Вирусы autorun на флешках и в компьютере

[Ninell]

Здравствуйте! Помогите, пожалуйста, вылечить компьютер и флешки! После использования зараженной флешки сначала на самой флешке все данные в папках стали недоступными (к названию каждой папки прибавилось ".exe"). Флеш отформатировала. после этого все подключаемые к моему компьютеру флешки (фотоаппарат и флешки, боюсь, что и мобильный телефон-его еще не проверяла) стали заражаться и становиться нечитабельными. Проверила флеш антивирусом NOD32 - он видит вирусы, пишет, что удалил их, но после этого все папки на флешке становятся скрытыми и папка с вирусом autoran.inf не удаляется - и с флешкой ничего нельзя сделать. Информация с нее переписалась на комп только частично, часть файлов не переписывается - а мне они очень нужны, не хотелось бы их стирать. после проверки компьютера NOD32 (было очень много вирусов) - он перестал выключаться через меню пуск, выключить его можно только кнопкой вкл\выкл на корпусе, и появляется сообщение "Приложению не удалось запуститься, потому что DTProHlp.dll не найден". Когда выполняла проверку по вашим рекомендациям с помощью DrWeb - на флешках и фотоаппарате он нашел Win32.HLLW.Autoruner.2697 и 3257, на компе много adaware, несколько троянов, удалить и переместить смог не все. Через локальную сеть и через флешки заразилось 3 компьютера. Пожалуйста, помогите вылечить комп и флешки и расскажите, что сделать, чтобы предотвратить повторное заражение флешек и компьютера. Могли ли эти вирусы переписаться на DVD-диски и могут ли они при чтении DVD-дисков с данными повторно заражать компьютер? Заранее очень благодарна за помощь!

[Bratez]

Подключите флешки и оставьте подключенными до конца лечения.

Пофиксите в HijackThis:

Код:

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - (no file)
O2 - BHO: COM+ Service - {3C49DDAC-3DA4-4743-AF6C-5974FEAF875C} - (no file)
O4 - HKLM\..\Run: [DaemonTools_WhenUSave_Installer] C:\Program Files\DaemonTools_WhenUSave_Installer\DaemonTools_WhenUSave_Installer.exe
O4 - Startup: ЎЎЎЎЎЎ.lnk = C:\WINDOWS\system32\XP-EA930033.EXE
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O22 - SharedTaskScheduler: COM+ Service - {3C49DDAC-3DA4-4743-AF6C-5974FEAF875C} - (no file)

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('0152.PIF','');
 QuarantineFile('setuprs1.PIF','');
 QuarantineFile('C:\WINDOWS\system32\XP-EA930033.EXE','');
 QuarantineFile('C:\WINDOWS\lsass.exe','');
 DeleteFile('C:\WINDOWS\lsass.exe');
 DeleteFile('C:\WINDOWS\system32\XP-EA930033.EXE');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('kkdc');
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=47587).
Сделайте новые логи.

[Ninell]

Выполнила все, как вы сказали. Когда я пофиксила в HijackThis, программа HijackThis выдала ошибку 53: An unexpected error has occured at procedure: ModBackup_MakeBackup (sItem=09-Extra button ... и тд) Error 53 - File not found. И такая же ошибка для всех строк 09 и строки 022. Затем после выполнения скрипта AVZ компьютер завис при перезагрузке, не реагировал ни на что - пришлось его выключить кнопкой на корпусе. Включиться он не смог (включался-и через несколько секунд (как только активировались флешки) выключался - и так раз 6-7). Включился только после того, как я убрала все флешки. В целом - компьютер стал быстрее работать и заработал авторан на DVD-дисках - он давно уже не работал, я и забыла совсем, что он есть. После этого сделала новые логи с включенными флешками - перезагрузился вроде бы как обычно. Карантин отправила.
Можно вас попросить прислать файл для отключения авторана на всех сменных носителях (чтобы повторно не заразиться в будущем) - я не поняла, как его написать самой.

[Rene-gad]

- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8

Можно вас попросить прислать файл для отключения авторана на всех сменных носителях

АВЗ/Сервис/Мастер поиска и устранения проблем/Все проблемы , найти релевантные, отметить и запустить ...

[Ninell]

Спасибо! Займусь обновлением и установкой этих программ. А в логах сейчас все нормально? Вирусов больше нет?

[Rene-gad]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Program Files\DaemonTools_WhenUSave_Installer\DaemonTools_WhenUSave_Installer.exe');
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новые логи по п. 2 и 3 правил.

[Ninell]

Установила Сервис Пак 3, отключила с помощью AVZ автозапуски. Выполнила скрипт. Посмотрите, пожалуйста, логи. На зараженной флешке (я ее лечила вместе с компьютером) все еще остается скрытая папка авторан и папка с данными тоже скрыта. Папка авторан не удаляется.

[Rene-gad]

Флешку отформатируйте на чистом ПК.

-Пофиксите

Код:

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)

- Выполните скрипт

Код:

begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DaemonTools_WhenUSave_Installer'); 
end.

- Установите IE 8
- Обновите Acrobat Reader или удалите его совсем.

[Ninell]

Выполнила все. Компьютер стал работать намного быстрее. Но все еще при входе в систему вылетает сообщение "Приложению не удалось запуститься, потому что DTProHlp.dll не найден". И еще заметила,что на дисках С и D появились скрытые папки авторанов - такие как и на флешке, они не удаляются... Неужели они засели теперь на дисках?

[Rene-gad]

Сделайте логи special avz (ссылка в подписи)

[Ninell]

По ссылке в подписи файл не скачивается - пишет :This site is no longer in service or has been disabled due to a terms of service violation. Скачать файл kiss_me.pif ???

[Rene-gad]

По ссылке в подписи файл не скачивается

Скачивается, ждите 10 секунд, пока там часы протикают... И кукисы не блокируйте, разрешите на сессию.

Добавлено через 1 минуту

Скачать файл kiss_me.pif ???

Да. А что Вы пытались скачать?

[Ninell]

А я просто нажала сначала на значок Download упс....

Вот новые логи. Посмотрите, плиз.

[Rene-gad]

при входе в систему вылетает сообщение "Приложению не удалось запуститься, потому что DTProHlp.dll не найден". .... на дисках С и D появились скрытые папки авторанов

Эти побочные эффекты присутствуют? В логах ничего такого не видно.
Скачайте: http://download.cnet.com/Malwarebyte...-10804572.html, сделайте лог

[Ninell]

Да, все это сохраняется. Сейчас пришлю новый лог.

[Ninell]

Ох-хо-хо. Проверила компьютер. Удалила 122 зараженных файла. Но папки авторан и сообщение сохраняются. Они мне не мешают совсем работать, просто не хочется продолжать заражать другие компьютеры и флешки. Хочется добить этот зоопарк)))

[Rene-gad]

Удалила 122 зараженных файла.

Ничего Вы не удалили - в логе стоит No action taken. А теперь повторите полное сканирование и все, что найдете - удалите. Потом перегрузитесь и сделайте новый лог mbam.

[Ninell]

Программа сначала выдала отчет, а потом предложила удалить. проверила снова - теперь вирусов нет. Вот лог.
Подскажите, пожалуйста, как запретить административный доступ к дискам C и D? (и нужно ли это делать, чтобы автораны и вирусы там не появлялись?)

[Rene-gad]

Подскажите, пожалуйста, как запретить административный доступ к дискам C и D?

Тогда зачем они Вам? Если Вы закроете к ним доступ, то никто к ним не прорвется. Автораны : АВЗ/Сервис/Мастер поиска и устранения проблем/Все, находим, отмечаем нужное, устраняем.

[Ninell]

Спасибо за ответ! Я просто не поняла смысл этого действия, я плохо в программировании разбираюсь... Удалила все проблемы, которые обнаружил АВЗ. Нужны ли еще какие-то действия или компьютер вылечился?