Поселился DownLoader

Проблемы на компьютере дочери. При включении сети начинается активный обмен с инетом, DrWeb 4.44 в этот момент обычно находит Trojan.Downliader.39204.
При включенной сети в процессах иногда появляется IEXPLORE.EXE (стоит Maxton), процессор сильно грузится и идет обмен с инетом.
AVZ 4.29 находит и удаляет Email-Worm.Win32.Agent, спустя некоторое время он снова появляется. При открытии флешки или CD иногда система на некоторое время зависает, System в это время грузит процессор на 99%. Один раз на флешке обнаружил файлы вируса Trojan.Downloader.36484.
DrWeb 4.44 на этом компе не видит их, хотя на других компах он это троян обнаруживает.
Стоит DrWeb 4.44.

И? Логи нужны..
[url]http://virusinfo.info/showthread.php?t=1235[/url]

Ищу как отправить, думал после отправки сообщения можно добавить логи, а теперь как

Кажется нашел

1.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE] F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,[/CODE]

2.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('Iot84');
StopService('Elr85');
QuarantineFile('C:\WINDOWS\system32\Drivers\Elr85.sys','');
QuarantineFile('C:\WINDOWS\Iot84.sys','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys','');
DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportALL;
BC_QrFile('C:\WINDOWS\System32\Drivers\Elr85.sys');
BC_QrFile('C:\WINDOWS\System32\Drivers\Elr85.sys');
BC_QrSvc('Iot84');
BC_QrSvc('Elr85');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=17059[/url]

Затем выполните такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Elr85');
StopService('Iot84');
StopService('smtpdrv');
SetServiceStart('smtpdrv', 4);
SetServiceStart('Iot84', 4);
SetServiceStart('Elr85', 4);
DeleteFile('C:\WINDOWS\system32\Drivers\Elr85.sys');
DeleteFile('C:\WINDOWS\Iot84.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Iot84.sys');
DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportALL;
BC_DeleteSvc('Iot84');
BC_DeleteSvc('Elr85');
BC_DeleteSvc('smtpdrv');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
обновите базы AVZ и сделайте новые логи.

Не помогло. Восстановление системы было выключено.
После лечения HijackThis удаляемый код на месте.
После перезагрузки система говорит, что восстановлена после серьезной ошибки (уточняю, восстановление выключено). При включении сети DrWeb отлавливает троян.

Попробую второй скрипт

Пофиксил HijackThis и выполнил второй скрипт, строчки с ntos.exe не стало.
После перезагрузки, попробовал включить сеть, система вылетела с сообщением - неожиданная остановка служб серверных приложений DCOM (кажется так).
Что то не то. DrWeb по прежнему не видит на флешке Trojan.Downloader.36484 (храню в отдельной папке для теста). Базы почти последние. Другой комп с этими базами его видит.
При включении сети много пакетов шлется в инет.
Новые логи прилагаю

Стало существенно чище, но кое-что осталось.

Выполните такой скрипт:
[code]
begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Elr85\0000', 'CSConfigFlags', '1');
BC_QrFile('C:\WINDOWS\System32\drivers\Elr85.sys');
BC_QrFile('G:\autorun.inf');
BC_DeleteSvc('Elr85');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Elr85.sys');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
[/code]
Пришлите весь карантин через эту форму:
[url]http://virusinfo.info/upload_virus.php?tid=17059[/url]

Прикрепите к сообщению файл [b]boot_clr.log[/b] из папки с AVZ.

Сделал. Карантин загрузил (Файл сохранён как080127_082807_virus_479c94f738577.zip). Тормозов при открытии флешки или CD вроде нет. С сетью все так же, шлются пакеты. Трояна на флешке ДрВеб по прежнему не видит.

Диск G: это флэшка или CD/DVD?
Сделайте новый лог syscheck (п.10 правил).

G: это DVD, дочь в Симсов играет. Логом сейчас займусь.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Ошибся это флешка. Блин, там прописались какие то скрытые файлы. ДрВеб их на моем компе не признает. Еще и свой комп лечить придется :(.

Переустановил ДрВеб 4.44 с последними базами.
Проверил папку Windows, вирусов не обнаружено.
На флешке обнаружился BackDoor.Bulknet.132, На CD с Симсами в авторуне сидит Trojan.Downloader.origin.
Остается впечатление, что в системе сидит какая-то зараза
Новый лог прилагаю

Я больше ничего плохого не вижу.

Буду смотреть.

Спасибо!

Все таки, если не затруднит, какая зараза сидела?

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]