помогите побороть вирус или его последствия

[merops apiaster]

Здравствуйте! Уже в течение недели при загрузке операционной ситемы выскакивает сообщение: "не удается найти файл сценария "С:\Programm Files\ Съёмный диск\usb.wsf".

Посоветуйте, пожалуйста, что нужно сделать, если можно, подробно по пунктам, чтобы от этого избавиться. Вероятно, это вирус...

У меня установлен Касперский 2010, который утверждает, что компьютер защищён.

[edde]

Правила раздела

[merops apiaster]

Правила раздела

Проделано. Отчёты прикрепляю.

log.txtinfo.txtvirusinfo_syscure.zipvirusinfo_syscheck.zip

log.txt

info.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

[edde]

Активного заражения пока не вижу

выполните скрипт авз

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('j:\autorun.inf','');QuarantineFile('J:\usb.wsf','');QuarantineFile('C:\WINDOWS\system32\cmdow.exe','');DeleteFile('j:\autorun.inf');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится

выполните второй скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

В результате выполнения скрипта будет создан архив с карантином

Карантин с паролем virus вышлите на ящик myedde@mail.ru

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM.[/url]

usb.wsf вам известно откуда и когда это появилось?

В HJThis пофиксить строчку

O4 - HKLM\..\Run: [Съемный диск] "C:\WINDOWS\System32\wscript.exe" "C:\Program Files\Съемный диск\usb.wsf" //Job:Work

Изменено 12 сентября, 2010 пользователем edde

[merops apiaster]

Скрипты выполнены.

На почту архив с карантином и лог отправлены.

В HJThis пофиксить строчку

O4 - HKLM\..\Run: [Съемный диск] "C:\WINDOWS\System32\wscript.exe" "C:\Program Files\Съемный диск\usb.wsf" //Job:Work

Сообщение "usb.wsf" ушло только после этого действия.

Откуда оно появилось, мне неизвестно. Что же это было?

Если удалить вот эти зараженные файлы, Nero и Total Commander перестанут работать?

Из лога:

"Зараженные файлы:

C:\KEYGEN\NERO.MEDIA.PLAYER.1.4.0.32.EXE (Malware.Packer.Gen) -> No action taken.

C:\KEYGEN\NEROMIX.1.4.0.32.EXE (Malware.Packer.Gen) -> No action taken.

C:\KEYGEN\NEROVISION.EXPRESS.3.1.0.7.EXE (Malware.Packer.Gen) -> No action taken.

C:\Program Files\Total Commander\Soft\fitW\fitW.exe (Malware.Packer.Gen) -> No action taken.

C:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> No action taken."

И можно ли удалять вот это:

"Зараженные ключи в реестре:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> No action taken.

Зараженные параметры в реестре:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.

Объекты реестра заражены:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken."?

Большое спасибо!

[edde]

Плагины от Total Commander проверьте отдельно на virustotal.com

Всё остальное крайне желательно удалить.

Будьте здоровы.