[truly]

здравствуйте,

теперь у меня неприятности с флэшкой.

что случилось: качала на публичном компе музыку прямо на флэшку. еще когда вставила, заметила странную вещь: появились две посторонние папки. которые не удалялись. я решила, что так, наверно, нужно, потому что одна называлась Datа, а другая - что-то типа User#...
принесла домой - в каждой папке есть лишняя подпапка с именем не то этой папки, не то одного из файлов, в ней находившихся. nod выдал сообщение, что обнаружено "не-помню-что-.worm". файлы были оправлены в карантин, и я их просто удалила вручную, эти папки лишние.

потом сканировала нод'ом эту флэшку, ничего не было найдено.

но. теперь при попытке открыть ее каждый раз появляется сообщение "отказано в доступе". приходится открывать контекстное меню и выбирать "автозапуск".

вопрос все тот же:). ситуация осложняется тем, что флэшка чужая, а у ее счастливого владельца даже антивира нет...

[Severny]

http://slil.ru/24566563
Скачай файл на компьютер.
Вставь флешку при нажатой клавише Shift.
Подожди секунд десять с нажатой клавишей.
Запусти файл.

Кстати, твой прошлый вирус. Встретился сегодня с ним вживую на компе у знакомого.
Скачай http://slil.ru/24566704
Запусти и распакуется в С:\SDFix
Перегрузись и зайди в Безопасный режим (жми F8).
Запусти файл RunThis.bat в папке С:\SDFix и подожди, пока выполняются команды.
Когда попросит перегрузить-перегружайся.
После перезагрузки он еще до конца подчистит.
Ну удачи.

[truly]

в окошке появилось сообщение, что "на съемных носителях" обнаружено...э...э...:) что-то вроде autorun.exe.

кстати, avz сообщила примерно то же самое пару минут назад! что-то там было про подозрения и высокую вероятность, и я решила, что, наверное. это только подозрения..:)

спасибо!! теперь с флешкой все в порядке! я могу вручить ее владельцу? не опасаясь, что он останется без компьютера?

и все-таки- что это было? объясните, пожалуйста. в окошке было написано. что это не вирус... какая-то вредная программка?

[Severny]

Это вирус.
Прочитай предыдущее сообщение до конца. Я кое-что добавил.
Скачай это ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe и просканируй потом свой компьютер и флешку.

[truly]

а у меня был вирус?

проблемы с эраном ведь были в автоподстройке...

я имею в виду прошлую проблему. с экраном. с оперой - что Вы имеете в виду?

[Severny]

Был и есть. Процессы IEexplorer.exe без запущенного IE и процесс svchost.exe, запущенный от имени пользователя из под explorer.exe, то есть проводника.
Он должен быть запущен только от system.

[truly]

iexplorer в диспетчере задач не отображается.

а другой процесс (у меня их 5 сейчас) - они от имени SYSTEM, LOCAL-, NETWORK SERVICE...

ну вот только разве это :

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

[Severny]

Выполни SDFix. Он все покажет. В безопасном режиме попросит нажать Y или N. Нажми Y.
После выполнения репорт можешь выложить. Он автоматичеки откроется после перезагрузки.
А так гадать мы ничего не выгадаем.

А это O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
плагин Download Master для ослика.

[truly]

спасибо. сделаю завтра, с утра пораньше. не хочется экспериментировать ночью:)

[truly]

cureit нашел в папке Eset'а BackDoorGeneric 1138. удалено.

SDFix ни троянов, ни "streams" не обнаружила.

но вот avz как писала, так и пишет (после SDF), что найдены какие-то "таблицы экспорта".
например:
"1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text"
затем:
"1.2 Поиск перехватчиков API, работающих в KernelMode
SDT найдена (RVA=082880)
Ядро ntoskrnl.exe обнаружено в памяти"

и еще:
"6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем".
"1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM"
это нужно включить, да?