Здравствуйте. Сегодня с утра на 4 компьютерах, находящихся в совершенно разных местах - одна и та же фишка - после приглашения - на перезагрузку. На всех 4-ех компьютерах в каталоге C:\Windows и C:\Windows\System32 сидят cru629.dat, baviax.exe и hp32_nword.exe. В безопасном режиме компьютеры грузятся, но антивирусные программы не загружаются (кроме avz, если ее переименовать). После загрузки с лайв сд и проверки cureit с флешки все эти файлы удаляются с диска (cru629.dat определяется как троян.прокси1769), поиск этих файлов по реестру - все ссылки удалил, но после перезагрузки в обычном режиме эти файлы опять на месте. В систрее висит такое сообщение, что
"Yuor computer is infection". А в авз опять в автозагрузке сидит cru629.dat. Никто не сталкивался с таким? Спасибо.

http://pic.ipicture.ru/uploads/090804/thumbs/SUMmHhCUm7.jpg (http://ipicture.ru/Gallery/Viewfull/21742989.html)
вот так выглядит сообщение

сделай логи АВЗ стандартный скрипт 3 и 2....
дай посмотреть, поищем....

нашел в сети инфу про связку braviax+cru629+users32
Вроде понятно, что делать

Magirus пока не могу - проверяю с лайв сд - как закончится - логи авз выложу

После загрузки с лайв сд и проверки cureit с флешки все эти файлы удаляются с диска
А ты перед лечением восстановление системы отключал?

А ты перед лечением восстановление системы отключал?
Да

Вроде как проблема решилась таким образом
В авз выполнить скрипт

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINNT\System32\Drivers\Beep.SYS');
DeleteFile('C:\System Volume Information\_restore{C0C9F45F-2D3B-4713-97CF-DDDA4064BE0A}\RP95\A0002477.exe');
DeleteFile('C:\System Volume Information\_restore{C0C9F45F-2D3B-4713-97CF-DDDA4064BE0A}\RP95\A0002416.exe');
BC_ImportDeletedList;
BC_DeleteSvc('Beep');
BC_DeleteFile('cru629.dat');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После этого перезагрузка, sfc /scannow, т.к. система начинает ругаться на замененный beep.sys (вот на этот файл не ругался ни один антивирус), значок в систрее пропал, авз все в норме. Все программы стали нормально открываться.

Magirus, логи с авз с плохих машин выложу позже, как до них доберусь. Я исправляющий скрипт запустил еще до твоего сообщения :)

угу.

пишу уже с излеченной машины :)
Пока лазил по сети в поисках описания заразы, натолкнулся на несколько ссылок по поводу программы SDFix - что, типа, только она и может и предназначена для выявления таких вот шпионов. Я ее скачал, но при установке мой антивирус на нее начал дико ругаться и сразу же почикал установщик. Решил не ставить пока - если кто ею пользовался - поделитесь мнением. Спасибо.

http://virusnet.info/forum/showthread.php?t=512
про SDFix...

На всех 4-ех компьютерах все было абсолютно одинаково. Файлы braviax.exe и cru629.dat антивирусное ПО обнаруживало и удаляло, а вот подмену файла beep.sys в каталоге C:\Windows\System32\Drivers не видел никто. Причем новый, "левый" beep.sys от 04.08.2009 лежал уже и в C:\Windows\System32\dllcache. Когда стало понятно, что он всему виной - дальше или просто заменить его на правильный с рабочей машины или sfc /scannow. Но вот обнаружить его потребовалось много времени. Всем спасибо за помощь