Новый ужасный вирус vauuqx.exe, кто встречался?
 

Упоминание о нем нашел только на португальском, ссылка: http://br.answers.yahoo.com/question...9115404AABtAlu
Суть его действия следующая: он как-то загрузился на комп (скорее всего с подключенной флешки Transcend к другому компу в сети) и сразу порушил(скрыл?) всю информацию на несистемном диске D - вместо папок на этом диске при локальном открытии в Моем компьютере создались ярлыки с путем "z:\vauuqx.exe ИмяПапки" (т.к. все произошло, когда диск D открывался с другого компа в сети, где он называется Z с полным доступом по записи), к папкам по ярлыкам локально доступа нет, они не видны.
Сам файл vauuqx.exe был распознан локально антивирусом McAfee как троян и удален.
Нажатие на ярлыки приводит к табличке "нет доступа", т.к. нет vauuqx
Информация на диске D(рейд-массив) будто бы не удалена еще(в Моем компьютере показывается заполнение синим), но открыть ее локально невозможно. Информация очень важная.

Есть подозрение, что это действует какая-то программа защиты информации, которая самовольно включилась, но как ее отключить?
Где-то это похоже на проблему в сообщении http://forum.oszone.net/thread-193004.html, только zxzx не сообщает о ярлыках, как португальцы (может, сам удалил их или они у него не создались)Кроме ярлыков на диске ничего не видно. Система Windows7Ultimate 64бит (лицензионная), работа под администратором.
На компе действительно установлен планшет графического ввода (перо - pen) от Wacom, как упоминают португальцы.

Я заремил Skytel и RAVCpl64 в автозапуске на всякий случай, но это не помогло.
Еще ссылка на португальском: http://www.forospyware.com/t335384.html, в которой тест
(перевел на английский) C:\Documents and Settings\Administrador\vauuqx.exe Win32/AutoRun. VB.RT shipworm (in it has been possible to disinfect - archivo when Cuarentena was removed - puesto en) 00000000000000000000000000000000 C

Причем с того компьютера, который заразил по сети, диск D открывается (как Z) и потерянные папки видны скрытым серым цветом вместе с упомянутыми ярлыками и в них можно зайти.
Но в корне этого диска лежат и видимо вирусные файлы vauuq.exe и x.exe

Обновите базы АВЗ и переделайте логи.

• Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
- Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
- Нажмите No, если вы хотите оставить ваши сохраненные пароли.
- Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
- Нажмите No, если вы хотите оставить ваши сохраненные пароли.


• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Вообще-то я понял, как действует этот вирус и могу его прислать.
Он состоит из 4 скрытых файлов vauuqx.exe, vauuq.exe, x.exe и ert.dll
Они обнаруживаются и McAfee в корне зараженного диска и предлагаются к удалению.
Эти файлы дают папкам на дисках и флешках атрибуты "только для чтения" и "скрытый",
и создают фиктивные ярлыки в корне диска, соответствующие названиям папок. Информация как бы пропадает, если не включено отображение скрытых файлов и папок. Если включить это отображение в панели управления, то папки и вирусные файлы становятся видными.
Непонятно только как убрать атрибут "скрытый" с папок в Windows7, т.к. галочка в свойствах затенена(недоступна для снятия)?

Вы выполните рекомендации.

Загрузите RKILL логи присоедините.

Проверьте систему AVPtool http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

Проверьте рекомендацию пользователя

Выполнил Вашу вторую рекомендацию, видимо безуспешно.
Логи прилагаю.

Malware не предлагает почему-то сканировать сетевой диск X: на котором предположительно больше заразы, а только С:, D:, G: (флешку)

МсАfee определяет наличие вирусных файлов на D: и предлагает удалить, а Malware нет.
Непонятно, чего Вы так предлагаете Malware.

Эти вирусы плодятся на сетевом диске Х: (сетевом винче), которым пользуются многие компы, и с него разносятся по сети. Как их убить непонятно.

Рекомендацию пользователя проверил.
У меня уже был открыт полный доступ к этой ветке реестра и hidden уже стоит в 1.
Изменять ничего не пришлось, галка "скрытый" затенена.

Rkill не дает загрузить McAfee, а отключать его как единственного нормально определяющего что-то глупо, т.к. не хочу чтоб все рухнуло на ответственном компе.
Касперского использовать не люблю, т.к. он нормально не дает себя вычистить(деинсталлировать) и плохо работает совместно с другими антивирусами.

Посылаю файлы вирусов в архивах с паролем 123
а - это файл vauuq.exe
ax - это файл vauuqx.exe
xx - это файл x.exe
ert.dll уже убил, но может завтра снова появится.
Файлы vauu* могут слегка менять названия.

Еще добавляю сегодня вирусный файл ert.dll зажатый в архив e.rar c паролем 123
Он действует в четверке с предыдущими тремя, присланными вчера.
Сегодня опять откуда-то из сети появился, опять нагадил - насоздавал ярлыков и сделал атрибут "скрытый" для существующих папок, который я раньше исправил на "видимый".
Чувствуется этот вирус сейчас хит дня. Вот и в теме http://forum.oszone.net/thread-194618.html похоже то же.
Как его удалить и создать заслон от проникновения на доступные по сети диски?
Неужели нет тут тех, кто работает в антивирусных компаниях и может разобраться?

Название: Trojan.Win32.Zapchast
Категория: Троянская программа
Дата: 2005-06-03

Это по какой классификации название? Касперского?
Если где утилита для защиты компьютеров от его проникновения?
Это какое-то общее название без конкретных средств предохранения, имхо.

SergOst, Так точно.Проведите обследование
avp tool ))