не понятное заражение

[n1ger]

День добрый.
Пол года назад при работе компьютера начал глючить КИС 10. Не находил некоторые вирусы (которые нашел даже 7 версия касперского с базаамии 2008 года), жестоко тормозил работу системы, иногда выдавал ошибки. КИС был удален (переустановка не помогала), компьютер проверен на вирусы с помощью cureIT. Было найдено пару зараженных файлов, которые в принципе мной не использовались (были в кэше браузера). Системные файлы были живы здоровы. КИС установлен на место, система работала.
ПОтом однажды пришлось отцепить жесткий диск. Заодним решил проверить с помощью другого компьютера и КИС 11. Было найдено еще несколько зараженных файлов. Раскиданы они были в разных местах.
Сейчас же, была проблема с выходом в интернет через usb-модем Билайна. Приложение необходимое для запуска модема выдавало ошибку чтения памяти (как на работе при заражении програмы). Програму переустанавливал помогло не с первого раза. Потом шли пинги, но не открывались страницы. Былы произведена проверка последним cureIT было найдено опять же несколько зараженных файлов, которые я легко удалил и они больше не появлялись. Интернет после этого заработал. После этого я провел все процедуры, как написанно в правилах. КИС 11 нашел несколько червей, троянов и вирусов.
НА данный момент всё вроде бы работает, но меня напрягает что часто слетает стандартная тема winXP. Меняется на win98. К тому же иногда появляется ошибка в процессе win generic host вроде. И ошибка бывает появляется выполнения каких то програм (сидящих в temp). Ошибка сообщает о том, что процедура может быть выполнена только в 16 разрядных системах.
Вот такие вот непонятные вещи творятся.
С безопасностью в интернете вроде базово знаком, пользовался лицензионным КИС 10, а всеравно какую-то непонятную заразу цепанул

[V_Bond]

С безопасностью в интернете вроде базово знаком

тогда должны знать что ваша система нуждается в обновлении ...sp3 + все остальные обновления ...
выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\n1ger\Application Data\oekx.exe','');
 DeleteFile('C:\Documents and Settings\n1ger\Application Data\oekx.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

[n1ger]

про обновление знаю. Косяк за мной...оплошал ) руки никак не доходят чего-то.
всё сделал. Карантин вроде отправил, систему пересканировал с помощью AVZ. hiJack тоже надо логи повторить?

ошибка про 16 разрядную подсистему ms-dos осталась. Тема пока не слетала.
Текст окна ошибки следующий:

c:\docume~1\n1ger\local~1\temp\2679.exe
Процессор NTVDM обнаружил недопустимую инструкцию.
CS:0549 IP:010b OP:63 74 65 64 20 Для завершения работы приложения нажмите кнопку "Закрыть"

на это можно не обращать внимания или как? Меня дислокация приложения в папке temp напрягает.
Еще заметил, что при одной из проверок с помощью avz, где надо было подключиться к интернету во время проверки и моего отсутствия (около 15-20 минут) накапало около 3 мб тарфика. Впринципе все автообновления отключаю всегда. Бывает кстати, что по мониторингу компьютер что-то усердно качает, при этом страницы не грузятся или грузятся очень-очень медленно. Понаблюдаю за этими явлениями еще.

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteFile('C:\Documents and Settings\n1ger\Application Data\oekx.exe');
 QuarantineFile('C:\WINDOWS\gwdrive32.exe','');
 DeleteFile('C:\WINDOWS\gwdrive32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');       
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Повторите логи

[n1ger]

короче такая ситуация:
вот этот файл

C:\WINDOWS\gwdrive32.exe

я удалил еще перед тем, как написать вам. Причем весьма тупо удалил (когда узнал что это вирус и он блокирует инет). Отключил процесс и удалил файл (атрибутов системный, скрытый только чтение на нем небыло)

этот файл

C:\Documents and Settings\n1ger\Application Data\oekx.exe

я сразу нашел как проичтал предыдущий пост, посмотрел на него (тоже атрибутов системный, скрытый и толко чтение у него нет). тут же выключил интернет, брандмауэр, все программы, антивирус и выполнил скрипт, который мне написал Olejah. После этого сделал оба лога и обнаружил следующие косяки:
- файл карантина пустой. Файлов oekx.exe и gwdrive32.exe в системе нет, но и в карантине их тоже нет. Скрипт я повторил и в карантине появилось то, что я отправил по ссылке "Прислать карантин"
- потом у меня не создался лог после выполнения скрипта "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Архив virusinfo_cure.zip создался, с двумя зараженными файлами внутри, а virusinfo_syscure.zip, virusinfo_syscure.htm, virusinfo_syscure.xml отсутствовали. До этого у меня был подобный глюк. У меня не создался с первого раза лог после выполнения скрипта "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Но тогда я подумал, что я сам пропарил. Оказывается нет.

[n1ger]

=) всем спасибо ) касперским с вашими настройками проверил еще раз комп. Че смог - удалил каспер, остальное удалил сам через безопасный режим и провел процедуру лечения системы каспером 11 ) проблема решена, тему можно закрывать )
еще раз спасибо за помощь и внимание =)

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\n1ger\\application data\\oekx.exe - P2P-Worm.Win32.Palevo.bnyz ( DrWEB: Trojan.MulDrop1.57578, BitDefender: Trojan.Generic.KDV.90682, AVAST4: Win32:Trojan-gen )