Видалення вірусів Microsoft Driver Setup, DorkBot.B, Injector.SHD
Зустрівся сьогодні з досить таки старим вірусом, який називає себе в автозавантаження Microsoft Driver Setup, давно він мені не зустрічався тому його опису я ще не приводив.
Наскільки я пам'ятаю він чіпляється на флешки і створює папку Recycler, маскуючись тим самим під кошик, сюди ж скидає виконуваний exe файлик. Також він приховує всі папки в корені флешки і створює ярлики з такими ж назвами як у папок.
В автозавантаженні раніше можна було знайти файл з ім'ям aadrive32.exe підписаний як Microsoft Driver Setup.
Сьогодні зустрівся Microsoft Driver Setup з ім'ям wrdrive32.exe - його симптоми залишилися тими ж.
Отже, з чим же я зіткнувся при його удаленіі.Распішу по порядку.
Принесли мені ноутбук, на якому було встановлено аж два антивіруса - AVG і Dr.Web.
Природно бук жорстко гальмував - не можна ставити на комп'ютер два антивіруса, але все ж запускався. Першим же ділом я видалив обидва цих антивіруса і лише потім приступив до видалення вірусів.
Запустив autoruns. Скрін з нього виклав вище.
Якщо подивитися на цей скін можна помітити, що крім файлу wrdrive32.exe ще є файл cache32.scr. а також ygyeyc.scr з назвами t2fcleaner і ygyeyc відповідно.
Крім цього, є вже вилучені файли, що відносяться до вірусів.
Заходимо в Total Commander шляхом c: \ Documents and Settings \ Admin \ Application Data \ де знаходиться файл cache32.scr. Бачимо в ньому купу файлів
Виділяємо абсолютно всі файли з цієї папки і видаляємо. Видалення проходить. У пам'яті ніяких файлів звідси начебто більше не висить. Не забуваємо також почистити папку% TEMP%. за допомогою Unlocker видаляємо файл wrdrive32.exe в папці Windows. З ходу не видаляється, каже що буде видалений після перезавантаження комп'ютера. Що ж перезавантажуємо.
Заходимо знову в autoruns. Бачимо що файл ygyeyc.scr на місці. 1
Заходимо в Total Commander - по даному шляху він відсутній.
Що ж, встановлюємо Nod32. Відразу ж після установки з'являється вікно з загрозою в оперативній пам'яті - модифікований Win32 / Dorkbot.B черв'як
Вставляємо флешку - відразу ж спрацьовує антивірус - на цей раз модифікований Win32 / Injektor.SHD троянська програма
Що ж в системі крім уявного файлу ygyeyc.scr нічого не залишилося.
Після перевірки очищаємо все. Перезавантажуємося.
Все - в системі більше немає вірусів.
Загальний висновок - не залишайте свій комп'ютер без антивірусного захисту, та й подвійну антивірусний захист робити не варто. Підсумок - Eset Nod32 в зв'язці зі сканером CureIt позбавлять вас від будь-якого вірусу.