Мой компьютер сбрасывает на флешку вирус

[Ksyu]

При подключении к моему компьютеру записываемых внешних устройств происходит запись на них скрытых файлов: autorun.inf и setup.exe. AVZ видит перехватчик, но определить не может. У меня стоит антивирус AVG Free. Он и вовсе ничего не замечает.

[Rene-gad]

У меня стоит антивирус AVG Free.

У Вас еще и НОД недоудаленный стоит...

Скачайте IceSword , поищите и скопируйте файлы:

Код:

C:\WINDOWS\system32\Drivers\Hcq14.sys

Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\Drivers\Hcq14.sys','');
 DeleteService('Hcq14');
 DeleteFile('C:\WINDOWS\system32\Drivers\Hcq14.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Hcq14');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
- Прикрепите логи к новому сообщению.

[Ksyu]

Высылаю новые логи. На флешку сброса вышеупомянутых файлов не происходит. Преогромное СПАСИБО.
Вы написали еще, что не доудален NOD32. С помощью посковика нашла каталоги: ...\ESET и ...\ESET NOD32 Antivirus. И удалила их. Этого достаточно было , чтобы полностью распрощаться с NOD.

[drongo]

Вы написали еще, что не доудален NOD32. С помощью посковика нашла каталоги: ...\ESET и ...\ESET NOD32 Antivirus. И удалила их. Этого достаточно было , чтобы полностью распрощаться с NOD.

Нужно удалять через панель управления.
Следы то остались.Вот такой скрипт должен не много помочь:

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\npf.sys','');
 QuarantineFile('C:\PROGRA~1\INVISI~1\iscm.dll','');
 QuarantineFile('C:\DOCUME~1\65CE~1\APPLIC~1\Mra\Update\menu.dll','');
 DeleteFile('C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe');
 DeleteFile('C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\eamon.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\easdrv.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\epfwtdir.sys');
 DeleteService('epfwtdir');
 DeleteService('eamon');
 DeleteService('easdrv');
 DeleteService('ekrn');
 DeleteService('EhttpSrv');
ExecuteSysClean;
BC_ImportAll;
BC_Activate;
Rebootwindows(true);
end.

Закачайте новый карантин по ссылке http://virusinfo.info/upload_virus.php?tid=30264
Сделайте повторные логи по правилам.

[Ksyu]

Вот. Каков будет вердикт?

[Гриша]

Выполните в AVZ:

Код:

begin
ExecuteRepair(5 );
ExecuteRepair(6 );
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
RebootWindows(true);
end.

Жалобы есть?

[Ksyu]

Вопросов нет. Всем большое спасибо. И повторюсь: огромное спасибо Rene_gad. Вы меня уже дважды выручаете.

[drongo]

Вопросов нет. Всем большое спасибо. И повторюсь: огромное спасибо Rene_gad. Вы меня уже дважды выручаете.

чтобы не заражаться в будущем, прочитать и выполнять:
http://virusinfo.info/showthread.php?t=30339

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 10
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\оксана\\мои документы\\avz\\malware - Rootkit.Win32.Agent.cmo (DrWEB: BackDoor.Bulknet.232)