Вирус Win32.HLLW.Shadow задолбал!

mtx90, что-то не нахожу в тексте обсуждения, а Вы выключали "восстановление системы на всех дисках" перед чисткой антивирусами? Дело в том, что система прячет свои настройки и важные системные файлы в скрытых папках System Volume Information. А поскольку вирусы обычно имеют атрибут системных, скрытых, то и они попадают в эту папку.
Кроме того, антивирусом следует проверять не только HDD, но и все флешки, которые Вы подключаете к компьютеру. И полезно отключить автозагрузку съемных дисков (флешек).

D.Watson: mtx90, остаётся вариант с лечением из под "внешней" загрузки, с какого-нибудь windows Live CD. Или DrWeb Live CD ( там вообще линукс).

С внешки, это в первую очередь, если не получилось в системе..

Чорт его, какой антивирь стоит..
Первым делом сканирутся озу, если заражено, рестарт системы со сканированием до загрузки системы.
А уже оставшееся, (Только, при условии, что ОЗУ НЕ зараженО!!) сканируется из системы.
Не знаю, как иные антивири, но Аваст поступает именно так > Если обнаружил, что заражено озу, при рестарте сканирует до загрузки Вынь..

Другие..., умеют-нет, так...., не в курсе.

Helis: а Вы выключали "восстановление системы
- из "восстановления" вирус не может воскреснуть самостоятельно, если принудительно не запустить процедуру восстановления.
Кроме того, антивирусы сканируют и обезвреживают и содержимое этой папки (правда, по заявлению самих ДрВебовцев, ДрВеб ее портит).

Только что Аваст выдал предупреждение типа >

"Сетевой экран: Заблокировано соединение с вредоносным сайтом ... millions-dollars.. .."

Это я к тому, что таким макаром, без ведома юзверя, может заскакивать всяка нечисть, ежели нечему о ней предупредить-заблокировать.
А, вероятно была попытка..., раз Аваст заблокировал..
-------
Пока писал это, сообщение о блокировке, повторилось (и повторяется..яя) Предупреждение о блокировке..

Буду искать откель.. Но уж завтра....
_____
Просто Инфа к размышлению!

Cherema: Буду искать откель
-вот именно...

AN1440: AN1440
сегодня, 12:16
........-вот именно...

Да, хорошо поддержано
Однако, так и не понял Откуда..Что.. "Просится в Китай"
Вичистил все куки, кеш и.. на что ещё грешил..
Однин хрен, выскакивает, вышепоказанное, сообщение.
Прчём, если браузер не запущен, окошко не выскакивает..
Но стоит запустить, и начать открывать странички - Окошко о блокировке.
И не важно из какой Оперы (у меня две - Одна почти пустая (закладки) Вторая подзагружена - Кеш и куки удалялись полностью..в обоих..
То же и при запуске IE ив его хранилищах всё вычистил.

Заархивировал папки, в котрые нечто скачивалось, за последнее время (дабы "обрезать" от системы вложенное.
Поудалял всё, что связано с обновлениями (update.exe неких приложений).
Ни Аваст, ни AVZ ничего не находят..
Заходил на этот сайт, куда нечто просится.. х.з "китайские палочки" - На нём никогда не бывал..
Ни в процессах, ни... ни.. ничего, пока не вижу.

Вот такая засада
Разозлюсь, и отключю Сетевой экран, "Пусть катится в Китай" энта хрень, рааз просится
Выскакивает сообщение, безсистемно, с различными интервалами между.. а х.з. меду чем.. Когда захочет.

Cherema: Вот такая засада
А попробуйте натравить на неё Ad-Aware...

В ощем, Окошко-блок надоело, выключил на пару-тройку минут Сетевой экран, и вот уж.., с час после включения..,
никакого окошка о "просьбе в китай" не выскакивает.
Точно не могу сказать, но некие подозрения на попытку "в китай" чего-то от NVIDIA..
Ну а остальное, типа Ad-Aware, эт уж по свободе..
У меня древний дистр. на неё, и в данной системе не стоит вообще.
Обновлюсь Прогонюсь

Вероятно заждались, а чем закончилосьь.
(Это я по картинке с Блок-окошком от Аваста)

Просто не было времени вплотную заниматься + Имеются образы + Резервная Вынь на Е: >
На всяк, крах системный, случай.
-Можно было просто восстанивить Вынь из образа, но не разобравшись.. что..откуда,
это несерьёзно - неизвестность осталась бы "А что это было"

-Короче, пришёл к выводу, Антивирь + Ад-Аваре + AVZ, на хрен выбросить, бо такую заразу,
они не берут (которая расквартировалась уже в реестре)
(Выводы не только мои, но то "со слов", а эт уж на практике.)
Антивири, ловят только на начальных стадиях работы, что Аваст и сделал >
Была заражена память, вычистил нечто до старта в системе, а затем уже в системе,
нашлось ещё пару руткитов, и один троян.. И всё..
Ни Аваст ни AVZ ничего более не казали, а окошко всё выскакивало..

-В общем, сначала определил родительский.. какой svchost руководит..
и его и приостанавливал >
svchost.exe |Generic Host Process for Win32 Services | Cepвиcы: Удaлeнный вызoв.... | [suspenhed]
В этом случае, окошко не выскакивало, но и некоторые приложения запускались и подвисали (системные.

-Начал копать систему на наличие левых svchost.exe (бывает при зараженном)
И нашлось в некой проге (мож работать как плагин в Ф. Жоп'е и Кореле)
На картинке -2- видно, где обосновался. (
Хотя в зип дистрибутива, его не наблюдается, вполне вероятно переименвался...
При попытке сменить расширение на нём, дабы удалить, система зависла,
с рабочего стола всё пропало, и только резет помог.
Всё же удалил.. Но окошко, продолжало выскакивать
Антивири на него не реагировали, да и сидел на разделе D:

-Ну А!, помогла утилита SdFix
(SdFix это бесплатная программа для удаления троянов, руткитов,
шпионских и других вредоносных программ.)
Она и сказала где.. что сидит.. слёту удалять не стал, а начал копаться в реестре >
Ноашлось в > HKEY_CURRENT_USER\Software\Microsoft\SearchAssistant\ACMru\5603\....
На картинке -1- и видно эту заразу (кое какие удалил до снятия скрина.
(Сидели ещё local.ds,user.ds и....).
(А на картинке -3- видно, что в чистой Вынь, в этой же ветке в папке ..\5603\...)
..ds, Это из серии "банковские гады", > воруют номера кредиток у зазевавшихся юзверей, и шлют в Китай -
Вот откель им кризис по.. )

В общем вычистил всё это, но перестарался, пол рабочего стола пропало (значки и..) подвисания..
Однако, задача была решена, хрень найдена, и можно было спокойно восстанавлиать систему из образа.
(Мало ли что осталось) Что и сделал.

Кстати, AcronisTrueImage 11 не смог восстановить из самим же созданного образа,
Не смог восстановить и из созданного образа, неск. ранее, но Acronis'ом 10.0 > Ни с бут, ни из Вынь (резервной).
Восстановил из образа, неоднократно проверенным Acronis 10.0 (Bыпycк 4 871)
из под Вынь, которая на E:
Образу полтора месяца (от 10.0ки), - образу от 11го с месяц, но х.в.
Хотя 11й все образы проверяет и выдаёт ОК.
Из потерь после отката,- Только антивирусные базы Аваст потерял ну и пару мелких прог - Мелочи короче.

А вот хреновый Акронис 11й, (они у меня на двух бут сидят) не мелочи.. Ранее им не приходилось работать, всё 10й.
Если бы не образ созданный 10кой, > Новая установка, Ну, или часы затраченного времени, на избавление от глюков,
в подгаженной системе.

Дааа... Поучительная история.

Вообще-то я бы начал с этого: Имеются.. + Резервная Вынь на Е:.
Загрузиться с нее и прогнать С:, Д: и Е: антивирусом.
Скорее всего на этом все бы и закончилось.

Тем более после того, как был абсолютно верный признак заразы - левый файл, не позволяющий над собой издеваться.
Ну да ладно... Восстановили из образа полуторамесячной давности. А есть уверенность, что он чистый? Я бы и после восстановления просканировал из-под другой системы.
-------------
Ещё:
Антивири, ловят только на начальных стадиях работы, что Аваст и сделал
-как только вирус запустился, это уже не начальная стадия.
Если вирус написан грамотно - побороть его в активном состоянии проблематично. А руткит - и вообще обнаружить.
Антивирус в штатном режиме работы (сканер я имею в виду) служит только для обнаружения факта заражения. При наличии такового - лечение только из-под другой системы.
Монитор (guard) - помогает избежать заражения, к сожалению - тоже не всегда, но обычно успевает хотя бы предупредить.