Не удалось окончательно удалить вирусы Autorun и csrsc

[xanxan]

Ситуация такая попал ко мне через флешку вирус Autorun, я его удалил утилитой Anti-autorun c сайта http://www.bombina.com/s3_anti_autorun.htm. Потом на всякий случай просканировал комп утилитами AVPTool и Dr. Web CureIt! они нашли еще csrsc.exe который я тоже удалил, потом почистил все ветки в реестре с упоминанием его имени.
Но дело в том что остатки вируса еще где то окопались. У меня был антивирус Нод 32 старая версия помоему 2.7, так вот он переодически предупреждал на диске с создан файл то Odnaoo.exe то еще какой то выдавал строку Win32/Packed.Autoit.Gen после Gen была еще какая то буква но уже не помню. Но таких файлов на диске не было, зато появлялись 2 файла Autorun.Inf и пустой системный файл khy, в следствие чего диск открывался только через проводник, я их ручками удаляю потом презагружаюсь и все в порядке, до следующего раза, появляються эти файлы то каждый день то раз в 2-3 дня. Так как нод у меня был устаревший триальный срок давно закончился, антивирусные базы давно не обновлялись, я скачал лицензионную последнию версию Нода 4.2 Так он даже не выдает предупреждения когда создаються эти файлы Autorun.Inf и khy, в связи с чем у меня вопрос, хотя конечно может и не в тему, почему новый антивирус не реагирует на угрозу как старая версия?
И еще вопрос по вложениям, я когда запускал АВЗ то следовал строго инструкции, и он начинал сканировать только диск С, а у меня в системе еще логический диск D, может мне повторно загрузить сканирование включив его или это не требуется?
Ну и на всякий случай прикреплю файл Autorun.inf

[olejah]

Сделайте лог МВАМ

[xanxan]

Ну и прога даже Wintools под вирус записал
Проверил все файлы http://www.virscan.org/ почти ни чего не нашел.

[thyrex]

Ну и прога даже Wintools под вирус записал

Всего лишь жалоба на мультиупаковку

Удалите в МВАМ

Код:

Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mycentria (Adware.MyCentria) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.

Зараженные папки:
C:\Program Files\MyCentria (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\Firefox (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\InfoBar (Adware.MyCentria) -> No action taken.
C:\Program Files\windv (Adware.WinDV) -> No action taken.
C:\WINDOWS\system32\0F6226 (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\76682F (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\ACF7EF (Worm.AutoRun) -> No action taken.

Зараженные файлы:
C:\Program Files\MyCentria\MyCentriaUninstall.exe (Adware.MyCentria) -> No action taken.
C:\WINDOWS\system32\0F6226\25cb67ff.txt (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\0F6226\3f6f809d.txt (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\76682F\670df5.txt (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\76682F\6a0d8f.txt (Worm.AutoRun) -> No action taken.

Сделайте лог ComboFix

[xanxan]

С МБАМ чуток непонятки вышли. После первого сканирования я нажал "Игнорировать" когда хотел удалить файлы при повторном сканировании ни чего не нашло, наверное надо было удалить логи из карантина, и запустить скан заново, но я не разобравшись просто переустановил МБАМ, но при повторном сканировании он не определил часть файлов обнаруженных при первом сканировании. В итоге я удалил в ручную файл windv хотя на http://www.virscan.org Вирускане его не распознал как вирус не один из антивирусов, и вручную удалил подветку реестра amty из каталога DRM но сам DRM оставил, может его тоже нужно удалить? на всякий случаем перед удалением, экспортировал всю ветку DRM.
Прикреплю 2 лога МБАМ с повторным сканированием когда он не обнаружил часть файлов, и пофиксенный лог, а также лог Вирускана и Комбофикса.

[thyrex]

Что сейчас с проблемой?

[xanxan]

Ну проблема проявляется спонтанно, надо дня 3 подождать для профилактики, но как раз перед фиксом МБАМ и Комбофиксом, файл ауторан опять появился.
И если не трудно скажите кратко что изменил в системе Комбофикс, по логам не могу понять. В папке карантин лежит файл C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Application Data\SecTaskMan\_entreelist.dll.vir
Тоесть он удалил только этот файл? Также в карантине лежит папка Registry_backups там 4 файла с расширениями reg.dat в одном из них контрольная панель NVIDIA в ней то он что плохово усмотрел, это файлы фикса реестра? Еще заметил что он отключил виртуальный СД но это не страшно. Просто хочется понять, что он изменил в системных файлах, не будет ли потом проблем с системой и запуском каких либо приложений?

[thyrex]

Все легитимное можно восстановить в ComboFix

[xanxan]

В теме пишется посоветоватся с хелпером, хотелось бы посоветовать с вами, как восстановить все пофиксенное? Там вроде один файл, и 4 фикса реестра, и еще рег файл tcpip.reg думаю там тоже фиксы. Заподозренный файл _entreelist.dll.vir я по отдельности загрузил к 5 антивирусам, все сказали что файл чист. Что посоветуете, восстанавливать или прислать к вам файлы на анализ?

[thyrex]

Восстанавливайте

[xanxan]

Ребята спасибо 5 дней прошло, похоже МВАМ добил вирус, но последний вопрос, я для чистоты эксперимента не восстанавливал комбофикс, но вчера восстановил 4 рег файла хранящихся в карантине, потом решил восстановить виртуальный диск, но Алкоголь выдавал ошибку, после восстановил файл tcpip.reg также хранящийся в карантине, но и это не помогло, в итоге пришлось переустанавливать Алкоголь, так у меня такой вопрос что кроме Алкоголя еще пофиксил комбофикс не отразив это в карантинном логе, может позже обнаружится что еще какие нибудь программы не работают?

[thyrex]

Работа виртуальных приводов должна была восстановиться после удаления ComboFix

Чтобы узнать, что еще мог пофиксить ComboFix, загляните в папку карантина

Удалите ComboFix

[xanxan]

Понятно удалил Комбофикс, а насчет привода уже не проверить так как переустановил Алкоголь.
В теме про удаление комбофикса можно дописать, что бы отключали антивирусы, ну и добавить о принудительной перезагрузке, а то у меня много файлов закрылось, не ждал перезагрузки.