.. в ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes
Собственно, попадают туда адреса серверов обновления антивируса. Следовательно, либо вирус, либо его остатки.
Удаляешь эти маршруты оттуда, а они, падлы, туда снова пишутся...
Прям при входе в систему видно, как нагло запускается cmd.exe, и куча экзкмпляров route.exe.

Сканировал:
1. McAfee (собственно, он эту заразу на компьютер и пропустил)
2. CureIT-ом (после того, как снес макафи), в безопасном режиме.
3. Касперским (поставил после проверки CureIT-ом)
4. AVZ, Combofix, MBAM, KK, KLWK, OTC, CLRAV...

Все вроде чисто.

Можно почистить енту ветку от маршрутов вручную, или route -f, но при следующем входе в систему под админской учеткой эти маршруты появляются.
Ежли под рядовой учеткой- то ессно, маршруты не добавляются, но цуко explorer.exe грузит процессор на порядка 25 %.

И вот никак не могу найти, кто же гадит в реестр? Что за зверь?
Мож кто сталкивался?

Попробуй поиском текста в файлах пройтись

скрытый батник в корне С:\ ищи

roadster
погляди процесс експлорером что за гадость сидит. и удали

запущаешь регедит
находишь нужную ветку и жмахаешь пермишен
всем срубаешь права и на закладке адвансед убираешь крыжик наследовать от родительской ветки
наслаждаешься невозможностью туда писать...
ЗЫ! правда рецепт был написан не для этого случая, а для решения проблем актиации(когда его мелкомягкий придумал) - винда сама абламываиццо на запись

Кто-то с правами system туды пишет.
Но это борьба со следствием. У юзера с рядовыми правами и тек туда только чтение. Хочу победить причину.

Пробовал

Нету
Цуко он на лету создается и запускается...

Хм...
Не... Тут надо искать процесс, кторый в енту ветку пишет...

Пробовал, полпачки выкурил, не помогает

в свое время понял, что проще иметь маленький С:, ничего на нем не хранить и сразу рубить систему если появляются такие затупы.....

Раньше все просто было:
Отрубаешь через диспетчер задач процесс, выковыриваешь его в реестре из веток загрузки курент юзер\софтваре\майкрософт\виндовс\курентвершн\ран или ашкейлокалмашин\софтваре\майкрософт\виндовс\курентвершн\ все папки начинающиеся на ран, там его фигаришь, находишь файл обычно в папке виндовс (по названию процесса в реестре) убиваешь его и всё...на этом вирус заканчивает свою работу...а сейчас что то мутное....

Диспетчер задач не включаешься, в реестр не войти....какие то умные паразиты пошли....

не может быть, он же где то следы оставляет.и запускается не просто так, а при каких то действиях: загрузке, загрузке программ и т.д.

При входе в систему.
Создается пакетник, отрабатывает, удаляется...

значит точно где то бат есть))))

ну тогда ловить тварь по логу монитора реестра

roadster, попробуй поставить Outpost Firewall 7 - там есть контроль доступа к файлам и реестру. Запрети ему автоматически создавать правила (пусть спрашивает у тебя разрешение на запуск и изменение всего подряд). Скорее всего увидишь запрос типа "Приложение ... пытается изменить .... реестр"

roadster
попробуй в безопасном

вот эту прогу
Advanced SystemCare

А КIS не пробовал? Он все действия может контролировать, только вот вопрос. успеет ли он запустится...

DRWeb LiveCD нашел в system32 трояна Trojan.PWS.IBank.53
Стартовал он, собака из
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit
[/u]

Странно , что AVZ его не нашел...

Ага...

А что там в дефолте должно быть?

Что-то я туплю, сижу рядом с 7 машинами с ХР без вирусни, и спрашиваю, какой параметр должен быть