Опять в системе ХР появился Autorun.inf, что только не делал, отключил автозагрузку, лечил разными прогами не могу вывести из системы. Переустанавливать не могу, на компе вертится прокси всей фирмы. Вставляю читую флэшку и он пишется в нее через несколько секунд. Удаляю в Farе опять появляется через несколько секунд. Каспер 8-й его не видит, так как система заражена. А вот на чистой системе каспер его ловит. Система тормозит, медлено открываются сетевые диски, больше ничего не замечаю. Подскажите, где он лежит, как с ним справиться?

Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему. (http://forum.oszone.net/thread-98169.html)

Через несколько минут выложу

Autorun.inf »создай с таким именем папку Autorun.inf и все.
Я себе так зделал на флэшке теперь не какой авторан не лезит как уже 2 месяца :)

Немогу найти логи AVZ, программа отсканировала, но ничего не нашла. Если не можете помочь, удаляйте тему.

intranet, дело не в том что она пишет во флэшку, а втом что система тормозит.

Просканировал еще раз AVZ что -то нашел, скоро выложу логи.

Логи прикрепил, помогите.

Dokas, Здравствуйте. Не хватает лога hijackthis
Проверьте файлы
C:\Program Files\\Outlook Express\setup50.exe
C:\WINDOWS\system32\drivers\cctrlu.sys
На virustotal.com или virscan.org, ссылку на рез-т проверки выложите.

Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html), отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe','');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
RebootWindows(true);
end.
Для защиты от вирусов типа autorun.inf рекомендую отключить автозапуск (http://forum.oszone.net/showpost.php?p=825101)
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files]
"*.*"=""

Скачайте Flash Drive Disinfector (http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe) и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf

Обновите Java Runtime Environment (JRE) (http://java.sun.com/javase/downloads/index.jsp)
Скачайте JavaRA (http://raproducts.org/) здесь (http://raproducts.org/click/click.php?id=1) или здесь (http://prm753.bchea.org/javara.zip)
Распакуйте, запустите, выберите "Remove Older Versions",
Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"
Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) (http://java.sun.com/javase/downloads/index.jsp) с сайта производителя.

Повторите логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и сделайте лог hijackthis

Ок, постараюсь все сделать завтра на работе. Хотя не совсем понял как сделать лог hijackthis. Автозапуск у меня отключен и давно, даже не знаю как могло произойти заражение. Большое спасибо за вашу работу.

Хотя не совсем понял как сделать лог hijackthis »
Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". С блокноте откроется файл, запакуйте его и вложите в сообщение или выделите (Ctrl+A) и скопируйте текст (Ctrl+C) из окна лога и вставьте в свое сообщение (Ctrl+V)

Прикрепил, ща буду чистить.

C:\Program Files\\Outlook Express\setup50.exe
C:\WINDOWS\system32\drivers\cctrlu.sys »
Такие файлы по указанному пути не нашел.

Повторный

Такие файлы по указанному пути не нашел. »
Показ скрытых файлов включали? С помощью AVZ - сервис - поиск файлов пробовали искать?
Если файлов нет, значит можно почистить скриптом.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\\Outlook Express\setup50.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\cctrlu.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\cctrlu.sys');
DeleteFile('C:\Program Files\\Outlook Express\setup50.exe');
DelCLSID('44BBA840-CC51-11CF-AAFA-00AA00B6015C');
DelCLSID('7790769C-0471-11d2-AF11-00C04FA35D02');
DeleteService('cctrlu0');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Запустите HiJackThis (http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe), нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: (no name) - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file)
WinPcap рекомендую деинсталлировать, если не требуется для работы.
Проблемы ещё наблюдаются?

Показ скрытых файлов включали? С помощью AVZ - сервис - поиск файлов пробовали искать?
Если файлов нет, значит можно почистить скриптом.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\\Outlook Express\setup50.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\cctrlu.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\cctrlu.sys');
DeleteFile('C:\Program Files\\Outlook Express\setup50.exe');
DelCLSID('44BBA840-CC51-11CF-AAFA-00AA00B6015C');
DelCLSID('7790769C-0471-11d2-AF11-00C04FA35D02');
DeleteService('cctrlu0');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. »
Показ скрытых файлов конечно включен, но их нет. AVZ их тоже не видит.
Запускать этот скрипт в AVZ?
Проблема с Autoranом решилась, а вот открытие сетевых дисков что то смущает. Периодически открытие сетевых дисков подвисает секунд на 5-10. Может это уже не вирус? Может это другие проблеммы в сети?

Запускать этот скрипт в AVZ? »
На ваше усмотрение, скрипт просто почистит реестр, раз файлов нет.
Может это другие проблеммы в сети? »
Может. Попробуйте воспользоваться утилитой WinsockFix (http://www.winsockfix.nl/), предварительно запомните настройки сети.

Попробуйте воспользоваться утилитой WinsockFix, предварительно запомните настройки сети. »
Пошел по ссылке, скачал утилитку, но не понял её предназначение, что она фиксит?

Сбрасывает настройки Winsock

Выполнил все ваши рекомендации. Вот что заметил:
1.при создании новой папки на сетевом диске система подвисает секунд на пять (это только первый раз, когда заходишь на этот диск, потом папки создаются на ура) затем папка создается и все работает.
2.В диспетчере задач пропали имена пользователей от кого запущена служба или программа, показывает только "бездействие системы" запущено от SYSTEM, остальные процессы - пустое имя пользователя. Это похоже на действия вируса.
Как это исправить?

Да, и еще чуть не забыл, так же долго открываются вордовские файлы с сетевых дисков (секунд 10). Сетевые диски это файловый сервер на Win Server2003. Раньше такого не было, подскажите, что сделать?