Здравствуйте, Wprost
Повторюсь, это вирус (Virus.VBS.Small), вирус достаточно распространённый
При первом запуске он создает файл, который помещает в систему и запускает - после чего создает в корне каждого диска следующие файлы:
Autorun.inf, Autorun.exe, Autorun.ico, Autorun.ini, Autorun.~ex, autorun.bat, autorun.bin, autorun.reg , autorun.srm, autorun.txt, autorun.vbs, autorun.wsh, ...

Вот описание <a href=http://www.viruslist.com/ru/viruses/encyclopedia?virusid=147355 > версии "а"</a>.

Как бороться:
1) Ищем ключ в реестре: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Параметр - "Userinit"
Открываем его и смотрим, что прописано после userinit.exe, в некоторых версиях вируса это: autorun.vbs, autorun.bat, ...
2) Удалите, можно использовать <a href=http://www.3dnews.ru/software/file-managers/>файловый менеджер</a>( например, FAR , TotalCommander), все autorun файлы в корне дисков и папке %WinDir%\system32, хотя опять же, в зависимости от модификации вируса пути могут меняться.
3)Почистить антивирусом (например пробная версия <a href=http://www.kaspersky.ru/trials?chapter=186545270>Касперского</a> со свежими антивирусными базами.
4) Почистите <b>все</b> диски, флешки, фотоаппараты, <a href=http://www.kaspersky.ru/trials?chapter=168954084>этим </a> смартфон.

Для сведения: <a href=http://freesoft.ru/pageview.html?id=671712&dl=0>Bombina Soft</a> не дремлет и создает <a href=http://freesoft.ru/pageview.html?id=671712&dl=0>нужные программы</a> для борьбы, кстати, freeware

В приложение приведены все ответы на вопрос по аналогичному случаю ---- № 106561

Приложение:
Добрый день(ночь) уважаемые эксперты. На машине стоит winXP SP2. Возникли 2 проблемы: Первая заключается в том, что при открытии любого локального диска windows выдает окно: "Выбор программы Выберите программу для открытия этого файла Файл: C:\ (далее предлагаются соответственно программы)" Логично что скорее всего присутствует непонятно откуда взявшийся autorun на каждом из дисков, т.к. если кликнуть правой кнопкой на локальный диск на ряду со стандартными вкладками сверху ( найти..., открыть, проводник ) сверху всех появляется непонятная надпись "Аuto". Но дальше возникает сразу вторая проблема, данный autorun является по-ходу дела скрытым, а при попытке установить галочку "сервис>свойства папки>вид>показывать скрытые файлы и папки" после нажатия "OK" ничего не меняется и галочка автоматом прыгает обратно на "не показывать скрытые файлы и папки". Подскажите пожалуйста как такую пакость лечить, т.к. с локальными дисками я бы ещё пережил, но вот не видить скрытые файлы я не могу т.к. важных из них огромное множество. Заранее благодарен! Отвечает: Max_Boy Здравствуйте, Алексей Васильевич! Во-первых, проверьте компьютер на вирусы. Во-вторых, удалите autorun.inf с жесткого диска и после перезагрузки все встанет на свои места. P.S. Подобный вопрос систематически повторяется. Ответил: Max_Boy (статус: 7-ой класс) Дата отправки: 24.10.2007, 09:21 -------------------------------------------------------------------------------- Отвечает: Coupler Здравствуйте, Алексей Васильевич! Я думаю, это вирус - первым делом надо попробовать найти его процесс и закрыть его. Рекомендую Process Explorer v11.02 by Mark Russinovich. Также попробуйте найти места, из которых он загружается, используя какой-либо мнеджер загрузки (например, стандартный msconfig). Файлы autorun можете удалить, используя сторонний файловый менеджер (бесплатный Far или условно-бесплатный Total Commander) - найти эти программы не составит труда. Установите антивирус (NOD32, Антивирус Касперского). Ответил: Coupler (статус: Специалист) Дата отправки: 24.10.2007, 09:52 -------------------------------------------------------------------------------- Отвечает: ValeryN Здравствуйте, Алексей Васильевич! Это вирус (Virus.VBS.Small *), вирус достаточно распространённый (первые версии вируса были только скриптовые, далее вирусописатели написали очень много версий данного вируса), в последних из них набор файлов вида Autorun.* может варьироваться от 2-х и более. При первом запуске он создает файл, который помещает в систему и запускает - после чего создает в корне каждого диска следующие файлы: Autorun.inf, Autorun.exe, Autorun.ico, Autorun.ini, Autorun.~ex, autorun.bat, autorun.bin, autorun.reg , autorun.srm, autorun.txt, autorun.vbs, autorun.wsh, ... это значит, что любое устройство, определяемое системой как диск и доступное на запись, будь это флешка или фотоаппарат, смартфон и т.д. Заражение происходить при включенном автозапуске в Windows при выполнении команд из файла AUTORUN.INF Вот описание версии "а". Как бороться: 1) Ищем ключ в реестре: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] Параметр - "Userinit" Открываем его и смотрим, что прописано после userinit.exe, в некоторых версиях вируса это: autorun.vbs, autorun.bat, ... 2) Удалите, можно использовать файловый менеджер( например, FAR , TotalCommander), все autorun файлы в корне дисков и папке %WinDir%\system32, хотя опять же, в зависимости от модификации вируса пути могут меняться. 3)Почистить антивирусом (например пробная версия Касперского со свежими антивирусными базами. 4) Почистите все диски, флешки, фотоаппараты, этим смартфон. Для сведения: Bombina Soft не дремлет и создает нужные программы для борьбы, кстати, freeware Ответил: ValeryN (статус: Профессор) Дата отправки: 24.10.2007, 10:27 -------------------------------------------------------------------------------- Отвечает: Andrey TCH Здравствуйте, Алексей Васильевич Вот, попробуйте http://www.bombina.com/load/anti_autorun.exe Небольшая утилита, не требующая установки, можно запускать с флешки. Прекрасно расправляется со всеми autorunАМИ Ответил: Andrey TCH (статус: 10-ый класс) Дата отправки: 24.10.2007, 10:35 -------------------------------------------------------------------------------- Отвечает: Егор Александрович Здравствуйте, Алексей Васильевич! У меня была такая проблема, я сделал все ручками, но дабы не описывать своих мучений приведу вам инструкцию отсюда - http://forum.alser.kz/printer_friendly_posts.asp?TID=2691 А именно (я ее чуть подкорректировал): 1) Заходим в папку Windows, копируем файл regedit.exe, переименовываем его в redit.exe например, и вставляем обратно. Запускаем именно переименованный файл. Следом удаляем некоторые разделы, которые опишу ниже. Потом Ctrl+Alt+Del и завершаем нехорошие процессы, ну и в конце-концов удаляем файлы с заразой с жесткого диска. /*Это желательно делать в безоп. режиме*/ Но у меня был в распоряжении Infra CD 6.1 и всю работу я выполнял с ним. Итак, по порядку. /*У меня был RegCleaner, в безопасном режиме убил все левые процессы и прогнал очистку реестра, далее было попроще воевать */ 1) Загружаемся с диска и запускаем любой менеджер или LiveCD версию Windows XP. /*Я пользовался Total Commander и опять же работал в безоп. режиме*/ 2) Переходим на диск, где покоится ОС, включаем отображение системных и скрытых файлов и папок через "Свойства папки". 3) Заходим в каталог ОС и ищем в корневой папке, а также в подпапках и /system32 /system32/dllcache /system32/drivers следующие файлы (некоторые файлы из списка могут отсутствовать) и удаляем их: conime.exe (скрытый, системный, без Microsoft-ской подписи и значка Windows) /*был у меня*/ severe.exe /*и этот тоже*/ dmqgmk.exe net.exe net1.exe hx1.bat noruns.reg sc.exe sc1.exe sbfcme.exe 4) В сборке Infra CD 6.1 в Live-версии ОС есть замечательная штука - AVAST Registry Editor. Запускаем его. В диалоговом окне выбираем нужную нам ОС, или вызываем диалог просмотра и выбираем папку с Windows на нашем системном разделе диска. Как альтернативу можно использовать любой другой редактор реестра с возможностью подгрузки файлов реестра. а) Изменяем раздел HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL Ставим CheckedValue = 1 /*Это по вашей проблеме про скрытые файлы*/ б) Удаляем параметры, содержащие упоминания о вышеперечисленных файлах из разделов автозагрузки. HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_USERS\имя_пользователя\Software\Microsoft\Windows\CurrentVersion\Run Скорее всего будут упоминания о severe.exe и dmqgmk.exe /*у меня был немного другой файл qvk***.exe - что-то в этом роде*/ в) Переходим к HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ Проходим по подразделам.В правом окне смотрим параметр Debugger. Если в данном параметре имеется упоминание о sbfcme.exe, удаляем подраздел, т.е. щелкаем по выделенной папке в левом окне правой клавишей и выбираем Удалить. =) Это нужно для того, чтобы позволить антивирусу, установленному или устанавливаемому на ПК запускатся нормально. г) Переходим на HKLM\Softre\Microsoft\Windows NT\Current Version\Winlogon и правим параметр SHELL. Там должен остатся параметр вида Shell = Explorer.exe /*вот это важно, если по мимо Explorer написано еще что-то - удалить!!!*/ 5) Открываем файл hosts, расположенный в папке C:\WINDOWS\system32\drivers\etc с помощью Блокнота и удаляем из него все строки, где видны имена серверов обновления антивирусов. В моем случае пришлось удалить все строки кроме 127.0.0.1 Localhost Этот ПК был в сети но не имел доступа к Инету. Иначе обновлятся антивирусы, установленные на ПК, через Инет не будут. /*Я просто удалил этот файл и все, как правило он не нужен - если вы конечно не Веб-мастер )) */ Возвращаемся к реестру. Проверяем службу Центр Безопасности Windows. Ищем в реестре все упоминания о WSCSVC. Если все параметры в норме и не содержат значений типа --------- или - (как было в моем случае), то все ОК, служба выжила. Иначе придется брать второй ПК и восстанавливать значения параметров на зараженой машине. Обычно эта служба выживает!/*согласен с автором, у меня тоже все выжило*/ Ищем в реестре упоминания об OSA.exe и удаляем параметры, содержащие их. Сверяем системное время и дату с текущими. /*ну и соответственно поиском ищем любой из выше перечисленных файлов на дисках и удаляем к чертям, не забудьте про autorun*‘ы*/ 6) Перезагружаемся. Проверяем отсутствие левых ключей в автозагрузке (например с помощью MSCONFIG). Включаем отображение системных, скрытых файлов и папок, можно и с помощью реестра. Ctrl+Alt+Del и смотрим на левые процессы. Сравниваем их со списком выше. Ставим антивирус со свежими базами и проверяем ПК. Вроде все. /*Эти инструкции мне помогли, а вот к примеру NOD32 со свежими базами даже толком установиться не мог, пока не сделал все выше перечисленное*/ Ответил: Егор Александрович (статус: 2-ой класс) Дата отправки: 24.10.2007, 10:51 -------------------------------------------------------------------------------- Отвечает: Андрианов, Петр, Леонидович Здравствуйте, Алексей Васильевич! лечиться данная штука просто, вот что вам надо сделать: 1. У Вас по всей видимости два вируса, поэтому необходимо просканировать систему антивирусником с последними обновлениями антивирусных баз. 2. Для того что можно было просмотреть скрытые файлы необходимо: - в командной строке ввести команду regedit, откроется реестр - перейти по HKEY_LOCAL_MACHINE\SOFTWARE\Micrisoft\Windows\CurrentVersion\Explorer|Advanced\Folder\Hidden\SHOWALL - там будет запись CheckedValue_______ 0 ее надо удалить - правой кнопкой мыши вызвать меню и выбрать "СОЗДАТЬ->параметр DWORD" - в появившемся поле ввести CheckedValue, выделить и вызвать правой кнопкой мыши меню, в нем выбрать "ИЗМЕНИТЬ" и задать параметр 1 Скрытые файлы будут видны. 3. Для нормального входа на диски нужна не большая утилита, оставьте адрес, я ее Вам скину. Если не удалить вирусы, все труды напрасны!!! Ответил: Андрианов, Петр, Леонидович (статус: 5-ый класс) Дата отправки: 24.10.2007, 10:52