Повстречался сегодня с довольно таки старым вирусом, который называет себя в автозагрузке Microsoft Driver Setup, давно он мне не встречался поэтому его описания я еще не приводил.

Насколько я помню он цепляется на флешки и создает папку Recycler, маскируясь тем самым под корзину, сюда же скидывает исполняемый  exe файлик. Также он скрывает все папки в корне флешки и создает ярлыки с такими же названиями как у папок.

В автозагрузке ранее можно было найти файл с именем aadrive32.exe подписанный как Microsoft Driver Setup.

Сегодня повстречался Microsoft Driver Setup с именем wrdrive32.exe — его симптомы остались теми же.

Как оказалось, удалить его оказалось в этот не так просто. Да это и к лучшему, иначе статья бы не оказалась в этом блоге, т.к. удаление прошло бы как обычно и нечего было бы писать нового.

Итак, с чем же я столкнулся при его удалении.Распишу по порядку.

Принесли мне ноутбук, на котором было установлено аж два антивируса — AVG и Dr.Web.

Естественно бук жестко тормозил — нельзя ставить на компьютер два антивируса, но все же запускался. Первым же делом я удалил оба этих антивируса и лишь потом приступил к удалению вирусов.

Запустил autoruns. Скрин с него выложил выше.

Если посмотреть на этот скин можно заметить, что кроме файла wrdrive32.exe еще есть файл cache32.scr, а также ygyeyc.scr с названиями t2fcleaner и ygyeyc соответственно.

Кроме этого, есть уже удаленные файлы, относящиеся к вирусам.

Заходим в Total Commander по пути c:\Documents and Settings\Admin\Application Data\ где находится файл cache32.scr. Видим в нем кучу файлов

Выделяем абсолютно все файлы с этой папки и удаляем. Удаление проходит. В памяти никаких файлов отсюда вроде бы больше не висит. Не забываем также почистить папку %TEMP%, с помощью Unlocker удаляем файл wrdrive32.exe в папке Windows. С ходу не удаляется, говорит что будет удален после перезагрузки компьютера. Что же перезагружаем.

Заходим снова в autoruns. Видим что файл ygyeyc.scr на месте. 1

Заходим в Total Commander — по данному пути он отсутствует.

Что же, устанавливаем Nod32. Сразу же после установки появляется окно с угрозой в оперативной памяти — модифицированный Win32/Dorkbot.B червь

Вставляем флешку — сразу же срабатывает антивирус — на этот раз модифицированный Win32/Injektor.SHD троянская программа

Что же в системе кроме мнимого файла ygyeyc.scr ничего не осталось.

Запускаем в помощь к Nod32 антивирусный сканер от Dr.Web — Cureit

После проверки очищаем все. Перезагружаемся.

Все — в системе больше нет вирусов.

Общий вывод — не оставляйте свой компьютер без антивирусной защиты, да и двойную антивирусную защиту делать не стоит. Итог — Eset Nod32 в связке со сканером CureIt избавят вас от любого вируса.