Мои тщетные попытки выгружания DLLок процес эксплорером ничего не дали. Вирь прочно и капитально сидел в системе. Тогда я пошёл более простым, я бы сказал решил проблему влоб. Через вин командер, который зырит скрытые файлы, я нашёл на диске С:\ файл autorun.inf, и открыл его для просмотра. Это ОБЯЗАТЕЛЬНЫЙ файл авторановых вирей. Моему вниманию предавился такой вид:
[AutoRun]
open=uxdeiect.com
;shell\open=Open(&O)
shell\open\Command=uxdeiect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=uxdeiect.com
Хехе, подумал я. Хаха, подумал вирус и творил своё чёрное дело. Оговорюсь сразу, как лакмусовую бумажку поверженности вируса я использовал созданный в папке обычный текстовик, с атрибутами скрытный. Как только через обычный проводник я его стану видеть (разумеется поставив соответствующие галки), то значить вирь повержен. Я пробовал найти онный файл и грохнуть его, но разум подсказывает, что хороший вирь имеет кучу резервок, да и ещё висит в памяти, что сильно осложняет задачу. Тогда я вбил в гугл запрос uxdeiect.com в надежде, что кто-то сталкивался с такой проблемой. Были сайты на всех языках, кроме англицкого и русского. В общем беглый просмотр ВСЕХ сайтов (а там, как ни странно было немного - свежачёк), не дал ощутимых результатов. Тогда я открыл нелюбимый яндух, и вбил запрос туда. И мне выпала, всего одна ссылка, но которая давала ИСЧЕРПЫВАЮЩИЙ ответ на мой вопрос!
Берём бесплатный антивирь AVZ (дёрнуть можно тут: http://www.z-oleg.com/secur/avz/download.php ), качаем. Жмакаем Файл-> Выполнить скрипт, и загоняем туда такой скрипт:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\jwbnlb.exe',''); QuarantineFile('C:\WINDOWS\system32\amvo0.dll',''); DeleteFile('C:\WINDOWS\system32\amvo0.dll'); DeleteFile('C:\WINDOWS\system32\drivers\jwbnlb.exe'); DeleteFile('C:\autorun.inf'); DeleteFile('D:\autorun.inf'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); ExecuteRepair(13); BC_Activate; RebootWindows(true); end.
После выполнения скрипта, комп ПРИНУДИТЕЛЬНО ребутнётся. И всё, наслаждаемся жизнью! Заинтересованные иследователи могут почитать по теме - http://virusinfo.info/showthread.php?s=d7bb23eb8411f66e2f1ebd4754fe325f&t=15532 там же можно качнуть САМ ВИРУС для исследования!
От себя замечу, напоследок, чтобы предохраниться от подобныых неприятностей, надо сделать как я уже писал ранее! Создать файл траляля.reg, в который внести следующуие строки:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro
"AutoRun"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\W
"NoDriveTypeAutoRun"=dword:000000FF
[HKEY_CURRENT_USER\Software\Microsoft\Wi
"NoDriveTypeAutoRun"=dword:000000FF
И запустить его. Этот скрипт пропишет в реестр запрет авторанов со всех сьёмных носителей. А чтобы обезопасится окончательно НИКОГДА не открывать флешки через мой компьютер, ТОЛЬКО командерами!!! ТОЛЬКО! Удачи на антивирусном поприще, и будте здоровы.
UPD Спешу обратить внимание на мой предыдущий пост по этой теме http://community.livejournal.com/x_crew/30570.html , правда там вирус был значительно проще и примитивнее.