Trojan-Dropper.Win32.Vidro.afa

[Frantic-mbg]

На флешке появился вирус. Пользуюсь KAV 2009. Антивирус видит этот вирус, но не может удалить.

Вирус называется Trojan-Dropper.Win32.Vidro.afa

 

Антивирусник видит єтот вирус как файл quonoso.exe. Этот файл то исчезает то появляется.

 

На сайте антивируса касперского он есть в подразделе "последние вирусы"

 

Trojan-Dropper.Win32.Vidro.afa 22:25 23 май 2010, 14:32

 

Этот вирус создает копии почти всех файлов, присваивая им разрешение .exe, а оригинальные файлы делает скрытыми. После удаления файлов .exe они появляются снова.

 

Что делать? Как удалить этот фирус?

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено 4 июня, 2010 пользователем Frantic-mbg

[Falcon]

http://forum.kasperskyclub.ru/index.php?showtopic=1698

[Frantic-mbg]

Все, добавил все необходимые файлы.

[snifer67]

Выполните скрипт в avz

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\autorun.inf','');
QuarantineFile('F:\quonozo.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\koocuby.exe','');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\koocuby.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','loutoub');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','loutoub');
DeleteFile('F:\quonozo.exe');
DeleteFile('F:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

Карантин отправьте на newvirus@tut.by (размер карантина должен быть больше 5кб)

Сделайте новые логи.