Заметки по излечению от вредоносных программ

Недавно на одном ноутбуке, принесённом нам  в ремонт, мы столкнулись с вредоносной программой.
Эта "зараза" не обнаруживалась ни Нодом (NOD32 SmartSecurity Ver.4.), ни Касперским (2010) с актуальными базами. 

Впечатлениями делится наш сотрудник.
Какая-то зараза, то ли вирь (вирус), то ли rootkit, перезаразила у меня три флэшки и два внешних usb-харда
Проявляла она себя так:
При подсоединении к заражённому ноутбуку usb-носителя на нём появляется скрытый файл autorun. inf и скрытая папка      dankojebac, а внутри неё - скрытый файл vozibmw.exe
Поскольку поиски в инете (Yandex, Google, Yahoo) не дали результатов - такие буквосочетания нигде в мире не упоминаются, я пришёл к выводу: либо только у меня эта поблема, я - единственный на земле, кому предстоит забороть это зло и никто в мире мне не поможет, либо эта зараза может менять своё имя (файла и папки) и жить под разными именами (возможно, в зависимости от программно-аппаратного окружения, в котором она жила или контентов посещаемых сайтов).
В диспетчере задач (диспетчер задач - процессы ) был какой-то подозрительный процесс, который себя восстанавливал при каждой попытке его остановить. Поиск по системному диску навел на файлик с тем же именем, что и у этого процесса    fswagz.exe. В зараженном компе он хранится под именем fswagz.exe в папке C:\Documents and Settings\ИМЯ ПОЛЬЗОВАТЕЛЯ\fswagz.exe (размер файла тот же, что и у vozibmw.exe = 107520 байт)
В реестре эта вредная прога так же создает несколько записей. На внешнем заражаемом usb-носителе с именем-путём ( f:\dankojebac\vozibmw.exe - в моём случае) и прописывается в разделах реестра ...\ShellExecute,... \MUIcach (записи с именем fswagz.exe) и ещё где-то в ...\Wndows NT\Winlogon\Shell= и в ... \Taskman
Каким-то образом она взаимодействует со службой svchost.exe (возможно с ложной, так как при поиске находятся 2 файла
svchost.exe разной длинны 14336 байт -родной и 12800 -ложный - в XP prof SP3)
Эти процессы постоянно заражают все usb-носители.
Удаление из реестра всех записей dankojebac\vozibmw.exe, с форматированием флэшки +
полная очистка от всех временных файлов из папок Documents and Settings\...\Local Settings\Temporary Internet Files, Documents and Settings\...\Local Settings\Temp,Recycled, System Volume Information ничего не дало - при первой перезагрузке зараза вставала из пепла.
Возможно (почти уверен), что если бы к этим манипуляциям добавить самую главную - удалить с диска файл  fswagz.exe,  излечение удалось бы, но я не довёл эксперимент моего единоборства с заразой без применения спецсредств до конца.
Я вдруг вспомнил про чудо-программку AVZ Ver. 4.35.0.1 с базой от декабря 2010 и попробовал её в деле. Ей одоленть эту заразу оказалось под силу. Слава разработчикам ! - на полном серьёзе...Только эта прога нашла вредные объекты:
Перехватчик KernelMode (подозрение на RootKit) - 1 файл но всегда под разными именами
  spjc.sys, spon.sys, klif.sys, spzn.sys.....
и
  fswagz.exe (ЭПС подозрение эвристического анализа - нестандартный диспетчер задач )

Puma. 25-03-2011.

Ремонт и Модернизация.  www.PuM.ru            Тел.:  +7 (495) 5050-282, 502-4373           E-mail:puminfo@mail.ru

На главную страницу

ремонт ноутбуков в Домодедове, ремонт ноутбуков в Чехове, ремонт ноутбуков в Подольске,
ремонт ноутбуков в Климовске, ремонт ноутбуков в Ступине, ремонт ноутбуков в Кашире.
модернизация ноутбуков в Домодедове, модернизация ноутбуков в Чехове, модернизация ноутбуков в Подольске,
модернизация ноутбуков в Климовске, модернизация ноутбуков в Ступине, модернизация ноутбуков в Кашире.