Технический форум - Вирус модифицирует документы на usb

Технический форум (http://www.tehnari.ru/)

- Безопасность (http://www.tehnari.ru/f35/)

Вирус модифицирует документы на usb

Здравствуйте, уважаемые форумчане!
Есть подозрение, что на компьютере поселился вирус. Операционная система: windows xp, windows 7.
При подключении usb накопителя (при том, что в корне накопителя будут находится файлы документов - *.pdf, *.exe но возможно и другие, не проверял) оригиналы скрываются, а вместо них появляются файлы с расширением exe "[имя_оригинала.pdf].exe". При этом при открытии файла с расширением exe открывается нужный документ, но также (если я правильно понимаю) на компьютер перед этим устанавливается программа с вирусом.

Вот, что говорит VirusTotal

Вложение 435525

Вложение 435526

Вложение 435527

Так же могу отправить сам exe файл.
Хотелось бы выяснить его происхождение, насколько это возможно, и как его можно найти и удалить ручными средствами?

Здесь вирусных аналитиков нет и происхождение вируса мы не установим.
Приложите полный образ автозапуска UVS по правилам - почистим.
Сам вирус отправлять не надо.

Прилагаю полный образ автозапуска UVS
Вложение 435530

Загрузите систему в безопасном режиме и выполните скрипт в uVS:

Код:

;uVS v4.1.3 [http://dsrt.dyndns.org]

;Target OS: NTv5.1

v400c

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ЭЛЕКДОКУМ\APPLICATION DATA\MICROSOFT\{A328ACF5-DBF4-4879-8E4A-F736104B82CC}\BAC58A5F.EXE

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ЭЛЕКДОКУМ\APPLICATION DATA\MICROSOFT\{A328ACF5-DBF4-4879-8E4A-F736104B82CC}\BAC58A5F.EXE

deldir %SystemDrive%\DOCUMENTS AND SETTINGS\ЭЛЕКДОКУМ\APPLICATION DATA\MICROSOFT\{A328ACF5-DBF4-4879-8E4A-F736104B82CC}

regt 5

deltmp

czoo

restart

Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Сделайте новый полный образ автозапуска UVS опять-таки в безопасном режиме.

Спасибо за помощь! Проблема решена