RavMonE.exe
 

Воткнул флешку в компьютер знакомого. Она еще не хотела безопасно отключаться (сообщение типа "Windows не может остановить это устройство сейчас"). Пришел домой. NOD32 на этой флешке обнаружил вирус. Я рассказал знакомому об этом и он попросил меня удалить вирус. Как это сделать? Симптомы вируса: обои (wallpaper) остаются без значков и панели задач несколько минут после загрузки (explorer.exe запущен), затем они появляются и запущен процесс RavMonE.exe. В автозагрузке:
amvo
avpo
RavMonE
autorun (C:\WINDOWS\Recycled\autorun.exe)
Переименовал C:\autorun.inf в C:\autoran.inf, команды dir и ren никакого C:\WINDOWS\Recycled\autorun.exe не видят.
К сожалению, выложить логи не могу, так как удалять вирус нужно срочно.
Поможет ли в данном случае утилита Flash_disinfector.exe. Изучив ее код (cmd), я понял, что да.
Еще у меня есть Средство удаления вредоносных программ и Dr.Web CureIt!.

Котяра, используйте DrWeb LiveCD/KAV LiveCD, они это дело лечат

Вряд ли, утилита больше для превентивной защиты, т.е. предотвращает запись файлов autorun.inf на носители (и соответственно предотвращает последующий автозапуск, не давая распространятся вирусу), создавая папку с именем autorun.inf (если такой файл уже есть на съемных носителях, то не факт что удалит его и создаст папку autorun.inf), т.е. сначала нужно очистить систему от вирусов, cureit, AVPTool (с вкл. флешкой!) в помощь, а на флешке вычислить и вычистить легко вручную можно :) Если будете делать логи AVZ, воткните предварительно флешку (пора уже научиться логи AVZ анализировать, там в принципе ничего сложного), на autorun.inf AVZ реагирует эвристикой (если по базам определит как зловред - сам удалит) :)
Провели опыт: на флешке была папка autorun.inf, созданная flash_disinfector`ом, на зараженном компьютере воткнули флешку, на флешке создались зловреды типа d.com (и ещё какие-то), но файл autorun.inf не создался, далее воткнули флешку на др. комп, т.к. autorun.inf на флешке не создался, то автозапуск не произошел и на др. комп зловреды не попали.

А я тут, будучи на отдыхе, посетил старого друга.человек он сильно занятой, комп замусорен, антивирус обновляет раз в полгода или того реже(да ещё версия антивира старая).Флеха у меня была обработана Flash_disinfector, но всё равно, прежде чем совать её в комп друга, сначала cureit с болванки пролечил.И не зря.Несколько downloaderoв почикал и ещё что-то. Потом уже спокойно перекидавал с компа, что хотел. :yes: Потом дома флеху проверил-чисто всё. :)

А так ведь есть строки удаления вирусов. Их можно увидеть, распаковав утилиту WinRAR-ом.

Котяра, строчки есть, даже есть del /a/f/q %systemroot%\autorun.inf и строчки удаления этого файла в корне дисков, может конечно удалит, но вот есть прецедент, что файл autorun.inf не удалился, правда создан он был вручную и на нем были атрибуты только для чтения и системный, т.е. если вирус создаст файл с такими атрибутами или зловред сидит в системе и следит за такими действиями... :) Лучше почистить систему предварительно антивирусами.

Например, taskkill там есть. После такой команды вирус вряд ли сможет за чем-то следить :)
Но вирус может сидеть в winlogon.exe в виде библиотеки или в виде драйвера. И тогда его не выключить.

Котяра
От:
спасла утилита Combofix.exe

К сожалению, она требует установить Консоль восстановления, а у меня нет CD с Windows. И я не должен устанавливать на этот ПК программы.

del /a/f/q должен удалять даже файлы с атрибутами, просто файл на уровне разрешений (прав) ещё заблокировали (вспомнил) :) Вместо taskkill там nircmd killprocess, который много чего останавливает

Не требуется, но желательно, иначе есть риск...

Да, так и есть.

у меня были подобные зловреды, и RavMon в том числе. почему-то NOD их упорно не видел, то-то я смотрю странно комп работать стал, вернул касперского - он сразу все увидел. и кстати, под XP у меня эти авторанеры не будут работать скорее всего.

avz+лайф сд от касперского, образ которого есть у них на сайте лечат эту дрянь. Или можно прямо в системе сканить с последними базами. Тоже лечит