Вирус добавляет к папкам на флешке .exe

[Coroconogka]

Проблема вот в чем, пришел ко мне друг со своей флешкой, вставили, NOD не нашел на ней никаких вирусов. Запускаем флешку а на ней все папки с расширением .ехе Открыли одну, она открылась в проводнике, причем сразу же стала обыкновенной папкой, расширение .ехе куда то пропало. Друг ушел, но видимо вирус остался у меня на компьютере, потому что теперь при вставлении любой флешки у меня все папки на ней стают ехе-шными.

В чем проблема не могу понять, проверил компьютер: NOD-32, Kaspersky Virus Removal Tool, посмотрел нет ли в автозагрузке ничего с помощью программы Autoruns, ничего подозрительного не оказалось.

Теперь боюсь идти к кому то со своей флешкой пока не устраню причину... Помогите, пожалуйста советом. Как быть?


Все перечисленное здесь: http://www.nowa.cc/showthread.php?t=308966 не помогло...

[Alexey_VI]

Прочитайте внимательно и выполните аккуратно правила раздела .
Данный лог AVZ почти не несёт информации. Базы AVZ обновить не забудьте.
Прикреплять нужно сами логи, а не вписывать сюда их содержимое.

Добавлено через 2 минуты
Да и судя по скрину, проверяли с помощью AVPTool только флешку, а нужно было и системный диск.

[Coroconogka]

Системный диск я проверял днем ранее, ничего не обнаружено, утилита Dr. Web CureIt тоже ничего не нашла.

Добавлено через 19 минут
Файлы добавил в приложении. Спасибо!

[Alexey_VI]

Здравствуйте!

Закройте все программы

Отключите

- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Головин Игорь\Local Settings\Temp\IH158.tmp','');
DeleteFile('C:\Documents and Settings\Головин Игорь\Local Settings\Temp\IH158.tmp');
 QuarantineFile('C:\WINDOWS\system32\XDva372.sys','');
 QuarantineFile('C:\WINDOWS\system32\XDva370.sys','');
 QuarantineFile('C:\WINDOWS\system32\XDva349.sys','');
 QuarantineFile('C:\WINDOWS\system32\XDva321.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\sfvmr.SYS','');
 DeleteFile('Beapdienet.sys');
 BC_DeleteSvc('Beapdienet');
 DeleteFile('c:\:services.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

- Файл quarantine.zip из папки AVZ пришлите на почту , укажите в письме ссылку на тему, в которой просили прислать файлы.

- Сделайте повторные логи по правилам

[Coroconogka]

Все сделал так как вы написали, повторные логи высылаю в приложении. Проблема вроде бы не возникает, думаю вы помогли. Спасибо большое!

[regist]

Coroconogka, выполните скрипт в AVZ

Код:

begin
 DelBHO('{5BCDC9E9-A980-4B53-B2E8-60CFF484DA61}');
 DelBHO('{9B5FB65F-631E-4564-ABF2-AD71845B28E0}');
 DelBHO('{963B125B-8B21-49A2-A3A8-E37092276531}');
 DelCLSID('SeBook.CShellExt extension');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
 ExecuteWizard('TSW', 2, 3, true);
end.

потом
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[Coroconogka]

Спасибо Вам большое regist и Alexey_VI, уязвимостей больше нету!