Вирус создает файлы на флешке, отключает службы защиты. [Worm.Win32.Ngrbot.agnc ]

Прошу прощения, нужен лог после скрипта из поста #1, или архив из всех имеющихся логов, или что-то другое?

[LIST=1][*]Откройте папку с распакованной утилитой [B]uVS[/B] и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт "[B]Запустить под текущим пользователем[/B]".[*]Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
[CODE];uVS v3.82 script [http://dsrt.dyndns.org]
adddir e:
adddir C:\RECYCLER
adddir C:\Users\q\AppData\Roaming
crimg
[/CODE][*]В [B]uVS[/B] выберите пункт меню "[B]Скрипт[/B]" => "[B]Выполнить скрипт находящийся в буфере обмена...[/B]"[*]Нажмите на кнопку "[B]Выполнить[/B]" и дождитесь окончания работы программы.[*]После этого в папке с программой будет создан образ автозапуска название, которого имеет формат [B]"имя_компьютера_дата_сканирования"[/B]. Прикрепите этот образ к следующему сообщению[*][INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][/LIST]

флешку на это время подключите.

[url]http://rghost.ru/57469414[/url]

ок, теперь со второй флешкой аналогично образ создайте.

При извлечении флешки выдает "устройство еще используется..." Это нормально?

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

http://rghost.ru/57469952

[CODE]E:\AUTORUN.INF[/CODE]
вам знаком? Если нет откройте блокнотом и напишите его содержимое тут.
Что с проблемой?

Ярлыки не создаются, флешки извлекаются спокойно, службы не отключаются. Похоже, все в норме. Спасибо огромное!

насчёт файла не ответили.

Я все файлы удалил уже с флешки, так как там оставались ярлыки. В авторане было три строчки, в первой [Autorun], во второй что-то вроде image=0, в третьей совсем не помню, вроде как-то так.:(

Выполните скрипт в AVZ при наличии доступа в интернет:

[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]

Спасибо!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\programdata\creativeaudio\jtkyyvgiu.exe - [B]Trojan-Spy.Win32.Zbot.sbhb[/B] ( AVAST4: Win32:Malware-gen )[*] c:\progra~3\mslgcnm.exe - [B]Trojan-Spy.Win32.Zbot.sbha[/B][*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-41139114\v2111941.exe - [B]Trojan-Spy.Win32.Zbot.sbhb[/B][*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-41139114\v211941.exe - [B]Trojan-Proxy.Win32.Lethic.bvp[/B] ( AVAST4: Win32:Malware-gen )[*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-413341394\v2341.exe - [B]Trojan-Proxy.Win32.Lethic.bvo[/B] ( BitDefender: Trojan.GenericKD.1805132, AVAST4: Win32:Malware-gen )[*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-4187714\v287941.exe - [B]Trojan-Spy.Win32.Zbot.ttuo[/B][*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-4491894\b4519911.exe - [B]Trojan-Proxy.Win32.Lethic.bvq[/B] ( BitDefender: Trojan.GenericKD.1802986 )[*] \csuunbd.exe._a6481352d55fb29b8ca608d49b4a38c43f80c8a1 - [B]Worm.Win32.Ngrbot.agnc[/B][*] c:\users\q\appdata\local\temp\adobe\reader_sl.exe - [B]Worm.Win32.Ngrbot.agng[/B][*] c:\users\q\appdata\roaming\identities\vdckcf.exe - [B]Worm.Win32.Ngrbot.agng[/B][*] \c731200._a6481352d55fb29b8ca608d49b4a38c43f80c8a1 - [B]Worm.Win32.Ngrbot.agnc[/B][*] \mslgcnm.exe._12901f93cb773ce8594677b8a396da8cfc45e7ce - [B]Trojan-Spy.Win32.Zbot.sbha[/B][/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]