Проблема с червем AutoRun.FakeAlert.AF

[lichkovi]

Со вчерашнего дня (21.05.09) начались странности в работе моего компьютера. Приблизительно каждые 30 секунд система обращается к моему флоппи-дисководу. Если вставить туда дискету, NOD32 перехватывает событие в новом файле A:\Autorun.inf, созданном приложением C:\Windows\System32\svchost.exe, вирус: Win32/AutoRun.FakeAlert.AF червь. Аналогичное действие происходит, если подключить флешку.
Результаты сканирования локальных дисков от 22.05.09 22:00 с помощью NOD32:

C:\undo\backup.cab »CAB »C:\WINDOWS\Главное меню\Программы\Автозагрузка\PowerReg SchedulerV2.exe - Win32/PowerReg приложение
C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\PowerReg SchedulerV2.exe - Win32/PowerReg приложение - изолирован - удален
C:\Documents and Settings\Безопасный\Local Settings\Application Data\Mozilla\Firefox\Profiles\wyhlyc18.default\Cac he\08537AD1d01 »ZIP »atk-4.1/atk.exe - Win32/HackTool.AttKit.A троян
D:\Дистрибутивы\Proteus\Proteus Professional v7.2 SP0 Build 4401\Crack\proteus.7.x-patch.exe - модифицированный Win32/HackTool.Patcher.A приложение
F:\Program Files\WMV CRACK\Patch.exe - модифицированный Win32/Tool.TPE.A приложение - удален
F:\System Volume Information\_restore{B837A914-9BF8-47AA-B1A2-06ACE985DF96}\RP403\A0113403.exe - модифицированный Win32/Tool.TPE.A приложение

Извините за левый лог. Нужна помощь...

[Aleksandra]

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine; 
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ExecuteAVUpdate;
 DelBHO('{1A6F66F8-04C0-414D-881B-91B2253C5960}');
 DelBHO('{987ED7A4-CB71-4C19-9210-C4D0FB69FC77}');
 QuarantineFile('C:\WINDOWS\winstart.bat','');
 QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
 QuarantineFile('C:\autorun.inf','');
 DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
 DeleteFile('internat.exe');
 DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
 DeleteFile('C:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(9);
BC_DeleteSvc('acpi32');
BC_DeleteSvc('i386si');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=46359

3. Повторите логи.

[lichkovi]

Теперь гораздо лучше, дисковод больше не дергается. Логи прилагаются. Карантин я выслал примерно час назад.

Единственное, что смущает - в логе AVZ при выполнении скрипта лечения появляются записи:

C:\WINDOWS\SYSTEM32\opchda_ps.dll >>> подозрение на Trojan.Win32.Obfuscated.ev ( 0076CFA8 00000000 00261C7B 0022DE40 98304)
Файл успешно помещен в карантин (C:\WINDOWS\SYSTEM32\opchda_ps.dll)
C:\Program Files\Business Objects\Common\3.5\bin\localcon_res_de.dll >>> подозрение на Trojan.Win32.Obfuscated.gx ( 0077F61E 00000000 00196C26 0022684C 65536)
Файл успешно помещен в карантин (C:\Program Files\Business Objects\Common\3.5\bin\localcon_res_de.dll)

Как можно проверить эти подозрения?

[Aleksandra]

Ничего зловредного в логах нет.

В карантине: svchost.exe - Trojan-Dropper.Win32.Agent.apwg


Добавлено через 51 секунду

Выполните эту инструкцию http://virusinfo.info/showthread.php?t=3519 и загрузите полученный карантин через форму http://virusinfo.info/index.php?page=uploadclean После его загрузки продублируйте имя и MD5 файла, который выдаст форма приема карантинов.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files\microsoft common\svchost.exe - Trojan-Dropper.Win32.Agent.apwg ( DrWEB: Win32.HLLW.Autoruner.6326, BitDefender: Gen:Trojan.Heur.Hype.20708F8F8F )