cfdrive32 и траблы с инетом

[regg]

1. В системе точно есть вирь cfdrive32
2. Инет вместо положенных 4 мбит имеется лишь в размере 30-40 кбит... cmd-netstat выдает километровый список при отсутствии открытых приложений работающих с инетом.
3. После каждой перезагрузки слетают драйвера на звуковуху (в диспетчере устройств - устройство есть, кодеки тоже, а вот при входе в панель управления-звуки и аудиоустройства стоит жирное "НЕТ", лечу пока-что простым запуском установщика драйверов под звуковуху.

[ARMA9000]

Отключить восстановление системы, защитное ПО.
Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS.0\system32\drivers\odFips2.sys','');
 QuarantineFile('D:\WINDOWS.0\system32\drivers\odFips.sys','');
 QuarantineFile('D:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\Application\6.0.472.55\locales\ru.dll','');
 QuarantineFile('D:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\Application\6.0.472.55\avutil-50.dll','');
 QuarantineFile('D:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\Application\6.0.472.55\avformat-52.dll','');
 QuarantineFile('D:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\Application\6.0.472.55\avcodec-52.dll','');
 QuarantineFile('D:\WINDOWS.0\system32\28.exe','');
 QuarantineFile('D:\WINDOWS.0\system32\87.exe','');
 QuarantineFile('D:\Program Files\Orbitdownloader\orbitdm.exe','');
 QuarantineFile('D:\Documents and Settings\Admin\Application Data\ltzqai.exe','');
 TerminateProcessByName('d:\windows.0\cfdrive32.exe');
 QuarantineFile('d:\windows.0\cfdrive32.exe','');
 DeleteFile('d:\windows.0\cfdrive32.exe');
 DeleteFile('D:\Documents and Settings\Admin\Application Data\ltzqai.exe');
 DeleteFile('D:\WINDOWS.0\system32\28.exe');
 DeleteFile('D:\WINDOWS.0\system32\87.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',3,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. Карантин прислать согласно правилам. Логи повторить.

[regg]

Файл сохранён как 100912_220349_virus_4c8d16058c99b.zip
Размер файла 5192133
MD5 5b475c40241bafc22722762556ac2365

[regg]

Вот логи

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\WINDOWS.0\TEMP\085.exe');
 DeleteFile('D:\WINDOWS.0\cfdrive32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 DeleteFile('D:\WINDOWS.0\system32\msvmiode.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 85
• В ходе лечения обнаружены вредоносные программы:
  
  1. d:\\documents and settings\\admin\\application data\\ltzqai.exe - Trojan.Win32.Jorik.SdBot.by ( DrWEB: Trojan.Packed.21118, BitDefender: Trojan.Generic.4971321, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Malware-gen )
  2. d:\\windows.0\\system32\\27.exe - P2P-Worm.Win32.Palevo.aviz ( DrWEB: Trojan.DownLoader1.25491, BitDefender: Trojan.Generic.4896588, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
  3. d:\\windows.0\\system32\\28.exe - P2P-Worm.Win32.Palevo.aviz ( DrWEB: Trojan.DownLoader1.25491, BitDefender: Trojan.Generic.4896588, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )
  4. d:\\windows.0\\system32\\87.exe - P2P-Worm.Win32.Palevo.aviz ( DrWEB: Trojan.DownLoader1.25491, BitDefender: Trojan.Generic.4896588, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )