internet-logo41

Что такое mlsovc.exe, sdata.dll и mgcjvae.dll

Очередной комп родственников с подозрениями на тот самый вирус, подменяющий скрытые папки файлами на флешках. Запуск любимого AutoRuns показал наличие подозрительного файла в автозагрузке.

Удалил ключ, зашел в папку, а там такого файла нет. Либо его уже убил антивирус, либо одно из двух. В общем его там не было, а был там sdata.dll. Запустив ProcessExplorer и поискав по заголовку sdata.dll нашел его запущенным со всеми EXE файлами в системе, в том числе и explorer.exe. Так что ручками из винды гада удалить не получилось. Ибо он запускался с каждым EXE файлом дочерним explorer.exe.

Загрузился с загрузочной флешки. Удалил всю эту говнопапку, перезагрузился. Вирусяки больше нег, DLL не подгружается. На всякий случай прошерстил реестр и поискал в интернете. И нашел.

Вирусок оказался не молодым.

QuarantineFile('C:\WINDOWS\system32\mgcjvae.dll','');

QuarantineFile('C:\Documents and Settings\All Users\Application Data\srtserv\sdata.dll','');

TerminateProcessByName('c:\documents and settings\all users\application data\srtserv\mlsovc.exe');

QuarantineFile('c:\documents and settings\all users\application data\srtserv\mlsovc.exe','');

DeleteFile('c:\documents and settings\all users\application data\srtserv\mlsovc.exe');

DeleteFile('C:\Documents and Settings\All Users\Application Data\srtserv\sdata.dll');

DeleteFile('C:\WINDOWS\system32\mgcjvae.dll');

Увидел там system32\mgcjvae.dll, нашел его и удалил. Больше вирус не беспокоил. Пользуйтесь обновленными антивирусами дамы и господа. И будьте аккуратны втыкая свою флешку куда попало.

назад