Вирус создает .exe, .scr .pif .rar .bat файлы с именем папки

[pozitivinni]

Здравствуйте, на работе подхватил вирус на рабочий комп. Вирус создает .exe, .scr .pif .rar .bat файлы с именем папки во всех папках на двух корневых дисках. Изначально стоял NOD32, на нем и произошло заражение. drWEB cureIT этих вирусов не видит, KVRT вроде нашел часть, но они появлялись снова. Далее поставил Avast Free Antivitus, и тут стало невозможно работать поскольку находил он вирусу каждую секунду и во всех папках, но после удаления и перезагрузки пошло все по новой. Было принято решение снести винду, но после спустя пару часов Documents.scr был обнаружен на C диске, который был отформатирован. Потом забрал комп домой, поставил drWEB livecd и пришлось сходить на работу с домашним ноутбуком, так вот после подключения к сети (общий доступ был открыт) отключал защиту антивируса на 15 минут (стоит касперски free) появилась та же чехарда и на домашнем ноутбуке. Kaspersky Free не может удалить эти файлы, почему - не знаю. Помогите, пожалуйста, решить проблему. Прикладываю логи с домашнего ноутбука.

[Info_bot]

Уважаемый(ая) pozitivinni, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Похоже на сетевого червя, по логам чисто.

Выполните скрипт в AVZ:

Код:

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
 DeleteFile('C:\Users\Саша\Downloads\WinSetupFromUSB-1-7\files\grub4dos\grub.pif');
ExecuteWizard('SCU',2,2,true);
RebootWindows(false);
end.

Компьютер перезагрузится.

Пролечите антивирусом и проверьте, заразится ли в сети снова.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.