Случилось мне недавно "разгребать" последствия вовремя не установленного антивирусного ПО на компьютерах медиацентра на работе...

Для справки: "...учебный компьютерный медиацентр создается на базе компьютерной лаборатории и является центром накопления электронных материалов, медиаконтента, программного обеспечения по заранее определенному учебному и научному направлению".

На тот момент на большинстве компов стоял тандем USB Disk Security + ESET NOD 32 4 версии. На одной машине был только USB Disk Security (админы поздно спохватились - за попытку установки любого "антивирусника" кто-то сильно бил по рукам и всё это дело пресекал на корню). Стал замечать, что студенты после посещения медиацентра стали чаще притаскивать флешки со скрытыми папками и одноимёнными экзешниками в корне (с иконкой как у папки). Виновник - Trojan-Downloader.Win32.FlyStudio.? (вкратце писал в теме про преимущества/недостатки USB Disk Security.

На мой вопрос инженеру медиацентра "доколе будем мы терпеть разгул всякой нечисти на компах? " внятного ответа не получил, поэтому во время очередной пары в данной компьютерном классе решил сам сделать зачистку. Начал с самого проблемного компа, где местные сисадмины не смогли поставить ни "симантека", ни "нода".

Спокойно вставленная в USB-разъём флеша подверглась множественному надругательству, а именно (как потом показало "вскрытие"): часть папок получило атрибут "скрытый", в корне "нарисовалось" такое же количество *.exe; появилась левая папка корзины с вложенным файлом *.vmx; экзешники в папке с софтом "потяжелели". Итого, были выявлены три зверька: FlyStudio, Kido и Sality.

Обычный AVZ "прибивался" через 2 секунды после запуска... Диспетчер задач, редактор реестра, безопасный режим - заблокированы.

От 2 и 3 заразы комп лечил с помощью соответствующих фирменных утилит by LK. FlyStudio "прибивал" с помощью AVZ.

После этого решил сделать командный файл для поэтапного запуска различных утилит Лаборатории Касперского, чтобы экономить время при работе с несколькими компьютерами. Из всего перечня выбрал почти все небольшие по размеру утилиты, за исключением KL Anti-FunLove и Anti-Nimda, т.к. они "заточены" на довольно старые малвари.

Практически у всех утилит есть дополнительные параметры для работы в интерактивном режиме, т.е. с минимальным участием пользователя (ключи /y или -y). Используя утилиты с такими ключами, можно пакетно запустить поочерёдное выполнение практически всех утилит без нажатия дополнительных клавиш.

Пример cmd-файла:

@echo off
SalityKiller.exe -y
KK.exe -y
CLRAV.COM /y /nr /rpt=crrav.txt
klwk.com /y /nr /rd /rpt=klwk.txt
ZBotKiller.exe -y
kateskiller.exe -y
virutkiller.exe -y
antiboot.exe
digita_cure.exe -y
PMaxKiller.exe
TDSSKiller.exe

Две утилиты, которые требуют нажатия любой клавиши, поставил в конце - времени на их работу (при отсутствии специфического заражения) требуется до 5 секунд.

В одну папку поместил все утилиты и cmd-файл, создал из них самораспаковывающийся rar-архив, в параметрах которого выбрал запрет на изменение, распаковку во временную папку и запуск после распаковки cmd-шника.

В итоге имеем exe-файл размером 1,3 МБ, способный "побороться" с приличным количеством разношёрстных "зверьков". Вся процедура проверки на средних машинках проходит минут за 20. Чтобы не тратить время, все остальные машины в медиацентре были проверены ею, а затем уже были подготовлены отчёты AVZ для лечения FlyStudio.