Неясная активность на google-in-counter.com

Началось всё с того, что Касперский 6.0.4.1424 корпаративный начал ругаться, что заблокировал попытку доступа к сайту [B][url]http://google-in-counter.com/[/url][/B][I]<конец пути постоянно меняется>[/I].

Переодически появляются запущенными процессы [B]rundll32.exe[/B]. Если фаром смотреть строку запуска, то она имеет вид:
[B]rundll32.exe[/B] [I]<разный набор латиснких символов>[/I][B].ko,[/B][I]<другой набор латиснких символов>[/I]
При этом родительским процессом для данного является svchost.exe.

Поиск по гуглу только сегодня начал выдавать ссылку на подобную проблему: [url]http://www.threatexpert.com/report.aspx?md5=5948582fa955185d7e52fc5367ea13db[/url]

При проверке, как и там была найдена папка: %AppData%\KYL\fi.dat
После перезагрузки она появляется вновь. Файл fi.dat содержит одну строчку: <head>

Уважаемый(ая) [B]dj_al[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].

Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('D:\Documents and Settings\anya.FARMA\Главное меню\Программы\Автозагрузка\igfxtray.exe','');
QuarantineFile('D:\Program Files\TortoiseSVN\Languages\TortoiseProc1049.dll','');
QuarantineFile('c:\dos\atapi.sys','');
QuarantineFile('d:\windows\system32\ruslat.exe','');
DeleteFile('D:\Documents and Settings\anya.FARMA\Главное меню\Программы\Автозагрузка\igfxtray.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Повторите лог virusinfo_syscheck.zip и приложите в теме.

Сделайте лог MBAM:
[url]http://virusinfo.info/showthread.php?t=53070[/url]
и приложите.

Спасибо. Как это я сам пропустил:
[B]D:\Documents and Settings\anya.FARMA\Главное меню\Программы\Автозагрузка\igfxtray.exe
[/B]
Первым делом же все места автозагрузки проверял.

По остальным:
[B]D:\Program Files\TortoiseSVN\Languages\TortoiseProc1049.dll[/B] - это файл руссификации TortoiseSVN, скачан и установлен с их официального ресурса.
[B]c:\dos\atapi.sys[/B] - это вобще старый драйвер CD-ROM для DOS. Просто он прописан в старом config.sys, вот похоже и среагировало на него. :)
[B]d:\windows\system32\ruslat.exe[/B] - маленькая программка индикатор текущей раскладки. Ничего криминального там 100% нет, сам собирал с исходников.

Лог MBAM и повторного сканирования прилагаю. Карантин с теми файлами ,что нашёл AVZ тоже выслал.
Поползновения в инет на этот адрес после удаления [B]igfxtray.exe[/B] прекратились.
Надеюсь, что скоро Каспер научится ловить эту дрянь.

Ещё раз большое спасибо.

Отключите[B][COLOR="Red"] Системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] как- посмотреть можно тут[/URL]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('ljwrmmoi.sys','');
DeleteFile('ljwrmmoi.sys');
DeleteFile(':\documents and settings\anya.farma\application data\avdrn.dat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]