!!!! Нашел фришный Comodo internet security как UnclassifiedMalware@89286369 !!!!!!!
на 29.12.2009 23:22 (UTC+10.00 часов) Drweb и AVZ не видит в плотную..
-----------------------------------------------------------------
Зараза заблочила Drweb !!
вот ключи их надо удалить!
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{36AFEFC3-2BCE-4E0C-BD9D-9A2D33A40C45}]
"ItemData"="C:\\Documents and Settings\\All Users\\Application Data\\Doctor Web"
"SaferFlags"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{58FF6922-BB2F-438E-8DC6-BC04E081E532}]
"ItemData"="C:\\Program Files\\Common Files\\Doctor Web"
"SaferFlags"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{A3F77E39-0899-4E4E-8036-120AE6029777}]
"ItemData"="C:\\Program Files\\DrWeb"
"SaferFlags"=dword:00000000
----------------------------------------------------------------------
Убираем подгрузку вира.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe rundll32.exe bfwl.pgo jagktms" - правим ключик на "Shell"="Explorer.exe"
---------------------------------------------------------------------
Сама зараза лежала в TEMP и System32:
-------------------------------------------
Вес всех 148 480 байт
----------------------------------------------
bfwl.pgo
gxyfvmwz.dll
j.dll
lwobbbg.dll
rnagld.dll
dvc.dll
eerj.dll
ddydpx.dll
hjcgev.dll
kdalhb.dll
pvxmke.dll
sjwwwo.dll
uurizx.dll
wwyeop.dll
xmgkbd.dll
---------------------------------------------------------------------------
В помощи раз блокировки реестра и многого другого помогла plstfix.exe
-----------------------------------------------------------------------------
Архив с заразой отправил 2 раза
на анализ в Drweb..
drweb.com #1119443
drweb.com #1119450