жрется траффик

[Шапельский Александр]

Пролечитесь, как описано здесь http://virusinfo.info/showthread.php?t=15927

Скачайте LiveCD, запишите образ на диск и просканируйте систему.
После этого скачайте новый АВЗ, обновите базы, сделайте новые логи

[oleg_r]

Вроде победил. Трафик не жрется, файлы не появляются.
Лечил VBA Rescue и потом LiveCD.
Огромное спасибо за помощь всем.

Теперь надо победить то же, но на другой машине с WinXP.

[pig]

Не торопитесь, вы ещё не закончили здесь:

После этого скачайте новый АВЗ, обновите базы, сделайте новые логи

[oleg_r]

последние логи прикрепил.

просматривал открытый в блокноте лог утилиты HijackThis и внезапно в начало файла вставилось несколько строк типа "testtesttesttesttesttesttesttesttesttesttestt est"
что может это быть?

[Шапельский Александр]

В логах подозрительного не увидел, что с проблемой?

[oleg_r]

В логах этого "testtesttesttesttesttesttesttesttesttesttestt est" и не будет.
Просто был открыт файл Блокнотом и ни с того ни с сего в начало вставилась такая строчка. Такое также было и с адресной строкой Internet Explorer - туда вставилась такая строчка.

[pig]

А не надо ничего открывать, когда проверку AVZ запускаете. Не мешайте утилите кейлоггеры искать.

[oleg_r]

Ок.
Значит это АВЗ делал такое, я правильно понимаю? Просто не помню, проверял ли он в то время систему, когда эти строчки появлялись.
Если это был АВЗ, то все понятно.

Кстати я запустившись с LiveCD после проверки еще принудительно почистил папки Local Settings от разных desktop.ini, index.dat. Ничего плохого от этого не случилось кроме как офисовские ярлыки отображаются другими картинками.
Ну а с вирусами вроде разобрались с вашей помощью.

[PavelA]

У Вас Open Office был установлен, или что-нибудь из альтернативного МС Офису?

[oleg_r]

Ничего из альтернативного МС Офису я не устанавливал.

[PavelA]

скриншот пришлите, только чтобы ярлык хорошо видно был.
В "Свойствах папки" - Типы файлов посмотрите там какие иконки.

[oleg_r]

во вложении картинка. в коммандере тоже так отображаются.
я удалил папку C:/windows/installer/
там были файлы с офисовскими значками, поэтому и отображаются как дефолты.
уже нашел как исправить.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 35
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files\internet explorer\dw15.exe - Virus.Win32.Virut.ce ( DrWEB: Win32.Virut.56, BitDefender: Win32.Virtob.Gen.12, NOD32: Win32/Virut.NBP virus, AVAST4: Win32:Vitro )
  2. c:\winnt\system32\drivers\zrqhdwfxg3.sys - Rootkit.Win32.Tent.aiv ( DrWEB: Trojan.NtRootKit.3972, BitDefender: Rootkit.29012, AVAST4: Win32:Agent-AFVS [Rtk] )
  3. c:\winnt\system32\msxm192z.dll - Trojan-GameThief.Win32.WOW.usf ( DrWEB: Trojan.Siggen.10633 )
  4. c:\winnt\system32\16.tmp - Trojan.Win32.Vilsel.lyy ( DrWEB: Trojan.Siggen.18414, BitDefender: Trojan.Generic.2661273, AVAST4: Win32:Puvbed-B [Trj] )
  5. c:\winnt\system32\.\6.tmp - Trojan-Downloader.Win32.Mutant.foa ( DrWEB: Trojan.DownLoad.41506, BitDefender: Trojan.Downloader.JMKV, NOD32: Win32/Wigon.HT trojan, AVAST4: Win32:Cutwail-AB [Trj] )
  6. c:\winnt\system32\9.tmp - Trojan.Win32.Vilsel.lhp ( DrWEB: Trojan.Siggen.14853, BitDefender: Trojan.Downloader.Wintu.1.Gen, AVAST4: Win32:Hupigon-LIE [Trj] )
  7. c:\winnt\temp\bna.tmp - Trojan-Proxy.Win32.Agent.btl ( DrWEB: Trojan.Proxy.8061, BitDefender: Application.Generic.233526, AVAST4: Win32:Malware-gen )
  8. c:\winnt\temp\bn1c.tmp - Trojan-Proxy.Win32.Agent.btl ( DrWEB: Trojan.Proxy.8061, BitDefender: Application.Generic.233526, AVAST4: Win32:Malware-gen )
  9. c:\winnt\temp\vrt3.tmp - Backdoor.Win32.Delf.rmo ( DrWEB: Trojan.Bfkq.137, BitDefender: Trojan.Generic.2648022 )
  10. c:\winnt\temp\vrt4.tmp - Trojan-Downloader.Win32.Genome.xbc ( DrWEB: Trojan.DownLoad.57236, BitDefender: Trojan.Generic.2661217 )