Автор SkinneR задал вопрос в разделе Компьютеры, Связь
Троян (Win32/PSW.OnLineGames.NLI) autorun.inf,2iferti и получил лучший ответ
Ответ от NIK@N[гуру]
Worm.Win32.AutoRun.bnq
Алиасы
amvo.exe:
PWS-OnlineGames.a (McAfee)
SHeur.SHW (Prevx1)
Trojan.PWS.OnlineGames.NXF (BitDefender)
W32.Gammima.AG (Symantec)
W32/AutoRun.BDA (Norman)
W32/AutoRun.bnq (TheHacker)
W32/AutoRun.BNQ!worm (Fortinet)
W32/Autorun.LD.worm (Panda)
W32/Worm.LZX (F-Prot)
Win-Trojan/OnlineGameHack.103956 (AhnLab-V3)
Win32:AutoRun-MH (Avast)
Win32.AutoRun.bnq (eSafe)
Win32.HLLW.Autoruner.1020 (DrWeb)
Win32.Packed.NSAnti.r (CAT-QuickHeal)
Win32/Frethog.AGF (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Worm/AutoRun.Y (AVG)
amvo0.dll:
OnlineGames.A!tr.pws (Fortinet)
PWS-OnlineGames.a (McAfee)
Trojan.PWS.OnlineGames.NXF (BitDefender)
Trojan.PWS.Wsgame.2387 (DrWeb)
W32/AutoRun.BDE (Norman)
W32/AutoRun.bnq (TheHacker)
W32/Autorun.LD.worm (Panda)
Win-Trojan/OnlineGameHack.54784.B (AhnLab-V3)
Win32/Frethog.AGF (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Файлы на диске
C:WINDOWSsystem32amvo.exe
C:WINDOWSsystem32amvo0.dll
autorun.inf в корневой папке на всех дисках.
В нем прописан файл u.bat (имя файла может быть другим) для автозапуска.
u.bat имеет атрибуты скрытый, системный, только для чтения.
Для сокрытия присутствия используется руткит, работающий в режиме ядра - C:WINDOWSsystem32wincab.sys Его файл после запуска удаляется с диска.
Способ запуска
1. C:WINDOWSsystem32amvo.exe Ключ реестра HKEY_CURRENT_USER, SoftwareMicrosoftWindowsCurrentVersionRun, amva
2. Прописывает запуск через файл AUTORUN.INF в корне основного и съемных дисков.
Внешние проявления (со слов пользователей)
Не показывает скрытые файлы и папки. Локальные диски открывает в новом окне.
утилитой avz не пробовал?
+Flash Autorun Kill
поставь антивир АВАСТ он удалит нужные фаилы без ущерба других прог.... а воще есть прикол такой что любой антивирусник может распознавать ЕКСПЛОЕР как вирус это происходит изза постоянное обновления антивира бывает что и виду почастям удалят может это совсем и не троян.... короче наиди его методом поиска на диске С и удали
перестань вопить
скачай антишпион и фаерволл с последними обновлениями,
отключись от инета чтобы из инета новая порция заразы не текла -вирь может бегать за подкреплением
дальше сканируй комп, особенно папку цвиндовссистем32
в автозагрузе или реестре возможно он прописался
+ отключи восстановление системы в свойствах компа (щелкнуть мышкой правой кнопкой на иконе компа)
знач реестр :
н кей локал машин - софтвар -майкрософт -виндовс - кюрент вершон - рун
либо
н кюрент юзер - софтвар -майкрософт -виндовс - кюрент вершон - рун
там все подозрительное стирай - этоавтозагрузка
так же в свойствах папки скрытые и системные файлы пусть отображаются - там и папках восстановления
(волюм информейшон) на дисках ц и д все стирай
и поиском винды (ф3) ищи этот файл везед и стирай (который вирус)
+ у тебя в папке виндовс и в систем 32 не должно быть двух одинаковых файлов
кмд ехе или нотпад ехе или таскман ехе или эксплорер ехе (не путай с инет эксплорером)
вирус тот который не на своем месте
вот тебе фаервоол с ключом - я его уже настроил
фаерволл (пароль 2)
+ в службах компа нетбиос через ти си пи ай пи отключи
Мой комп пытались этим с флешки заразить. Но касперский своё дело знает =) Просканируй систему им. Или если есть желание покопаться ручками. Скачай прогу Autoruns - и убей ей вирус в автозвагрузке и удали одновременно со всех дисков автозапуск.