Аваст сам заразился !!!

[Yurec66]

После втыкания флешки в другой комп, (который ее убил, про это чуть позже) на моем стали твориться чудеса. Аваст Free, 8, обновляется постоянно. Первая помощь нужна - засыпает вот такими окнами. Подскажите как убить заразу, ато не могу толком описать конкретную проблему.
Объект - всегда разные адреса, остальное все то же.

Итак, немного почитав сайты нашел причину, точнее файл, который распространил вирус на мой комп. Аваст!! АУ!!! ТЫ где??? Такв от
На флешке папки превратились в ярлыки. Воткнув флешку в свой комп попытался ее лечить, как описано в статьях. По ярлыку определил вирус и удалил его. Сейчас хочу посмотреть какой он скрипт запускал и не могу войти в ярлык. ТС сваливается с ошибкой как только вхожу в свойства ярлыка. Сейчас запустил флешку на сканирование авастом. Перед этим запускал сканирование всего компа перед загрузкой. И столько интересного позаносилось в карантин... Некоторые файлы аваста (.txt, *.db) были заражены WIN32: Downloader-VFM [PUP], какие то еще другие экзотические названия, малваре, трояны... Е-мае, еще раз спрашиваю, аваст, ты что уснул что ли? Хорошо, вирус я подхватил на чужом компе. Но почему аваст пропустил его когда флешку воткнул и начал тыкать по ярлыкам(по незнанию запуская вирус). Почему аваст его не перехватил? Нафига тогда такой антивирус, если ему в помощь еще 3 нужно? 

ps
первый раз когда удалось просмотреть ярлык там было написано, что запускается \System32\WScript.exe и какойто явовский скрипт. Я то по быстрому этот ехе-шник удалили, окна перестали появляться, но теперь ничем не могу просмотреть свойства ярлыка на флешке. Думаю, что я поторопился. Наверное это был системный файл, а искать нужно было скрипт для удаления. Если не трудно, посмотрите по ссылке в архиве ярлык его свойства и подскажите, что за скрипт там прописан и где находится.

https://mega.co.nz/#!M1sByKCY!MHEcEkKnPFZUXnDIpNwR6HO_YH4jGAv2Ks2p-dU53Fc

Спасибо.

[Andrey,pro]

1) Вы удалили системный файл WScript.exe, если Вы переместили файл в корзину, то восстановите его.
2) Не открываются ярлыки только на флешке? Загрузите, пожалуйста, на файлообменник любой ярлык с Рабочего стола, например, Opera 16.lnk и укажите ссылку на загрузку файла

3)Скачайте McShield на рабочий стол и установите.
Запустится первоначальное сканирование и результаты будут показаны во всплывающем окне около системных часов.
Затем в центре управления выберите сканер и отметьте всегда отображать элементы на флэш-накопителях.



Вставьте флэш-накопитель и MCShield начнет сканирование.
Затем прикрепите отчет, который будет находиться здесь :

Пуск > Все программы > MCShield > logs > all scans
4)

• Скачайте прикрепленный файл fix.txt на Рабочий стол
  
• запустите снова программу OTL by OldTimer и нажмите run fix
  
• OTL спросит о местонахождении файла fix.txt
  
• Выберите файл, который Вы загрузили, и снова нажмите run fix.

• Компьютер перезагрузится.
• После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

[Yurec66]

C этими ярлыками вроде как разобрался. WScript.exe восстановил, нашел скрипты паразитные и удалил.
Флешку восстановил. Продолжение написал в ветку "Как найти объект" http://forum.avast.com/index.php?topic=135262.msg993712#new. Если не трудно, гляньте там что написано.

[Andrey,pro]

Если с флешкой разобрались, то переходите к пункту 4- выполнение скрипта OTL.
После выполнения скрипта и перезагрузки запустите снова сканирование с помощью Malwarebytes Anti-malware  и удалите все найденное, кроме

Code: [Select]

C:\WINDOWS\KMService.exe (RiskWare.Tool.CK) -> Действие не было предпринято.

[Yurec66]

Сейчас выполню указанные действия. Параллельно вопрос. Я установил MW вместе с авастом сейчас загружен и постоянно перехватывает этот самый KMService.exe и запихивает его в карантин. Чтобы это значило?

[Andrey,pro]

MW, я так понимаю, это Malwarebytes Anti-malware? KMService.exe-это активатор для microsoft office, поэтому MBAM распознает его как программа взлома. Если Вы провели сканирование и удалили все, кроме KMService.exe, то MBAM можете удалять. Скрипт OTL выполнили? Если да, то прикрепите отчет.

[Yurec66]

MW, я так понимаю, это Malwarebytes Anti-malware?

Да, все верно. Скрипт попытался выполнить , но комп подвис. Ждал минут 7 - пришлось через ресет перегрузиться. Это так должно быть и я поторопился? Попытаться еще раз?

[Andrey,pro]

Такое бывает, выполните скрипт в Безопасном режиме.

[Yurec66]

Да, действительно в защищенном режиме получилось.
Лог большой, посему прикладываю его во вложении.

[Andrey,pro]

Как сейчас ведет себя компьютер, проявляются какие-нибудь проблемы? Единственное, что меня смущает-это то, что на компьютере присутствуют файлы, созданные в 2014 году:

Code: [Select]

MOD - [2014.12.30 18:25:06 | 000,002,560 | ---- | M] () -- d:\Program Files\DAEMON Tools Pro\MSIMG32.dll
DRV - [2014.12.30 18:33:42 | 000,242,240 | ---- | M] (DT Soft Ltd) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\dtsoftbus01.sys -- (dtsoftbus01)и все они относятся к daemon tools, попробуйте переустановить его.

[Yurec66]

Трудно понять пока. По крайней мере аваст пока не выдает ни каких сообщений. Интернет тормозит, страницы долго грузятся.
В любом случае мероприятия по очистке проведены , будем надеяться, что зараза вычищена.
Andrey,pro, спасибо вам за помощь.

[Andrey,pro]

Интернет тормозит во всех браузерах, даже в IE? Возможно, это связано с проблемами/техническими работами на стороне провайдера?

[Yurec66]

Скорее всего. Это у нас такой провайдер. Насчет даймонд - переустановлю чуть позже.

[Andrey,pro]

Если проблем больше нет, то запустите снова программу OTL by OldTimer и нажмите кнопку CleanUp для удаления программы.

[Yurec66]

Для удаления какой программы?