Как ни странно, но ни один антивирусник не обнаружил эту программу паразит, которая так злобно засела у меня на флешке. Это два файлика vikusik.exe и autorun.inf, которые при удалении появлялись снова и снова.
Autorun.inf - файл, используемый для автоматического запуска приложений и программ на носителях информации в среде операционной системы Microsoft Windows (начиная с версии Windows 95). Этот файл должен находится в корне устройства для которого осуществляется автозапуск. Файл делится на структурные элементы — блоки. Название блоков пишется в квадратных скобках. Описание блоков содержит пары параметр→значение.
С подобной комбинации мне неоднократно приходилось сталкиваться, т.е. autorun.inf + еще какой то файл с расширением «EXE», так меня все время спасал мой старый добрый антивирь (как всегда обновлен с последними базами), но на этот раз что то оказалось не так. Первым делом я было решил сменить антивирус, но предварительно воспользовавшись онлайн проверкой от разных производителей эффект оказался тот же. Это меня сразу же успокоило и настроило на борьбу по уничтожению вредоносной программы.
Вот я и решил поделиться своим опытом, надеюсь кому то поможет: 1. Отключить флеш устройство. 2. Очистить все записи реестра от параметра vikusik.exe 3. У меня была лишняя запись реестра C:\WINDOWS\system32\drivers\etc\svchost.exe - здесь ничего не перепутайте именно с этим адресом. Системный файл svchost.exe находиться C:\WINDOWS\system32\. 4. С помощью файлового менеджера перейти по адресу C:\WINDOWS\system32\drivers\etc\ и удалить два файла svchost.exe и autorun.inf.
Содержимое файла autorun.inf: [AutoRun] open=vikusik.exe ;dxaywx6etbg3w8ier7 w3g39g96etwg397e6w shell\2=Open ;wxaecexaeawa shell\2\Command=vikusik.exe ;qewrteyru ;c ytbadexd678esensefujk,mnbvcyuioiedsxxjn;/,;l shellexecute=vikusik.exe ;zxcvbedfytgbikjiujhygdssxzzszsz ;csjndfsrigfdclbzoucxzelnhezfc2367oachdba wbd7agbcx98dxbaw.wd ga ;made in UA
Некоторые записи реестра которые мне пришлось удалить: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0bb2b43a-2364-11de-af05-002215e0ea86}\Shell\AutoRun\command] @="C:\\WINDOWS\\system32\\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL vikusik.exe"
Авторан можно вырубить в реестре чтоб даже с файликом авторан инф ни чего не запускалось. можно сделать несколькими способами с помощью ковыряния в реестре или с помощью программы подробнее можно посмотреть тут http://flashinspector.narod.ru/ на вкладке полезное(полное описание веток реестра для отключения авторана) Это не спам а попытка помоч
Тоже столкнулся с этой проблемой. Решил с помощью PREVX 3.0 ( http://info.prevx.com/downloadcsi.asp ) - хоть программа и платная но бесплатных возможностей хватило для идентификации местонахождения этого засранца. Удаление - дело техники :)
Да конечно поможет, но гарантия что на флешке этого вируса не осталось. На сегодняшний день уже наверное все антивирусные программы определяют этот вирус, в некоторые лаборатории отсылал и я.
это уже отдельная тема ...
