новый вирус?

Здравствуйте. Неделю назад подхватил вирус. Принесли на флэшке. Ни DrWeb, ни Cureit его не видят. Симптомы- блокировка диспетчера задач, свойств папки, поиска файлов. Помогите пожалуйста избавиться от вируса.

1.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O4 - HKLM\..\Run: [SYS1] C:\WINDOWS\system32\system.exe
O4 - HKLM\..\Run: [SYS2] C:\WINDOWS\system32\bad1.exe
O4 - HKLM\..\Run: [SYS3] C:\WINDOWS\system32\bad2.exe
O4 - HKLM\..\Run: [SYS4] C:\WINDOWS\system32\bad3.exe [/CODE]

2.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\bad1.exe','');
QuarantineFile('C:\WINDOWS\system32\bad2.exe','');
QuarantineFile('C:\WINDOWS\system32\bad3.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\system.exe','');
QuarantineFile('C:\Program Files\Punto Switcher\ps.exe','');
QuarantineFile('c:\windows\system32\msmsgs.exe','');
QuarantineFile('c:\windows\explorer.exe','');
DeleteFile('C:\WINDOWS\system32\system.exe');
DeleteFile('C:\WINDOWS\system32\bad1.exe');
DeleteFile('C:\WINDOWS\system32\bad2.exe');
DeleteFile('C:\WINDOWS\system32\bad3.exe');
DeleteFile('F:\autorun.inf');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportALL;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=16728[/url]

Это вы добавили сайты в доверенную зону
[code]O15 - Trusted Zone: http://*.capitaller.ru
O15 - Trusted Zone: http://*.enum.ru
O15 - Trusted Zone: http://*.exchanger.ru
O15 - Trusted Zone: http://*.indx.ru
O15 - Trusted Zone: http://*.megastock.com
O15 - Trusted Zone: http://*.megastock.ru
O15 - Trusted Zone: http://*.oplata.info
O15 - Trusted Zone: http://*.paymer.com
O15 - Trusted Zone: http://*.publicant.ru
O15 - Trusted Zone: http://*.shareholder.ru
O15 - Trusted Zone: http://*.softactivation.com
O15 - Trusted Zone: http://*.telepat.ru
O15 - Trusted Zone: http://*.webmoney.ru
O15 - Trusted Zone: http://*.wmkeeper.com
O15 - Trusted Zone: http://*.wmtransfer.com[/code]

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

Повторите логи...

спасибо, что откликнулись. карантин отправил. в список доверенных сайтов добавлял только webmony.

c:\windows\system32\msmsgs.exe - [b]Worm.Win32.AutoIt.i[/b]

[quote=guri;175747]спасибо, что откликнулись. карантин отправил. в список доверенных сайтов добавлял только webmony.[/quote]
Значит остальные следует удалить, пофиксить данные строки в hijackthis
[url]http://virusinfo.info/showthread.php?t=4491[/url]

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\windows\system32\msmsgs.exe');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
[b]Повторите логи[/b]

спасибо, но что я должен с ним сделать?

С помощью AVZ поищите [b]system.exe[/b]

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=guri;175757]спасибо, но что я должен с ним сделать?[/QUOTE]

Выполнить скрипт в посте №6 и повторить создание логов по правилам;)

скрипт выполнил, высылаю логи.

Вы фиксли в hijackthis?

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Диск F: что это?

простите за мою заторможенность, но что именно я должен фиксить?

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

F- это флэшка

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\system.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\Program Files\Punto Switcher\ps.exe','');
DeleteFile('F:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\system.exe');
BC_DeleteFile('C:\WINDOWS\system32\system.exe');
SysCleanAddFile('C:\WINDOWS\system32\bad3.exe');
SysCleanAddFile('C:\WINDOWS\system32\bad1.exe');
SysCleanAddFile('C:\WINDOWS\system32\bad2.exe');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportALL;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=16728[/url]

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O4 - HKLM\..\Run: [SYS1] C:\WINDOWS\system32\system.exe
O4 - HKLM\..\Run: [SYS2] C:\WINDOWS\system32\bad1.exe
O4 - HKLM\..\Run: [SYS3] C:\WINDOWS\system32\bad2.exe
O4 - HKLM\..\Run: [SYS4] C:\WINDOWS\system32\bad3.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1[/CODE]

Из этого перечня профиксить ненужное:
[quote]O15 - Trusted Zone: [url]http://*.capitaller.ru[/url]
O15 - Trusted Zone: [url]http://*.enum.ru[/url]
O15 - Trusted Zone: [url]http://*.exchanger.ru[/url]
O15 - Trusted Zone: [url]http://*.indx.ru[/url]
O15 - Trusted Zone: [url]http://*.megastock.com[/url]
O15 - Trusted Zone: [url]http://*.megastock.ru[/url]
O15 - Trusted Zone: [url]http://*.oplata.info[/url]
O15 - Trusted Zone: [url]http://*.paymer.com[/url]
O15 - Trusted Zone: [url]http://*.publicant.ru[/url]
O15 - Trusted Zone: [url]http://*.shareholder.ru[/url]
O15 - Trusted Zone: [url]http://*.softactivation.com[/url]
O15 - Trusted Zone: [url]http://*.telepat.ru[/url]
O15 - Trusted Zone: [url]http://*.webmoney.ru[/url]
O15 - Trusted Zone: [url]http://*.wmkeeper.com[/url]
O15 - Trusted Zone: [url]http://*.wmtransfer.com[/url][/quote]

С помощь AVZ искать файлы: сервис-поиск файлов на диске
[b]system.exe, bad1.exe, bad2.exe, bad3.exe[/b]
Осторожно с флешками отключение автозагрузки:
[url]http://virusinfo.info/showthread.php?t=16459[/url]

AVZ нашёл system.exe только на флэшке. я её отформатировал.

в программе в кторой вы делали [b]hijackthis.log [/b] выберите(галку поставить:)) строки которые выделены на фикс и нажмите [b]Fix checked[/b]

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Какие проблемы после выполнения скрипта остались?

выполнил всё попунктно. после выполнения скрипта пропал рисунок рабочего стола, и стали долго открываться диски и папки из приложений (в проводнике всё нормально). в HijackThis пофиксил эти строчки ещё в первый раз, так что сейчас их нет. доверенные сайты пофиксил. поиск system.exe bad1bad2 bad3 с помощью AVZ ничего не дал.

[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]

жуть. в любых приложениях "открыть" "сохранить как" "обзор" тормозит по страшному. папки открываются больше минуты.

В avz файл-Мастер поиска и устранения проблем
Смотрим все проблемы средней тяжести и устраняем...

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Также выполните стандартный скрипт №2 и дайте лог (тоже посмотрю)

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

и HijackThis тоже

Мастер поиска и устранения проблем- проблем не обнаружено.

[quote]пропал рисунок рабочего стола[/quote] [b]после ExecuteRepair(5);[/b] - бывает
[quote]стали долго открываться диски и папки из приложений[/quote] из каких приложений?

скрипт выполнил. высылаю логи.

пробовал во всех приложениях, которые есть на компьютере- блокнот, фотошоп, неро, сорел дро, ексель, ворд, окно прикрепления файлов кнопка "обзор", везде одно и то же.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

и свойства рабочего стола кнопка "обзор"- то же.