокрутки, но смысл дальше прокручивать?):



Да. А что? Что-то не так? Ведь антивирусник обнаруживает вирусы и удаляет, но они появляются...

Прежде всего, сделать резервную копию ценных данных!

Drongo, Даешь, у нас же на форуме есть правила для запроса .
Самостоятельное исследование оно конечно хорошо, но есть наработки и почему бы не воспользоваться.

Посмотреть bat-ник -- переименовать u.bat в u.txt.

Котяра, Ноут не мой, а друга, это сделается, друг делает резервные копии каждый день.
Severny, Так я вроде определил вирусы, осталось дело за малым, удалить.

Drongo, Дело в том, что ты не определил возможный руткит, драйвер или trojan-downloader, который их восстанавливает. Тем более с помощью AVZ можно удалить любой файл. Далее с помощью AVZ возможно будет ограничить возможность заражения подобным вирусом.

Drongo, самое простое

1. посмотреть и удалить, если есть в Автозагрузке файл Amvo.dll и Amvo.exe и все что связанно с ним в Реестре
2. взять anti_autorun.exe и провести им чистку несколько раз подряд

и вообще данный вирус нарушает показ Скрытых файлов и папок и блокирует нормальный доступ к локальным дискам по левой клавиши мышки

только лечить надо не по сети, а локально на каждой машине
для предотвращения запуска заразы с флешек
в AVZ - Файл-Мастер поиска и устранения проблем - Системные (все проблемы) - Пуск - и пофиксить "Разрешен запуск со сменных носителей"

Ага.
Drongo, посомтрите эту тему (кликните здесь). Второе сообщение.
Проверьте систему утилитой CureIt!, причем не через локальную сеть, а прямо "на месте".

====
Сейчас пришла в голову мысль: отключите на зараженном ПК восстановление системы! Оно и восстанавливает вирусы!
И сделайте скриншот диспетчера задач (CTRL+SHIFT+ESC) и выложите сюда.

Удаление этих файлов недостаточно.
Anti-autorun с последними модификациями не справляется.

З.Ы. Неужели сложно сделать логи?

Это уже вечером, поскольку ноут не у меня, а у друга, увидимся с ним вечером, чем закончится эта "эпопея" отпишусь, в лучшем случае завтра.
P.S. Если есть ещё идеи, делитесь.

автор жаловался только на эту проблему, поэтому ответ был по этой теме
отлично справляется,
согласен, где логи!!!


кстати везде где присутствует файлы autorun.inf и u.bat есть и Amvo.dll, Amvo.exe так вот он их и пораждает заново

Котяра, Уже смотрел, в сообщении Severny, номер 5. :yes:
Отключено, как в службах, так и в свойствах Мой компьютер
Как уже сказал, комп у друга, но и сам туда заглядывал, ваще, ничего подозрительного не заметил. Никаких лишних процессов, хотя если "маскировка", произведена, то не мудрено, что я и не замечу ничего. Отпишусь, когда ноут в мои руки попадёт. :) И выложу фотку Диспетчера задач.

Baw17, Обязательно посмотрю.

В службах отключать не обязательно :)

О, стоп, у меня идея, а что если я сейчас на виртуальной машине заражу этими вирусами? И проверю? Это вариант? Или из-за возможного отсутствия этих Номер может не пройти?

А где Вы эти вирусы возьмете? :) :) :) :) :)

Наличие Amvo на номер не повлияет, но есть риск, что вирус выберется за пределы виртуального ПК и... заразит реальный ПК. Такое может произойти если на виртуальную машину установлен модуль Additions и включена опция расшаренных папок в настройках виртуальной машины. Тогда "сетевой диск" виртуальной машины, индицирующий реальный ПК, будет заражен и вирусы пойдут на реальный ПК.

Конечно, тему стоило создать в соответствующем разделе, но уж коли она здесь, то поделюсь своим опытом "знакомства" с данным типом зловредов.
Я столкнулся с ними в начале января этого года, когда их не обнаруживала ни одна из имеющихся у меня антивирусных программ. CureIt равно как и AVZ с Avast молчали в тряпочку. Всё удалялось вручную.
Здесь надо отследить логику работы подобных вирусов. Во-первых, он должен быть прописан в автозапуске. В этом хорошо помогает утилита AutoRuns. В моём конкретном случае всё оказалось довольно просто. Автозапуск был прописан в самом банальном месте реестра - Там я обнаружил параметр который тут же и удалил.
Во-вторых, вирус создаёт на всех разделах жёстких дисков и съёмных носителей пару файлов - autorun.inf, и второй файл, который может иметь любое название, и расширение исполняемых файлов - .com, .bat, .cmd, .exe, причём он делает их системными и скрытыми, и запрещает показ этих типов файлов.
В-третьих, вирус постоянно сканирует корневые папки всех разделов на предмет изменений, и если удалить вышеуказанную пару файлов из всех разделов, то не пройдёт и пяти минут, как они будут воссозданы заново.

Алгоритм лечения простой (ещё раз повторюсь - без применения каких-либо антивирусных средств!) - сначала убираем параметр в реестре, отвечающий за автозагрузку вируса. Если вирус шибко ушлый, и запретил пользоваться редактором реестра - пользуйтесь альтернативными редакторами.
Затем перезагружаемся, и вот тут внимание! Ни в коем случае не надо щёлкать мышью по дискам! Иначе вы опять запустите вирус! Для начала надо включить показ скрытых и системных файлов, как описано здесь. Либо воспользоваться альтернативными файловыми менеджерами, например Total Commander'ом.
После этого заходить на диски для удаления вирусных файлов и autorun.inf следует только с помощью левой панели проводника - "Папки"!.
Напоследок останется удалить только пару файликов в папке %SystemRoot%\system32 - это amvo.exe и amvo0.dll. Впрочем, названия могут варьироваться.

И напоследок - настоятельно рекомендую ознакомиться с этой темой.

Пишу с ноута.
DmB89, Спасибо, я тоже обнаружил в автозагрузке файл amvo.exe, через Пуск - Выполнить - msconfig, и практически сразу после установки системы снял галочку, далее они восстанавливались как-то по другому. Но после снятия файла с автозагрузки, в том то и дело они воссоздавались заново. Сей файл лежит в
Сейчас у меня пусто и тогда когда они появлялись эта галочка была в автозапуска снята, друг решил так, поставил Касперский седьмой версии, и он удалил всё. Осталось только последствия убрать, заставить отображать скрытые файлы.
Логи выкладываю.

DmB89, Вопрос решён! Антивирусом с ноута, не через локальную сеть, прошуровал на наличие вирусов, удалил их все. (Варварский подход конечно, Ваш понравился больше, элегантен... ) :up Далее осталось только задейстовать:
Пуск - Выполнить - regsvr32 /i Shell32.dll - Свойства папки - снять флажок с Скрывать системные защищённые файлы и отображать скрытые файлы и папки. Всё. Получилось отлично. Файлы и папки отображаются! Ура! Я победил!!!
Baw17, Был прав, зараза с этим именем там сидела!
Вопрос решён, Всем принявшим участие в моей проблеме выражаю огномную благодарность за помощь и понимание! :up :yahoo: