Не удается избавиться от Worm.Win32.RJump.a (спаситепомогите)

[nimnim]

К сожалению, не удается избавиться от данного экземпляра:
Алиасы:
Backdoor.Rajump (Symantec)
W32/Jisx.A.worm (Panda)
W32/RJump-C (Sophos)
W32/RJump.A!worm (Fortinet)
Win32/RJump.A (ESET)
Win32/RJump.A!Worm (CA)
Worm.RJump.A (BitDefender)
Worm.Win32.RJump.a (Kaspersky)
Worm/Rjump.E (Avira)
WORM_SIWEOL.B (TrendMicro)

Симптомы - в Safe Mode находится и удаляется установленными антивирусами. При загрузке в обычном режиме - сразу же после загрузки выскакивает алерт, что данный вирус пытается создать файл в папке windows/temp...

Подскажите, пожалуйста, что можно сделать, кроме переустановки системы? Заранее спасибо!

[V_Bond]

выполните скрипт ...

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\00THotkey.exe','');
 QuarantineFile('C:\WINDOWS\Installer\{AC76BA86-7AD7-1033-7B44-A70001000000}\SC_Reader.exe','');
 QuarantineFile('C:\WINDOWS\help\wizard.hta','');     
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил...

[Bratez]

В логах RJump'a не видно. Диск F: это флэшка?
Пролечите антивирусом все имеющиеся съемные носители.

[nimnim]

выполните скрипт ...
пришлите карантин согласно приложения 3 правил...

Скрипт выполнил. Карантин высылаю.

Судя по всему, скрипт не помог, т.к. алерты продолжают также возникать. Вредоносное ПО, насколько я понимаю, пытается создать файл во временной папке c:/windows/temp, но антивирусное ПО этот процесс пресекает. Файл создается нулевого размера, к примеру C:\WINDOWS\TEMP\TMP001.tmp, через секунду переименоввывается в TMP002.tmp и так далее в шестнадцатеричном формате... сейчас вот tmp2D5.tmp. На каждый из этих создаваемых файлов появляется алерт. Работать, конечно, не возможно...

[nimnim]

В логах RJump'a не видно. Диск F: это флэшка?
Пролечите антивирусом все имеющиеся съемные носители.

Диск F: это была одна из флэшек. Возможно их две стояло в компьютере.

На съемных носителях вирусных файлов нет, однако остались следы, такие как autorun.inf например с тексом для запуска, насколько помню, Ravmon.exe или чтото типа.

[Bratez]

Карантин из сообщения уберите, для этого есть ссылка вверху темы... Хотя можно этот не отправлять, там все чисто. Если E: это не CD/DVD, то пришлите по правилам E:\autorun.inf.

Добавлено через 1 минуту

В сообщении #3 я ошибся, речь о диске E:.

[nimnim]

Карантин убрал. На флэшке autorun.inf не имеется, все удалил под горячую руку еще несколько дней назад. Вообще, кроме документов ничего исполняемого нету.

Вот бы разобраться с этими алертами выскакивающими... Если нажать, к примеру, удалить, через пол-секунды выскакивает новый алерт с другим цифровым именем файла...

[AndreyKa]

У вас на компьютере два антивируса запущены. Вполне возможно, что один из них поймал этот Worm.Win32.RJump.a и теперь они друг с дугом в пинг-понг им играют.

[nimnim]

У вас на компьютере два антивируса запущены. Вполне возможно, что один из них поймал этот Worm.Win32.RJump.a и теперь они друг с дугом в пинг-понг им играют.

Спасибо за версию. Проверил путем отключения всего, что можно в msconfig - запустился без антивирусов (по крайней мере в трее не видно было). Потом включил только nod32 - стал ловить, как и раньше эти несчастные файлы в c:/windows/temp...

[AndreyKa]

Потом включил только nod32 - стал ловить, как и раньше

По классификации nod32 это - Win32/RJump.A, вы пишите, что ловится Worm.Win32.RJump.a, значит ловит его Norton.
Неужели так сложно разобратся какой именно антивирус сообщает о инфекции?