Не любитель влазить чужие дисскусии, но эту тему я далеко не сразу нашел, и похожие симптомы. Сейчас уже в 3 раз сканирую вебом livecd, и только с этого раза нашел где полную проверку сделать. Помимо таких же фалов как у топик-статера, есть еще trojan.inject1.45213 который пришел из почты (как точно письмо называлось или тема или отправитель - незнаю, в вебе-лайв сейчас написано otcet_za 02102014-1c.com причем само письмо это сейчас вытащить не могу, оно в the bat. ни доктор веб антивирус никто ни пикнул ничего когда когда было это письмо. Единственное что было странно - с утра guard доктора веба спросил подтвердить изменения winlogon.exe, который распологался в windows/system32/ мы долго думали, но запретили. С тех пор интернет через браузер (и не только) при включенном брандмаузере не работает. С чего я и решил скачать livecd и пройтись им.
показывал drh:lspChanger.corrupted и показывал DRH:userinitBlocker.corrupted
тоже все сегодня обнаружилось, что не очень радует.
пока никакие отчеты и логи не приложу, потому что компьютер все еще сканируется в dr.web livecd.
все это особенно странно учитывая , что на компьютере стоит dr.web 9.1 со всеми апдейтами, все включено (включая брандмаузер веба) и включена защита файлов от изменений. И при этом какая то лабуда так легко может залезть на компьютер.
на почтовом клиенте the bat включен html, что меня не очень радует, видимо за счет этого вредоносное программное обеспечение и залез.
P.S. в папке system32 есть только два файла новых (сегодняшних) в корне. оба вида "7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0".
P.S.S. файл host чист и без изменений, файл svchost.exe на месте, чист и без изменений. все что описано на сайте веба по trojan.inject1.45213 не подтвердилось, либо оно себя спрятало, либо это вообще не оно.