Замучили Trojan.Proxy и Trojan.PWS.GoldSpy

На компе установлен Dr.Web с последними обновлениями. Неделю назад с трудом вылечился от VBS.Igidak. И вот новая напасть. После очередной перезагрузки компа появилось сообщение от Spider Mail, что он не может перехватывать сетевые соединения, и что возможно на компьютере установлен proxy клиент, сетевой экран или иная программа, препятствующая его работе. Комп подключен к локалке и к интернету через ADSL-модем, который одновременно является и маршрутизатором. У данного маршрутизатора IP-адрес 192.168.1.1. На подключенном к нему компьютере было выставлено "Получить IP-адрес автоматически", т.е. IP-адрес получался 192.168.1.2, тип адреса был "Присвоен DHCP", маска подсети 255.255.255.0 и основной шлюз 192.168.1.1. После появившегося сообщения от Spider Mail (см. выше) все параметры на компе сбились: IP-адрес стал 169.254.23.83 (на месте 23.83 после перезагрузок появлялись 198.124 и др.), тип адреса был "Автоматический частный IP-адрес", маска подсети 255.255.0.0 и основной шлюз - пусто. Запустил Dr.Web - он нашел в папке Windows\System32\ много файлов drw<буквы,цифры>.tmp, инфицированных Trojan.Proxy.1406. Я их все удалил. После перезагрузки и повторного сканирования в этой же папке был обнаружен файл c_437b.exe, инфицированный Trojan.Proxy.1405. Тоже его удалил. Далее, пошел по шагам, описанным в Ваших правилах выполнения проверки компа. DrWeb - CureIT! нашел в папке Windows\System32\ в файле msvcrl.dll вирус Trojan.PWS.GoldSpy. Вылечить не смог - удалил. Теперь без этого файла не запускается Internet Explorer. Я пробовал выставлять на компе принудительно IP-адрес 192.168.1.2, маску подсети 255.255.255.0 и основной шлюз 192.168.1.1. Локалка при этом вроде как появляется, но интернет всё равно не работает. Также пробовал искать и удалять в реестре ссылки на IP-адреса, начинающиеся с 169.254 - они появляются снова. Что можно еще сделать? Подскажите, пожалуйста. Высылаю полученные логи.
Заранее спасибо.

AVZ -> Файл -> Выполнить скрипт:

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Installer\{91110419-6000-11D3-8CFE-0050048383C9}\misc.exe','');
QuarantineFile('C:\Program Files\Birthday\birthmil.exe','');
CreateQurantineArchive(GetAVZDirectory+'virusinfo_8146_quarantine.zip');
AutoFixSPI;
RebootWindows(true);
end.[/CODE]

После перезагрузки, найти в папке AVZ файл virusinfo_8146_quarantine.zip и прислать его нам через эту [URL="http://virusinfo.info/upload_virus.php?tid=8146"]форму[/URL].

Файл virusinfo_8146_quarantine.zip послал.
После выполнения скрипта и перезагрузки компа, такое впечатление, что всё вылечилось. По крайней мере локалка и интернет заработали. Причем IP-адрес 192.168.1.2. Не заработал, единственное, Internet Explorer из-за отсутствия файла msvcrl.dll. И файл virusinfo_8146_quarantine.zip как мне показалось почему-то пустой. Так и должно быть?

[QUOTE]И файл virusinfo_8146_quarantine.zip как мне показалось почему-то пустой.[/QUOTE]

Да архив действительно пустой. :(

В HijackThis пофиксите эти строки:

[CODE]O4 - Startup: BIRTHDAY! millennium.lnk = C:\Program Files\Birthday\birthmil.exe

O4 - Startup: Панель Microsoft Office.lnk = C:\WINDOWS\Installer\{91110419-6000-11D3-8CFE-0050048383C9}\misc.exe

O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing[/CODE]

Плюс,
AVZ -> Файл -> Выполнить скрипт:

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('msvcrl.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]

После этого повторите два последних лога из правил.

Сделал всё как Вы написали. Правда кода "O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing" в HijackThis не оказалось. Высылаю логи.

[quote]Не заработал, единственное, Internet Explorer из-за отсутствия файла msvcrl.dll.[/quote]
Ваш файл C:\Program Files\Internet Explorer\IEXPLORE.EXE был изменен трояном. Для его исправления замените его из дестрибутива Windows XP или воспользуйтесь утилитой Haxfix [url]http://users.telenet.be/marcvn/tools/haxfix.exe[/url] установите, после запуска из меню выберите 2. Run auto fix.

Заменил файл из дистрибутива - IE заработал. Muffler и AndreyKa, большое спасибо, очень выручили.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]0[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]