1 января 2070 год.... Вирус или реальность? )
 

На работе WinXP SP2 + NOD32v3 завелась зараза которая:
1. Как я понял распростроняется на съемных носителях информации (autorun.inf), или через сеть ms08_67.
2. Скидывает дату на 1 января 2070 год что бы антивирь "поседел".
3. Что-то творит, что приводит к сообщению "system.exe приложение будет закрыто"
4. прописывается в автозагрузку как "mwau" в реестре HKCU\Softwear\Microsoft\Windows\CurrentVersion\Run

После удаления из автозагрузки + удаления mwau.ехе из папки RECYCLER и Locals~1\Temp при загрузки с лайф сиди, возобновляется и там и там.
При всем при этом NOD регистрирует и скидывает в карантин вирус Win32\Agent.NVL - постоянно...

Если кто сталкивался подскажите как с этим бороться?

Лично я не сталкивался, но по описанию мне кажется лучше всего формат

выложи тут тело - под виртуалкой погонять людям.

как вариант - берешь чистый комп, дампишь его винт, потом заражаешь винт, еще раз дампишь, и сравниваешь с бекапом до заражения

не-не-не. не формать. как правило мелкая зараза лечится и без этого. иногда достаточно деактивировать механизм запуска при старте (если на заражает исполняемые файлы)

Завтро выложу... А так бы хотелось вылечиться именно вручную, на вирус инфо есть инфа связанная с данным вирем... Но как говорится вручную надежнее!

До того как создовать тему, я начитался уже на вирус инфо.... Я повторюсь что мне надо удалить все вручную без утилит avz и тп.

для начала скачай http://esetnod32.ru/download/sysinspector.php и http://www.ccleaner.com/download
первым проанализируеш систему, ибо мне кажется что вирь зарегистрировал dll из которой востанавливается в системе. вторым посмотриш афтозагрузку и почистиш реестр. я уже сталкивался с этой заразой, удалял вот так вручную, так же поидее есть Антивирус Касперского 6.0 SOS - может быть установлен на одном компьютере с полнофункциональным антивирусным ПО другого производителя - отсутствие компонентов постоянной защиты/проверки в Антивирусе Касперского 6.0 SOS позволяет избежать конфликтов в их совместной работе. подробно на http://www.kaspersky.ru/support/sos6?level=2

Зараза регистрирует себя по следующим адресам:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell NoRoam\MUICache
"C:\RECYCLER\S-1-5-21-5151050744-6534145795-177386695-3900\mwau.exe"="mwau"
"C:\RECYCLER\S-1-5-21-6044136473-1187478682-175657104-4689\mwau.exe"="mwau"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MsConfig\startupreg\Microsoft Windows Automatic Update
"command"="C:\RECYCLER\S-1-5-21-0114444470-0002098367-228570597-8955\mwau.exe"
"hkey"="HKCU"
"inimapping"="0"
"item"="mwau"
"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\R un"

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
"Microsoft Windows Automatic Update"="C:\RECYCLER\S-1-5-21-8575858697-4780426435-050333250-1480\mwau.exe"

Распростроняется на съемных носителях в виде двух файлов:
autorun.inf
explorer.exe
И по видимому через сетевые ресурсы или уязвимости в рпс
Что примечательно авторан нод блокирует, а на експлорера молчит...

В системе сидит в папках:
C:\RECYCLER\........\mwau.exe
C:\Documents and settings\%Username%\Local settings\Temp\<randomname>.sys

так же внедряется с процесс system.exe и скидывает дату на 1 января 2070 года 4:00

Боролся с вирем загружаясь с Live CD
И после чего вручную почистил папки RECYCLER и Temp и все стало на свои места!

Но возникла еще одна проблемма! Неизвесто из-за чего после смены времени в прежнее состояние на некоторых компьютерах не выполняется вход локального пользователя... Читал по этому поводу и узнал что нужно отредактировать userinit.exe в реестре... но так и ненашел где (

посмотри HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

есть прога antiautorun, удаляющая ентот вирус