Что такое mlsovc.exe, sdata.dll и mgcjvae.dll
Очередной комп родственников с подозрениями на тот самый вирус, подменяющий скрытые папки файлами на флешках. Запуск любимого AutoRuns показал наличие подозрительного файла в автозагрузке.
Удалил ключ, зашел в папку, а там такого файла нет. Либо его уже убил антивирус, либо одно из двух. В общем его там не было, а был там sdata.dll. Запустив ProcessExplorer и поискав по заголовку sdata.dll нашел его запущенным со всеми EXE файлами в системе, в том числе и explorer.exe. Так что ручками из винды гада удалить не получилось. Ибо он запускался с каждым EXE файлом дочерним explorer.exe.
Загрузился с загрузочной флешки. Удалил всю эту говнопапку, перезагрузился. Вирусяки больше нег, DLL не подгружается. На всякий случай прошерстил реестр и поискал в интернете. И нашел.
Вирусок оказался не молодым.
QuarantineFile('C:\WINDOWS\system32\mgcjvae.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\srtserv\sdata.dll','');
TerminateProcessByName('c:\documents and settings\all users\application data\srtserv\mlsovc.exe');
QuarantineFile('c:\documents and settings\all users\application data\srtserv\mlsovc.exe','');
DeleteFile('c:\documents and settings\all users\application data\srtserv\mlsovc.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\srtserv\sdata.dll');
DeleteFile('C:\WINDOWS\system32\mgcjvae.dll');
Увидел там system32\mgcjvae.dll, нашел его и удалил. Больше вирус не беспокоил. Пользуйтесь обновленными антивирусами дамы и господа. И будьте аккуратны втыкая свою флешку куда попало.