Вирус с флешки подпортил реестр

[webdesigner]

Ситуация в следующем: на работе принесли флешку с вирусом. После нее перестал запускаться диспетчер задач при нажатии ctrl+alt+del, чтобы войти в систему теперь нужно дважды кликать на ярлык профиля (раньше автоматически загружался раб. стол), при первом запуске HiJackThis с панели быстрого запуска вылазит сообщение об ошибке что не хватает памяти. Сканирование через cureit, MalwareBytes результата не дало. По всей видимости вирус повредил реестр, но что именно не могу понять. Лог AVZ и HiJackThis прилагаю. Система WinXP x64.

p.s. реестр восстановил самостоятельно, теперь все работает как надо.

[Info_bot]

Уважаемый(ая) webdesigner, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Сомнительно, что дело в вирусах

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\WINDOWS\system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}t64.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\tStLibG64.sys','');
 TerminateProcessByName('c:\documents and settings\administrator\local settings\temp\53b50643-32090e2d-f43c34de-54617d15\whks5hydo.exe');
 QuarantineFile('c:\documents and settings\administrator\local settings\temp\53b50643-32090e2d-f43c34de-54617d15\whks5hydo.exe','');
 DeleteFile('c:\documents and settings\administrator\local settings\temp\53b50643-32090e2d-f43c34de-54617d15\whks5hydo.exe','32');
 DeleteFile('C:\WINDOWS\system32\drivers\tStLibG64.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}t64.sys','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[webdesigner]

Да, на моей памяти такое впервые, чтобы вирус не оставлял следов, а только портил реестр. Но я не думаю что это никак не связано с вирусом на флешке, слишком много совпадений:
компьютер сразу завис когда вставил флешку (исчезла панель "пуск" и панель быстрого запуска), сразу же появились вышеперечисленные проблемы. Когда вставил флешку в другой компьютер там USB Disk Security тут же сообщил об опасности и удалил 2 потенциально опасных файла (autorun.ini и еще какой-то, не помню уже).
Выполнил скрипты, файл карантина:
Файл сохранён как 150918_130900_quarantine_55fbd4ac97322.zip
Размер файла 3093176
MD5 a7ba8dc1b9b5f69bf16dc541eedd697e

повторные логи прикреплены.

[thyrex]

Сделайте лог полного сканирования МВАМ

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены