Добрый день. Не могу найти ответа в итернете (на запрос ни чего не дает) что это за вирус такой- WIN32/AutoRun.RW червь? У меня Nod32 2.7 вирусная база данных 3453. Проблема моя такова: началось с того, что появилось и быстро исчезло окошко, в котором я успела прочитать только слово "копирование". Потом через какое-то время мой Нод стал кричать:Файл: C:\DOCUME~1\BBDA~1.SER\LOCALS~1\Temp\$1f.dll Вирус: WIN32/AutoRun.RW червь. Комментарий:Событие прошло в файле модифицированном приложением C:\WINDOWS\Explorer.EXE Файл был перемещен в карантин. Можете закрыть это окно. И не оставляет вариантов, закрыть и все. Я нашла на диске С и вручную удалила папку BBDA~1.SER. после принудительной проверк Нод ни чего не обнаружил. Однако на следующий день он мне ровно через каждые 2 часа выдает такое же тревожное сообщение, с анологичным содержанием проблемы, но на диске С уже нет подобной папки (в скрытых тоже нет), а он все равно ссылается на нее. И , не знаю, имеет ли эта деталь значение, но при открытии приложения Internet Explorer я обнаружила в паспорте регистрации на mail.ru чужой незнакомый адрес..... Очень надеюсь на помощь опытных пользователей, заранее благодарна.

violet_jercy, Здравствуйте. Сделайте пожалуйста логи по правилам (http://forum.oszone.net/thread-98169.html)

прикрепляю запрошеные файла, надеюсь все сделала правильно

violet_jercy, Отключите восстановление системы! Удалите MyWebSearch Toolbar через установку/удаление программ
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус и firewall, отключите интернет
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('qqd.sys', 4);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe','');
QuarantineFile('C:\qqd.sys','');
DeleteService('qqd.sys');
DeleteFile('C:\qqd.sys');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
ExecuteSysClean;
BC_DeleteSvc('qqd.sys');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему.
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - (no file)
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxdm119YYRU
O21 - SSODL: UpdateCheck - {3B7236EE-1A56-4B73-98B4-805AA3AFDC04} - (no file)
O24 - Desktop Component 0: (no name) - http://www.leonardihotels.com/common_images/body_bg.gif
Для защиты от вирусов типа autorun.inf
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files]
"*.*"=""
Повторите логи