Выпишите лекарство в виде скрипта, пожалуйста

На буке завелся вирус, который постоянно заражает флэшку, CureIt отрапортовал, что удалил его, но через Total Commander прекрасно видно что он окопался в Sistem32 под фамилией bxthmf.dll
Выпишите лекарство, пожалуйста, анализы прилагаются.

1. Выполните скрипт:
[CODE]begin
BC_QrFile('C:\WINDOWS\system32\bxthmf.dll');
QuarantineFile('C:\WINDOWS\system32\bxthmf.dll','');
BC_Activate;
RebootWindows(true);
end.[/CODE]
и пришлите карантин согласно правилам после перезагрузки (перед выполнение скрипта антивирус следует выключить, после перезагрузки - включить)

2. В системе виден ряд неопознанных файлов, скорее всего оно все безопасные (антивирус, принтер), тем не менее в качестве элемента исследования стоит выполнить [URL]http://virusinfo.info/showthread.php?t=3519[/URL]

Карантин выслала, получился в двух частях, вторая часть содержит bxthmf.dll и называется Virus2

Скрипт выполнила, но при перезагрузке ничего не изменилось, так как вирус bxthmf.dll там же.

На мой ламерский взгляд проблема может быть в размещении его части в

C:\RECYCLER\S-1-5-21-790525478-842925246-1343024091-1004\Dc3284\Project1.exe >>> подозрение на Trojan-Downloader.Win32.Banload.bsh ( 090B8B3C 0560C115 0021E997 0025964C 436736)
C:\RECYCLER\S-1-5-21-790525478-842925246-1343024091-1004\Dc3285\Setup\Tech_rem.CAB/{CAB}/Tech_rem.exe >>> подозрение на Trojan.Win32.Elitor ( 00452AA7 00241DC3 0039F9CC 00084F17 53248)
Прямое чтение C:\WINDOWS\system32\bxthmf.dll

Но к сожалению Total Commander не видит эту директорию, и удалить ничего в ней я не могу.

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

PS:Не могу удержаться, чтобы не выразить Вам глубочайшее уважение за разработку оружия защиты, думаю вы будете жить очень долго, потому что очень много людей поминают Вас добрым словом, Олег Зайцев.

Rina, скрипт должен был только скопировать, ни о каком удалении речи не шло.
антивирус не забыли выключить перед исполнением скрипта?
Файл bxthmf.dll не попал в карантин.
Попробуйте в безопасном режиме через avz найти bxthmf.dll и прислать
(читайте приложение 2 правил)
Удалять не надо, пока не скопирован и не отослан на анлиз.

Упс, нарушила последовательность, карантин получился в двух частях, до выполнения скипта и после, антивирус отключала.
Почему-то вообразила, что мне уже выписали "Удаление" и даже не прочитала скрипт, вот до чего доводит самомнение. Вторую часть карантина тоже выслала (называется Virus2).

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

А как добраться до C:\RECYCLER ?

Вижу, это оказался: Net-Worm.Win32.Kido.ih
по касперскому.

Для кидо есть специальная инструкция:[url]http://support.kaspersky.ru/faq/?qid=208636215[/url]
Также авптул можно попробовать.
Только восстановление системы не забыть отключить перед лечением.
Нужно обновления ставить на систему. Иначе опять залезет. Желательно под админом в инете не шастать ;)

Большое спасибо за инфрмацию.
Слава богу у хозяина этого бука нет вообще никай возможности лазить по инету, а то бы нам этого не пережить, и где он только подцепил эту гадость?

Может подсоединялся к заражённому компьютеру или с заражённой флешки. Рекомендуется отключать автозапуск съёмных носителей на компьютере.
После лечения сделайте заново логи.

К сожалению, хозяин бука уже умчался с ним на работу, последние логи сделать не успела, автозапуск отключить тоже, успела только подлечить, придется ждать следующего раза, думаю не долго. Говорит, что вирус попал к нему с телефона, на котором принесли фотки, необходимые для работы, выбора не было и он дал подключить.
Как вы думаете, может червь авторан передаваться через телефон?

Может. Для компьютера телефон просто одна из флэшек.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\bxthmf.dll - [B]Net-Worm.Win32.Kido.ih[/B] ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen )[/LIST][/LIST]