Есть подозрение на вирус.

[harwid]

Добрый день!
Касперский со свежими базами находит "Heur.Trojan.Generic" Модуль:WinCts32.exe\WinCts32.exe
CureIT не определяет никак.
netstat показывает постоянно окрытое соединение на 78.129.158.88 порт 9595 (иногда 1863) и соединения на 192.168.*.*:microsoft-ds
ipconfig
192.168.1.2 255.255.255.0
192.168.1.1 - шлюз и DNS.
Все пингуется и по IP, и по доменному имени.
IE при попытке зайти на сайты выдает: "Не удалось отобразить страницу поиска"
FireFox вообще молчит.
На диски пишется файл autorun.inf со следующим содержанием.

[autorun]
open=driver\usb\–ђЃј‡‘Љ•†‘НЂЊЋ
action=Open
shell\open=Open
shell\open\command=driver\usb\–ђЃј‡‘Љ•†‘НЂЊЋ
Usb_Driver installed

Логи добавляю. Пароль - virus
Буду благодарен за помощь.

[Kuzz]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('H:\driver\usb\\u2013\u0452\u0403\u0458\u2021\u2018\u0409\u2022\u2020\u2018\u041d\u0402\u040a\u040b','');
 QuarantineFile('H:\autorun.inf','');
 QuarantineFile('WinCon.exe','');
 QuarantineFile('D:\Program Files\Archivarius 3000\Archivarius3000.exe','');
 QuarantineFile('D:\Documents and Settings\1\\u0413\u043b\u0430\u0432\u043d\u043e\u0435 \u043c\u0435\u043d\u044e\\u041f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b\\u0410\u0432\u0442\u043e\u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0430\key.bat','');
 QuarantineFile('d:\docume~1\1\locals~1\temp\Program.exe','');
 QuarantineFile('d:\windows\wincts32.exe','');
 QuarantineFile('d:\windows\winamp1.exe','');
 DeleteFile('d:\docume~1\1\locals~1\temp\Program.exe');
 DeleteFile('d:\windows\winamp1.exe');
 DeleteFile('d:\windows\wincts32.exe');
 DeleteFile('H:\autorun.inf');
 DeleteFile('H:\driver\usb\\u2013\u0452\u0403\u0458\u2021\u2018\u0409\u2022\u2020\u2018\u041d\u0402\u040a\u040b');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"

2.Повторить логи. Только архивировать их не надо.
Просто приложить 3 файла

[harwid]

Прикрепил.

[Rene-gad]

Касперский со свежими базами .

Да 10 раз свежие базы: у Вас система - решето

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите

Код:

O4 - HKLM\..\Run: [WinCts] WinCts32.exe
O4 - HKLM\..\Run: [Windows Data Serivce] winamp1.exe

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('WinCts32.exe');
 DeleteFile('WinCon.exe');
 DeleteFile('winamp1.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','MicroMix32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinCts');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','WinCts');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Data Serivce');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. h:\driver\usb\–ђѓј‡‘љ•†‘нђњћ - Trojan.Win32.VB.qyl