Новый вирус похожий на x-connect

[wow!]

Появилось соединение в сетевых подключениях с названием
"Подключение к интернету", каждые 2-5 минут оно само устанавливается со скоростью 2,4 мбит/сек, как только оно появляется в трее, то соединение ДСЛ модема падает и нет инета(гаснет Internet, Status, DSL и нет попыток у модема самому поднять соединение), помогает только полный ребут модема. Модем в режиме роутера(!).
Это соединение невозможно удалить, но можно переименовать. Переименовывание толку никакого не дает. Каким то мне непостижимым образом пару раз удавалось, прибивая в диспетчере задач все подряд прекращать работу вируса, так как соединение из сетевых подключений пропадало! Но после перезагрузки компьютера все появлялось опять.
С момента заражения не работает интерфейс быстрого переключения пользователей. Методы борьбы x-connect не подходят.
Вэб,нод32,Авз ничего не находят
ВинХР-сп3

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
  QuarantineFile('C:\DOCUME~1\C272~1\LOCALS~1\Temp\bJ1s1M91.sys','');
 QuarantineFile('c:\windows.0\system32\winlogon.exe','');
 TerminateProcessByName('c:\documents and settings\Шурик\local settings\temp\d9818930-1e170930-4b16e4a0-13dba8d0\f4ae0_xp.exe');
 QuarantineFile('c:\documents and settings\Шурик\local settings\temp\d9818930-1e170930-4b16e4a0-13dba8d0\f4ae0_xp.exe','');
 DeleteFile('c:\documents and settings\Шурик\local settings\temp\d9818930-1e170930-4b16e4a0-13dba8d0\f4ae0_xp.exe');
 DeleteFile('C:\DOCUME~1\C272~1\LOCALS~1\Temp\bJ1s1M91.sys');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip

[wow!]

спасибо! каратнин прислал, имя файла 110423_054008_quarantine_4db26638aeee3.zip
прикрепляю повторный virusinfo_syscheck.zip

после вашего скрипта,ребута ушли первичные признаки заражения:
ушло "левое" соденение, выключился режим скрытых иконок в трее, но режим быстрого переключения пользователей со страницей приветствия не включается... видать повреждены/изменены ветки реестра, попробую поискать в инете как вернуть быстрое переключение пользователей

[wow!]

похоже что остались какието недобитки вируса, так-как через некоторое время, опять само включилось "Скрывать неиспользуемые значки", выключение этого пункта не помогает птичка сама появляется опять, и значки в трее сворачиваются, плюс ко всему все примочки что я вычитал с инета(удалить Netware, проверить службы, поставить птички в "Выбор параметров входа", проверить наличие ключей в реестре) по поводу экрана приветсвтия и быстрого переключения не помогли!
При этом "левое" соединение не создается, инет не пропадает, машина работает быстро как и до заражения...

Добавлено через 5 часов 41 минуту

удалось востановить быстрое переключение пользователей запустив установку виндовз с функцией обновления системных файлов!
отныне никаких сидений под администратором, только под юзером...
тему можно закрывать

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 7
• В ходе лечения вредоносные программы в карантинах не обнаружены