С неделю назад в бухгалтерии поселился некий вирус. Касперский 6.0 для Windows Workstations при проверке системы вируса не обнаруживает, так же не видит этот вирус на флешках и других съемных носителях. Вручную я этот вирус удалял, но через некоторое время он опять просачивается на компьютер бухгалтера и не дает нормально работать в сети Интернет. Антивирусные базы обновляются каждый день. Восстановление системы отключено. Автозапуск на все устройства отключен. Никак не могу понять, как он просачивается в систему в обход антивируса?

Вирус постоянно создает соединение z-connect.
В директории C:\Documents and Settings\%username% создаются файлы на которые, перед вылетом интернет соединения, ругается Каспер на попытку дозвона на номер 8,,1037091022347.
В корне локального диска С: появляется скрытая папка с файлом C:\Zolander\Polanda\box.exe.
В логах каспер пишет
14.12.2009 13:29:38 Процесс C:\Zolander\Polanda\box.exe (PID: 2732): попытка внедрения в другой процесс разрешена.
14.12.2009 13:29:51 Процесс C:\Documents and Settings\user\p3a2v18r7.exe (PID: 2716): попытка внедрения в другой процесс разрешена.

Хотя в доверенной зоне этих файлов нет и в интерактивном режиме мне не предлагалось заблокировать или разрешить доступ этого файла. Вновь созданные вирусом файлы после проверки каспером, опять же, не дают никакого результата.
Проверка CureIt!-ом показывает на вирус - Trojan.MulDrop.51336
Но CureIt! не ловит вирусы "на лету" и лицензия куплена на касперского, потому хочу найти решение для предотвращения попадания данного вируса на компьютеры в нашу организацию.

===================
Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{23MAD6M8-1MAD-77AD-JIM1-73OP5G7769085}');
DelCLSID('{23MAD6M8-1MAD-77AD-JIM1-73OP5G3369085}');
QuarantineFile('c:\DEEP\FREEZ\xob.exe','');
QuarantineFile('c:\Zolander\Polanda\box.exe','');
DeleteFile('c:\Zolander\Polanda\box.exe');
DeleteFile('c:\DEEP\FREEZ\xob.exe');
DeleteFileMask('c:\Zolander', '*.*', true);
DeleteDirectory('c:\Zolander');
DeleteFileMask('c:\DEEP', '*.*', true);
DeleteDirectory('c:\DEEP');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

=================
z-connect остался, скрытые папки Zolander тоже, инет пока работает, но 15мин не показатель еще думаю...
=================
Выполните скрипт в AVZ

begin
DeleteFileMask('F:\Zolander', '*.*', true);
DeleteDirectory('F:\Zolander');
DeleteFileMask('C:\Zolander', '*.*', true);
DeleteDirectory('C:\Zolander');
RebootWindows(true);
end.

Компьютер перезагрузится.

Подключение z-connect удалите в списке подключений. Проверьте, появилось ли это подключение после перезагрузки
=================
Итог лечения

--------------------------------------------------------------------------------

Статистика проведенного лечения:
Получено карантинов: 2
Обработано файлов: 4
В ходе лечения обнаружены вредоносные программы:
f:\autorun.inf - Trojan.Win32.AutoRun.op ( BitDefender: Trojan.Script.245901, NOD32: Win32/AutoRun.KS worm )
f:\zolander\polanda\box.exe - Worm.Win32.VBKrypt.v ( DrWEB: BackDoor.Bifrost.8, BitDefender: Worm.Generic.103833, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Malware-gen )

==============
==============
Поймал вирус.Загружается Windows до рабочего стола и нельзя нажать не на что. Как будто фотография на раб.столе.
=============
сделай востановление системы, 100 % помогает

Источник: личный опыт
=================
Загрузись в безопасном режиме (во время загрузки кликайте кнопку F8) и проверьте антивирусом отсюда(http://www.freedrweb.com/cureit/) свой компьютер. Если не поможет, в безопасном режиме проверь автозагрузку (Пуск - Выполнить - ввести команду msconfig и затем Ок. Вкладка Автозагрузка). Как почистите, перезагрузитесь в обычный режим. Все должно прийти в норму.
================
Уважаемый,могу посоветовать попробовать программу "акронис диск директор"заходим в С: и ищешь то чего не было)),например zolander polanda или deep, (при таких же симптомах именно в этих папках была причина,там распологался файл:DeSKtOP.ini)после долгой и нудной проверки компьютера в ручную)))))и удаления этих файлов и папок все заработало.папки дип и поландер распологались на с:в аппликешн дата,в документах и сеттингах)))но это частный случай!!!у вас может быть по-другому,но акронис рекомендую,это поможет хотя б добраться до файлов)))удачи!!!!