Компьютер заражает флеш-носители вирусом(файлы/папки заменяются на ялыки)

[rutten]

Здравствуйте! 

Недавно столкнулся с двумя проблемами: с поймал где-то вирус, который заменяет все файлы и папки на флешке на ярлыки, то есть делает все файлы невидимыми и системными и создает ярлыки с названиями этих файлов. С таким вирусом ранее сталкивался, думал быстро это дело исправить, но не тут-то было... Пока я додумался как удалить ярлыки (а они не удалялись, ибо ссылались на cmd), пока я удалил сам вирус (.exe, он тоже удалялся только в том случае, если я закрывал все Хост-процессы для задач Windows), в общем пока я почистил и восстановил флешку, вирус, по всей видимости, перекочевал на компьютер и теперь заражает все флешки этой гадостью.

 

Я нашел файлы с этим вирусом в директории C:\Users\UserName\AppData\Roaming, удалил их и можно было спокойно вставлять флешку, компьютер ее не заражал, но стоило мне перезагрузить компьютер, как в этой же директории снова появилось 3 файла этого же вируса, но уже с другими именами (примеры: ABA.exe.gonewiththewings, c731200). 

В общем откуда они берутся...

 

И вторая проблема: бороздя интернет в поисках решения, я заметил, что у меня не открывается сайт Антивируса Касперского и не обновляется база данных сигнатур моего антивируса ESET NOD32 ANTIVIRUS 5.

 

Откуда берутся эти файлы, я без понятия... пытался найти, что их "генерирует", но все напрасно... может вы подскажите? =(

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

[Roman_Five]

 

 

может вы подскажите? =(

обязательно подскажем!

 

у Вас во время подготовки логов RSIT не загрузился с сети Hijackthis.

скачайте его самостоятельно и сделайте лог.

[rutten]

Да, это то о чем я и говорил. На офф сайт HijackThis у меня не заходит, поэтому и наверное не скачало.

Вот лог.

hijackthis.log

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
ClearHostsFile;
TerminateProcessByName('c:\users\Артем\appdata\roaming\f49d.exe');
QuarantineFile('C:\Users\Артем\appdata\local\temp\adobe\reader_sl.exe','');
QuarantineFile('C:\Windows\Installer\a8c54b5.msi','');
QuarantineFile('C:\System Volume Information\_restore{F27047C8-CD44-4D97-A9B3-D1D24D6DCA5F}\RP376\A0171446.exe','');
QuarantineFile('c:\progra~2\dxfmxo.exe','');
QuarantineFile('C:\Users\Артем\AppData\Roaming\ScreenSaverPro.scr','');
QuarantineFile('C:\Users\Артем\AppData\Roaming\Microsoft\Tiyeyx.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9861447\nafejh.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-98614471\nafejh1.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345547\nass017.exe','');
QuarantineFile('C:\Users\Артем\AppData\Roaming\Identities\beobh\beobh.exe','');
QuarantineFile('C:\Users\328F~1\AppData\Local\Temp\Adobe\Reader_sl.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8325143\nass0123.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345143\nass0124.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345543\nass0125.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345546\nass0126.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-825347\na0ss0121.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3313547\n1a334121.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-120221\12133d.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121151\12d3d.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe','');
QuarantineFile('c:\users\Артем\appdata\roaming\f49d.exe','');
DeleteFile('c:\users\Артем\appdata\roaming\f49d.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121151\12d3d.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-120221\12133d.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3313547\n1a334121.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-825347\na0ss0121.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345546\nass0126.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345543\nass0125.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345143\nass0124.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8325143\nass0123.exe','32');
DeleteFile('C:\Users\328F~1\AppData\Local\Temp\Adobe\Reader_sl.exe','32');
DeleteFile('C:\Users\Артем\AppData\Roaming\Identities\beobh\beobh.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345547\nass017.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-98614471\nafejh1.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9861447\nafejh.exe','32');
DeleteFile('C:\Users\Артем\AppData\Roaming\Microsoft\Tiyeyx.exe','32');
DeleteFile('C:\Users\Артем\AppData\Roaming\ScreenSaverPro.scr','32');
DeleteFile('c:\progra~2\dxfmxo.exe','32');
DeleteFile('C:\System Volume Information\_restore{F27047C8-CD44-4D97-A9B3-D1D24D6DCA5F}\RP376\A0171446.exe','32');
DeleteFile('C:\Users\Артем\appdata\local\temp\adobe\reader_sl.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12h330');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','d3d30');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','t0r1allsvu');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','n31335121');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','na0ss0121');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nass0123');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nass0124');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nass0125');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nass0126');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Update');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nafejh');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nafejh1');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nass0127');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tiyeyx');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','61658');
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O1 - Hosts: 67.211.196.141 ok.ru
O1 - Hosts: 67.211.196.141 ok.ru
O1 - Hosts: 67.211.196.141 m.ok.ru
O1 - Hosts: xer
O1 - Hosts: 67.211.196.141 ok.ru
O1 - Hosts: 67.211.196.141 ok.ru
O1 - Hosts: 67.211.196.141 m.ok.ru
O1 - Hosts: xer
O1 - Hosts: 67.211.196.141 ok.ru
O1 - Hosts: 67.211.196.141 ok.ru
O1 - Hosts: 67.211.196.141 m.ok.ru
O4 - HKCU\..\Run: [Screen Saver Pro 3.1] C:\Users\Артем\AppData\Roaming\ScreenSaverPro.scr
O4 - HKCU\..\Run: [Tiyeyx] C:\Users\Артем\AppData\Roaming\Microsoft\Tiyeyx.exe
O4 - HKCU\..\Run: [Adobe System Incorporated] C:\Users\328F~1\AppData\Local\Temp\Adobe\Reader_sl.exe
O4 - HKCU\..\Run: [t0r1allsvu] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe
O4 - HKCU\..\Run: [nass0123] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8325143\nass0123.exe
O4 - HKCU\..\Run: [nass0124] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345143\nass0124.exe
O4 - HKCU\..\Run: [nass0125] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345543\nass0125.exe
O4 - HKCU\..\Run: [nass0126] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345546\nass0126.exe
O4 - HKCU\..\Run: [nass0127] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8345547\nass017.exe
O4 - HKCU\..\Run: [12h330] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-120221\12133d.exe
O4 - HKCU\..\Run: [d3d30] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-121151\12d3d.exe
O4 - HKCU\..\Run: [n31335121] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3313547\n1a334121.exe
O4 - HKCU\..\Run: [na0ss0121] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-825347\na0ss0121.exe
O4 - HKCU\..\Run: [nafejh1] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-98614471\nafejh1.exe
O4 - HKCU\..\Run: [nafejh] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9861447\nafejh.exe
O4 - HKLM\..\Policies\Explorer\Run: [61658] c:\progra~2\dxfmxo.exe
O4 - HKCU\..\Policies\Explorer\Run: [Windows Update] "C:\Users\Артем\AppData\Roaming\Identities\beobh\beobh.exe" -shell

Сделайте новые логи по правилам.

[rutten]

Такой вопрос: на сайт Касперского не заходит, а значит и форму не открывает, что делать? как передать эти данные?

У меня есть предположение, что если почистить эту папку C:\Windows\Prefetch, то я смогу зайти на сайт касперского. Но стоит ли мне это делать? Может я кину вам карантин, а вы кинете им на форму?

[Roman_Five]

 

 

если почистить эту папку C:\Windows\Prefetch, то я смогу зайти на сайт касперского

не занимайтесь самолечением. чревато.

 

делайте новые логи.

[rutten]

Вот

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

hijackthis.log

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\progra~2\dxqwqhjud.exe');
TerminateProcessByName('C:\Users\Артем\appdata\local\temp\adobe\reader_sl.exe');
QuarantineFile('C:\Users\Артем\AppData\Roaming\*.exe','');
QuarantineFile('C:\Users\Артем\appdata\local\temp\adobe\reader_sl.exe','');
QuarantineFile('c:\progra~2\dxqwqhjud.exe','');
QuarantineFile(',C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe,Explorer.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe','');
QuarantineFile('C:\Users\328F~1\AppData\Local\Temp\Adobe\Reader_sl.exe','');
DeleteFile('C:\Users\328F~1\AppData\Local\Temp\Adobe\Reader_sl.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe','32');
DeleteFile(',C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe,Explorer.exe','32');
DeleteFile('c:\progra~2\dxqwqhjud.exe','32');
DeleteFile('C:\Users\Артем\appdata\local\temp\adobe\reader_sl.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','t0r1allsvu');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','61658');
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
DeleteFileMask('C:\Users\Артем\AppData\Roaming\','*.exe', false);
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O4 - HKCU\..\Run: [t0r1allsvu] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe
O4 - HKCU\..\Run: [Adobe System Incorporated] C:\Users\328F~1\AppData\Local\Temp\Adobe\Reader_sl.exe
O4 - HKLM\..\Policies\Explorer\Run: [61658] c:\progra~2\dxqwqhjud.exe

Сделайте новые логи по правилам.

+

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.
Установите mbam-setup-<current number>.exe
Откажитесь от использования пробной версии Malwarebytes' Anti-Malware PRO (снимите галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO "подробнее...").
Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".
Полученный лог прикрепите к сообщению.

[rutten]

Опять же, зайти на сайт Касперского, а значит и на форму, не могу. Поэтому кидаю архив с карантином сюда.

 

Такой вопрос: я проверил систему Malwarebytes' Anti-Malware, нашло вроде 17 вредных объектов, но я сохранил только логи и ничего не предпринимал, мне осуществить "Удаление объектов" или просто закрыть программу?

Сообщение от модератора Mark D. Pearlstone

Файл Qurantine.zip удалён.

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

MBAM-log-2013-11-28 (15-58-39).txt

[Roman_Five]

удалите в MBAM ТОЛЬКО это:

Обнаруженные процессы в памяти: 2
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe (Worm.AutoRun.Gen) -> 2132 -> Действие не было предпринято.

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 3
HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\osnovi_html.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rider_on_the_storm 1.00 (Trojan.Agent.VBS) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 5
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Adobe System Incorporated (Trojan.FakeAlert) -> Параметры: C:\Users\328F~1\AppData\Local\Temp\Adobe\Reader_sl.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Worm.AutoRun) -> Параметры: explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe,Explorer.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|t0r1allsvu (Worm.AutoRun.Gen) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe -> Действие не было предпринято.
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Windows Update (Backdoor.PWin.Gen) -> Параметры: "C:\Users\Артем\AppData\Roaming\Identities\beobh\beobh.exe" -shell -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Trojan.Agent) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe -> Действие не было предпринято.

Объекты реестра обнаружены: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Worm.AutoRun.Gen) -> Плохо: (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe) Хорошо: () -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Hijack.Shell) -> Плохо: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe,Explorer.exe) Хорошо: (Explorer.exe) -> Действие не было предпринято.

Обнаруженные файлы: 21
C:\Users\Артем\AppData\Local\Temp\Adobe\Reader_sl.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\avz4\avz4\Quarantine\2013-11-27\avz00001.dta (Trojan.FakeAlert) -> Действие не было предпринято.
C:\avz4\avz4\Quarantine\2013-11-27\avz00004.dta (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Users\Артем\AppData\Roaming\3B2B.exe.gonewiththewings (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Users\Артем\AppData\Roaming\3BCB.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Users\Артем\AppData\Roaming\c731200 (Trojan.FakeAlert) -> Действие не было предпринято.
c:\users\артем\appdata\roaming\identities\fiyeyj.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Windows\System32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe (Worm.AutoRun.Gen) -> Действие не было предпринято.

Что такое у Вас moby duck ? эта прога нужна? если нет - удалите и это:

C:\Program Files\moby duck\rider_on_the_storm (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\moby duck\rider_on_the_storm\froggi_noggi_topppi_nocci.bat (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\moby duck\rider_on_the_storm\ne_nu_ne_zraza_li.klm (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\moby duck\rider_on_the_storm\ne_nu_ne_zraza_li.vbs (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\moby duck\rider_on_the_storm\p0po9i8u7uy6yt5tr4re3ww2jfbgi50y38y92ffb8583vf9292fg38y4934g394fg293g39h4938973t47f983t94fy30ghj430tjg04hg9347f834.fff (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\moby duck\rider_on_the_storm\Uninstall.exe (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\moby duck\rider_on_the_storm\Uninstall.ini (Trojan.Agent.VBS) -> Действие не было предпринято.

новый лог после перезагрузки приложите.

[rutten]

Логи как обычно все, или только лог MBAM ?

[Roman_Five]

пока MBAM.

[rutten]

вот

Кстати, на сайт Касперского заходит!!! Но в папке C:\Users\Артем\AppData\Roaming присутствуют 2 екзешника, этот вирус насчет флешек.

Извините, пожалуйста, но я не смогу Вам ответить последующие 2 часа, выбегаю на тренировку

Отвечу сразу как приду, спасибо за все, что вы делаете =)

mbam-log-2013-11-28 (14-34-56).txt

[Roman_Five]

C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe (Worm.AutoRun.Gen) -> 2132 -> Удалить после перезагрузки системы.

 

 

интересует лог MBAM после перезагрузки.

папку удалите вручную

C:\Program Files\moby duck\

+

логи AVZ и RSIT

[rutten]

C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14196119\t0r1allsvu.exe (Worm.AutoRun.Gen) -> 2132 -> Удалить после перезагрузки системы.

 

проверил эту папку после перезагрузки с помощью MBAM. Она чистая, лог этой папки прикрепил к сообщению, как и логи AVZ и RSIT

mbam-log-2013-11-28 (20-38-45).txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt