Autoran

Все как обычно авторан прописывается на флэшки в корне, создается каталог Restore, видимо с телом. NOD32 и KIS7 не видят.

Зловред после удаления указанных частей на здоровом компьютере с флэшки не распространяется.

Плюс системная ошика при загрузке (к сожалению не было времени переписать).

Большое спасибо!

прошу прощения... autorun. Сам не знаю как так получилось...

Закройте все программы.
Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
DelCLSID('8933B362-0999-442B-50D5-D2ECC5986D24');
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187563');
QuarantineFile('C:\WINDOWS\system32\services32','');
QuarantineFile('gdi16.dll','');
QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\Wins32.exe','');
QuarantineFile('C:\WINDOWS\msagent\msagent.exe','');
QuarantineFile('c:\windows\help\svchost.exe','');
DeleteFile('c:\windows\help\svchost.exe');
DeleteFile('C:\WINDOWS\msagent\msagent.exe');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\Wins32.exe');
DeleteFile('C:\WINDOWS\system32\services32');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.

Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

Вот то, что запрашивали. Только сейчас выполнял скрипт с воткнутой флешкой.

Но сейчас после удаления вручную с флешки autorun и RESTORE, они снова не появляются.

Выполните скрипт через меню Файл:
[code]
begin
DeleteFile('F:\autorun.inf');
DeleteFile('gdi16.dll');
ExecuteSysClean;
end.
[/code]

Проведите процедуру, описанную в первом сообщении тут: [url]http://virusinfo.info/showthread.php?t=3519[/url]

Возможно что-то осталось.
После произведенных действий компьютер начал тормозить.
Функционально - вроде все работает. Авторан не проявлялся.
Высылаю новые логи.

[url=http://virusinfo.info/showpost.php?p=64376&postcount=1]Пофиксте[/url] в HijackThis следующие строки:
[quote]
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O20 - AppInit_DLLs: gdi16.dll
[/quote]

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
QuarantineFile('C:\WINDOWS\system32\drivers\ipv6to4.sys','');
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

вот

[QUOTE='Bunch;438655']вот [/QUOTE]
Нет карантина с файлом ipv6to4.sys

Прошу прощения, были проблемы с инетом. Карантин закачан.

Извините за назойливость. Можно напомнить о себе

[size="1"][color="#666686"][B][I]Добавлено через 6 часов 48 минут[/I][/B][/color][/size]

?????

Ответа по файлу ipv6to4.sys пока нет.
[url]http://www.virustotal.com/ru/analisis/b6fdd04c5402357b87312b9cfb8957904e6209a6b1dbedadd4f14f0816b1fe9e-1248806075[/url] - F-Prot его детектирует как троян, но это не факт.
Вам, вообще, нужен протокол IP 6 версии?

К сожалению не совсем понимаю, что дает 6 версия.
В сети и на шлюзе адресация в 4-й. Все работает. Но не уверен, что она не используется.
Компу нужен только инет со шлюза. Никаких даленных доступов и т.п., просто юзерский инет и все.

Я тоже не могу поделится практическим опытом использования IPv6. Знаю про него только по наслышке, например это: [url]http://www.xakep.ru/post/48840/default.asp[/url]

Таки может его прибить. Вроде в XP его по умолчанию нет. Я его не устанавливал.

Переименуйте файл C:\WINDOWS\system32\drivers\ipv6to4.sys в Безопасном режиме.
Перезагрузитесь и посмотрите как будет работать компьютер.

сделано. вроде проблем не замечено. все то, что нужно работает.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\restore\k-1-3542-4232123213-7676767-8888886\wins32.exe - [B]Worm.Win32.AutoRun.asux[/B] ( DrWEB: Win32.HLLW.Autoruner.6647, BitDefender: Trojan.Generic.2066869 )[*] c:\windows\help\svchost.exe - [B]HEUR:Trojan.Win32.Generic[/B][/LIST][/LIST]