Вирус создает ярлыки папок на USB носителе

[VJIastelin]

Доброго времени суток помогите разрешить проблему с вирусом. Значится создает ярлыки папок на съемном носителе и блокирует доступ на сайты производителей антивирусов. Вирус занес на ПК знакомый с незнакомой флешкой))Логи прилагаются. Так же создается папка ".Trashes" c двумя файлами внутри "144b12d8.com" и "Desktop.ini". Буду очень признателен за помощь)

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

Изменено 20 марта, 2013 пользователем VJIastelin

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
 begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
 end;
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Xowwwt.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Xowwwt.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Xowwwt');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

[VJIastelin]

Файл карантина отправил. Логи прилагаю. Стал заходить на сайты антивирусов. Ярлыки на зараженной флешке после лечения исчезнут или воспользоваться параметром командной строки "attrib"?

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

Изменено 21 марта, 2013 пользователем VJIastelin

[Roman_Five]

VJIastelin,

Ярлыки на зараженной флешке

Вы уверены, что это ярлыки? может, это файлы с расширением *.exe ?

если скрыты папки - отобразите их в ТоталКоммандере (файл-изменение атрибутов)

всё инородное на флэшке удалите.

 

Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> отметить указанное -> Исправить

 >>  Нарушение ассоциации REG файлов
>>  Разрешен автозапуск со сменных носителей
>>  Обнаружены опасные расширения в списке типов файлов, не представляющих угрозы

[VJIastelin]

После очистки всего инородного и проделанного скрипта, вирус себя не проявлял. Пока что полет нормальный. Как будут какие-то тело движения напишу. Спасибо за содействие люди добрые))