Какой-то вирус обрывает инет >.<

Интернет у меня стрим, вот 3 дня уже как началась проблема - появляется процесс drf"набор цифр"[1].htm и инет падает >.<
Прогонял через несколько антивиров, и вот сейчас сделал как у вас расписано - файлы вложил, надеюсь на вашу помощ

Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\PROGRA~1\DOWNLO~1\MDPPH.DLL','');
QuarantineFile('d:\program files\conexant\accessrunner adsl\cnxdsltb.exe','');
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, пришлите карантин AVZ, как написано в прил.3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]

В добавок к предыдущему совету :
1. Пофиксить в HijackThis ([url]http://virusinfo.info/showthread.php?t=4491[/url] )
[code]R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ar.atwola.com/redir/B0/V4Q6eNRdqiTRYJY0iTUCd4dMZncjABJBuBLF_QBda_GnnbeiTyFBLQ$$/http://bonanzaclub.ru/
O2 - BHO: (no name) - {AE1AA4FA-C3A2-4c33-90CD-69DD021A35C8} - (no file)
O20 - AppInit_DLLs:
[/code]
2.
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
[code]
begin
QuarantineFile('D:\Documents and Settings\-Main-\Local Settings\Temporary Internet Files\Content.IE5\N5ORO09Q\drf1173432132[1].htm.exe','');
QuarantineFile('D:\Documents and Settings\-Main-\Local Settings\Temporary Internet Files\Content.IE5\EXR04AMD\drf??????????[1].htm.exe','');
end.
[/code]
3. Почистите временные файлы ( вот один из возможных вариантов : [url]http://support.microsoft.com/kb/260897[/url]
4. Перегрузиться , скачать последнею версию AVZ [B]4.24[/B] !!! и обновить её базы , затем сделать все новые логи при помощи уже новой версии 4.24 и прикрепить к данной теме
5.Пришлите
те файлы ( из пункта 3 ) которые попадут в карантин AVZ по правилам. Oдинаковые не надо присылать .

Огромное списибо что проявили интерес к моей проблеме ребят, вот сделал все выше написанное -> файл прикрепил
Файлы по скрипту
begin
QuarantineFile('D:\Documents and Settings\-Main-\Local Settings\Temporary Internet Files\Content.IE5\N5ORO09Q\drf1173432132[1].htm.exe','');
QuarantineFile('D:\Documents and Settings\-Main-\Local Settings\Temporary Internet Files\Content.IE5\EXR04AMD\drf??????????[1].htm.exe','');
end.
в карантин не попали - выдавал ошибку какуюто

А какую ошибку выдавал ? аваст работал при выполнении скрипта ?
Почище стало, только вот ключ болтается от файла appmgmts.dll
Нужно попытаться сам файл найти, если нет,надо удалить ключик.
Фикс вы делали ? Изменения в логе нет, может когда прикрепляли, перепутали ? Если не перепутали повторить фикс и перегрузиться :
[code]R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ar.atwola.com/redir/B0/V4Q6eNRdqiTRYJY0iTUCd4dMZncjABJBuBLF_QBda_GnnbeiTyFBLQ$$/http://bonanzaclub.ru/
O2 - BHO: (no name) - {AE1AA4FA-C3A2-4c33-90CD-69DD021A35C8} - (no file)
O20 - AppInit_DLLs:

[/code]


где файлы, которые Numb просил прислать ?

Ошибку выдавал что-то типо : попытка прямого чтения - ошибка
Фикс я делал щас выложу ещё раз его, и карантин

Уберите, пожалуйста, virus.zip из вложений в теме и загрузите по ссылке "прислать запрошенные файлы" - она расположена в верхней части страницы.

[COLOR="Red"]Карантин слать сюда!!![/COLOR]
[url]http://virusinfo.info/upload_virus.php?tid=8339[/url]

d:\program files\conexant\accessrunner adsl\cnxdsltb.exe - Trojan-Downloader.Win32.Agent.awf (по Касперскому)
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, сделайте, пожалуйста, новые логи.
И еще: похоже, что данный троян подменил вполне легитимный файл - монитор состояния ADSL-модема. Скорее всего, корректно работать модем будет и при его отсутствии, но, на всякий случай, хорошо бы иметь под рукой драйвера к вашему ADSL-модему.

Все выше сказаное сделал

1. Скачайте утилиту [URL="ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe"]cureit![/URL]. Даже если закачивали ее раньше - закачайте еще раз. Перезагрузите машину в безопасном режиме (F8 в начале загрузки системы) и выполните проверку утилитой CureIt! в безопасном режиме.
2. Загрузитесь в обычном режиме. Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('d:\windows\system32\spool\drivers\w32x86\3\e_fatiaep.exe','');
DeleteFile('D:\Documents and Settings\-Main-\Local Settings\Temporary Internet Files\Content.IE5\EXR04AMD\drf1173694981[1].htm.exe');
DeleteFile('D:\Documents and Settings\-Main-\Local Settings\Temporary Internet Files\Content.IE5\EXR04AMD\drf1173694981[1].htm');
DeleteFile('D:\Documents and Settings\-Main-\Local Settings\Temporary Internet Files\Content.IE5\N5ORO09Q\drf1173679935[1].htm.exe');
DeleteFile('D:\Documents and Settings\-Main-\Local Settings\Temporary Internet Files\Content.IE5\N5ORO09Q\drf1173679935[1].htm');
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, загрузите содержимое карантина AVZ, если туда что-нибудь попадет, как написано в прил.3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]
3. Выполните новый лог исследования системы (п. 10 правил)

Программа cureit! скачалась, но при распаковке пишет что архив поврежден.
проверки и скрипт сделал (drf файлы появляются и появляются)
обновил карантин

cureit с 3 раза нормально скачалась )
проверку сделал, только вот логи ег никак не найду куда сохраняет он

Лог Cureit! по умолчанию располагается по этому пути: [code]%USERPROFILE%\DoctorWeb\CureIt.log[/code] Если возможно, поясните: вы лечение выполняли? Если да, после проверки и лечения CureIt!, остались ли признаки заражения?

Всю ноч и день небыло обрывов, но вот только что опять был обрыв >.<
Сейчас ещё раз сделаю cureit и выложу логи AVZ

Всё время находит какието 7 KiST
каждый рас вроде лечит их но всеравно потом их находит

Это Алкоголь семь функций перехватывает. AVZ их восстанавливает временно, до перезагрузки. То есть, тут ситуация нормальная, так и должно быть.

Ничего явно вредоносного не вижу.

однако инет всеравно рвется...
Правда процессов drf****** уже нету но появляется ещё какойто другой - его название выложу как появится ещё раз

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\documents and settings\\-main-\\local settings\\temporary internet files\\content.ie5\\exr04amd\\drf1173694981[1].htm - [B]Trojan.Win32.Dialer.ri[/B] (DrWEB: Dialer.Tiny)[*] d:\\documents and settings\\-main-\\local settings\\temporary internet files\\content.ie5\\exr04amd\\drf1173694981[1].htm.exe - [B]Trojan.Win32.Dialer.ri[/B] (DrWEB: Dialer.Tiny)[*] d:\\documents and settings\\-main-\\local settings\\temporary internet files\\content.ie5\\n5oro09q\\drf1173679935[1].htm - [B]Trojan.Win32.Dialer.ri[/B] (DrWEB: Dialer.Tiny)[*] d:\\documents and settings\\-main-\\local settings\\temporary internet files\\content.ie5\\n5oro09q\\drf1173679935[1].htm.exe - [B]Trojan.Win32.Dialer.ri[/B] (DrWEB: Dialer.Tiny)[*] d:\\documents and settings\\-main-\\local settings\\temporary internet files\\content.ie5\\n5oro09q\\drf1173717773[1].htm - [B]Trojan.Win32.Dialer.ri[/B] (DrWEB: Dialer.Tiny)[*] d:\\documents and settings\\-main-\\local settings\\temporary internet files\\content.ie5\\n5oro09q\\drf1173717773[1].htm.exe - [B]Trojan.Win32.Dialer.ri[/B] (DrWEB: Dialer.Tiny)[*] d:\\program files\\conexant\\accessrunner adsl\\cnxdsltb.exe - [B]Trojan-Clicker.Win32.Agent.jh[/B] (DrWEB: Trojan.DownLoader.18943)[*] d:\\windows\\system32\\spool\\drivers\\w32x86\\3\\e_fatiaep.exe - [B]Trojan-Clicker.Win32.Agent.jh[/B] (DrWEB: Trojan.DownLoader.18943)[/LIST][/LIST]