Воткнул флешку в компьютер знакомого. Она еще не хотела безопасно отключаться (сообщение типа "Windows не может остановить это устройство сейчас"). Пришел домой. NOD32 на этой флешке обнаружил вирус. Я рассказал знакомому об этом и он попросил меня удалить вирус. Как это сделать? Симптомы вируса: обои (wallpaper) остаются без значков и панели задач несколько минут после загрузки (explorer.exe запущен), затем они появляются и запущен процесс RavMonE.exe. В автозагрузке:
amvo
avpo
RavMonE
autorun (C:\WINDOWS\Recycled\autorun.exe)
Переименовал C:\autorun.inf в C:\autoran.inf, команды dir и ren никакого C:\WINDOWS\Recycled\autorun.exe не видят.
К сожалению, выложить логи не могу, так как удалять вирус нужно срочно.
Поможет ли в данном случае утилита Flash_disinfector.exe. Изучив ее код (cmd), я понял, что да.
Еще у меня есть Средство удаления вредоносных программ и Dr.Web CureIt!.

Котяра, используйте DrWeb LiveCD/KAV LiveCD, они это дело лечат

Поможет ли в данном случае утилита Flash_disinfector.exe »
Вряд ли, утилита больше для превентивной защиты, т.е. предотвращает запись файлов autorun.inf на носители (и соответственно предотвращает последующий автозапуск, не давая распространятся вирусу), создавая папку с именем autorun.inf (если такой файл уже есть на съемных носителях, то не факт что удалит его и создаст папку autorun.inf), т.е. сначала нужно очистить систему от вирусов, cureit, AVPTool (с вкл. флешкой!) в помощь, а на флешке вычислить и вычистить легко вручную можно :) Если будете делать логи AVZ, воткните предварительно флешку (пора уже научиться логи AVZ анализировать, там в принципе ничего сложного), на autorun.inf AVZ реагирует эвристикой (если по базам определит как зловред - сам удалит) :)
Провели опыт: на флешке была папка autorun.inf, созданная flash_disinfector`ом, на зараженном компьютере воткнули флешку, на флешке создались зловреды типа d.com (и ещё какие-то), но файл autorun.inf не создался, далее воткнули флешку на др. комп, т.к. autorun.inf на флешке не создался, то автозапуск не произошел и на др. комп зловреды не попали.

А я тут, будучи на отдыхе, посетил старого друга.человек он сильно занятой, комп замусорен, антивирус обновляет раз в полгода или того реже(да ещё версия антивира старая).Флеха у меня была обработана Flash_disinfector, но всё равно, прежде чем совать её в комп друга, сначала cureit с болванки пролечил.И не зря.Несколько downloaderoв почикал и ещё что-то. Потом уже спокойно перекидавал с компа, что хотел. :yes: Потом дома флеху проверил-чисто всё. :)

Вряд ли, утилита больше для превентивной защиты, т.е. предотвращает запись файлов autorun.inf на носители (и соответственно предотвращает последующий автозапуск, не давая распространятся вирусу), создавая папку с именем autorun.inf (если такой файл уже есть на съемных носителях, то не факт что удалит его и создаст папку autorun.inf), т.е. сначала нужно очистить систему от вирусов, cureit, AVPTool (с вкл. флешкой!) в помощь, а на флешке вычислить и вычистить легко вручную можно :) »
А так ведь есть строки удаления вирусов. Их можно увидеть, распаковав утилиту WinRAR-ом.

Котяра, строчки есть, даже есть del /a/f/q %systemroot%\autorun.inf и строчки удаления этого файла в корне дисков, может конечно удалит, но вот есть прецедент, что файл autorun.inf не удалился, правда создан он был вручную и на нем были атрибуты только для чтения и системный, т.е. если вирус создаст файл с такими атрибутами или зловред сидит в системе и следит за такими действиями... :) Лучше почистить систему предварительно антивирусами.

Котяра, строчки есть, даже есть del /a/f/q %systemroot%\autorun.inf и строчки удаления этого файла в корне дисков, может конечно удалит, но вот есть прецедент, что файл autorun.inf не удалился, правда создан он был вручную и на нем были атрибуты только для чтения и системный, т.е. если вирус создаст файл с такими атрибутами или зловред сидит в системе и следит за такими действиями... :) Лучше почистить систему предварительно антивирусами. »
Например, taskkill там есть. После такой команды вирус вряд ли сможет за чем-то следить :)
Но вирус может сидеть в winlogon.exe в виде библиотеки или в виде драйвера. И тогда его не выключить.

Котяра
От:

amvo
avpo
autorun (C:\WINDOWS\Recycled\autorun.exe)

спасла утилита Combofix.exe

спасла утилита Combofix.exe »
К сожалению, она требует установить Консоль восстановления, а у меня нет CD с Windows. И я не должен устанавливать на этот ПК программы.

del /a/f/q должен удалять даже файлы с атрибутами, просто файл на уровне разрешений (прав) ещё заблокировали (вспомнил) :) Вместо taskkill там nircmd killprocess, который много чего останавливает

К сожалению, она требует установить Консоль восстановления, »
Не требуется, но желательно, иначе есть риск...

Вместо taskkill там nircmd killprocess »
Да, так и есть.

у меня были подобные зловреды, и RavMon в том числе. почему-то NOD их упорно не видел, то-то я смотрю странно комп работать стал, вернул касперского - он сразу все увидел. и кстати, под XP у меня эти авторанеры не будут работать скорее всего.

avz+лайф сд от касперского, образ которого есть у них на сайте лечат эту дрянь. Или можно прямо в системе сканить с последними базами. Тоже лечит