Autoruner.2805 и не только

[okomaster]

DrWeb начал обнаруживать autorun.inf и слетел интернет (WinXP), т.к. в момент подключения кто-то подставлял свои DNS: 85.255.116.34 и 85.255.112.106.
На здоровом комп. скачал всё, что Вы рекомендуете в Ваших правилах.
CureIT нашел и удалил dazsax.dll и twext.exe (в sys.32).
Утилита Касперского обнаружила "Новавя угроза Hidden.Object" - kdmgt.exe (в sys32), но не смогла ничего сделать. Пришлось удалить вручную.
AVZ (запустил точно по Вашим пунктам) проработал 31% и завис: стали выскакивать бесконечное кол-во окон "Accessviolationataddress 00402254 inmodule ‘avz.exe’. Writeofaddress 4643535D".
Далее вручную нашел и удалил cscdll.dll, т.к. на форуме видел подобный случай.
В результате описанных действий прекратились появления autorun.inf , но проблемы с интернетом остались. Кроме того Windowsперестала нормально загружаться: только через F8, если выбрать “последняя работоспособная конфиг.”

Что посоветуете?
Спасибо.
Okomaster

[Гриша]

http://virusinfo.info/showthread.php?t=1235

[okomaster]

Невозможно прислать LOG-файлы, т.к. виснет AVZ.

[Гриша]

Делайте этим AVZ http://depositfiles.com/en/files/6501498

[okomaster]

На форуме говорили, что также можно попробывать прочистить реестр от вирусных DNS или воспользоваться Spybot.
Прочистил. Не помогло: в момент подключения эти DNS снова появлялись в реестре и блокировали интернет.
Воспользовался Spybot (www.spybot.info) - все проблемы исчезли.
СПАСИБО ФОРУМУ И ЕГО ХЕЛПЕРАМ!!!!!!!!!!

[Гриша]

Сделайте логи...

[okomaster]

Извиняюсь за задержку LOG-файлов.

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\twext.exe','');
 QuarantineFile('C:\WINDOWS\system32\kdmgt.exe','');
 DeleteFile('C:\WINDOWS\system32\kdmgt.exe');
 DeleteFile('C:\WINDOWS\system32\twext.exe');
BC_ImportALL;  
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

[okomaster]

Скрипт выполнил. После перезагрузки комп. Spybot сказал:
"обнаружил изменение ... реестра...
Категория: System Startup global entry
Изменение: Значение удалено
Запись: C:\Win\System32\kdmgt.exe"
Я выбрал Разрешить.
Карантин выслал.
При попытке создания логов зависла AVZ.
Попробывал новую версию "evrika.exe" - то же самое.
Перегрузил комп. - получился 1-й лог с пом. AVZ.
Ещё раз перегрузил, чтобы создать 2-й лог.
Начал выгружать резидентов. В момент выгрузки Spybot произошло
следующее: Spider Guard нашел у него трояна и удалил.
Все логи прилагаются.

[Aleksandra]

Ничего зловредного в логах нет.

[okomaster]

БЛАГОДАРЮ ВСЕХ!!!

[okomaster]

Началась небольшая неприятность: при загрузке Windows виснет на "Приветствие" (светится диск А и HDD). Делаю reset - грузится нормально...

[NickGolovko]

Давайте еще раз логи (а что мы еще можем вам ответить? )

[okomaster]

Логи высылаю.
Windows при старте виснет не всегда (после очистки было 4 раза),
примерно в 10-20% случаев.

[drongo]

C:\WINDOWS\system32\drivers\Ndisprot.sys похож на трояна, пришлите копию (Приложение 2 правил)

[okomaster]

файл (карантин) закачал

Добавлено через 1 час 59 минут

Вдруг заглючил диск D (2-й винт, NTFS, разбит на два: D и Е), Windows перестал его читать (говорит, что система RAW). Пришлось отфармотировать.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 5
• В ходе лечения вредоносные программы в карантинах не обнаружены