Не открываются сайты антивирусной тематики (заявка №107370)

[CyberHelper]

Пользователь обратился в сервис 911, указав на следующие проблемы в работе его компьютера:
Ось - Win XP sp3 i386.
Не открываются сайты антивирусной тематики: kaspersky.ru, drweb.com, virustotal.com.
Вместо них происходит редирект по ссылке вида http://yandex.ru/?ncrnd=здесь_рандомные_цифры

Файл hosts пуст. Очистка днс-кеша не помогает. В FF 5, IE7, Opera 11 поведение идентично.

nslookup kaspersky.ru показывает верный ip - 212.5.89.11
ping kaspersky.ru резолвится в ya.ru - 77.88.21.3
В качестве днс-резолверов используются гугловые сервера (8.8.8.8)
В безопасном режиме поведение аналогично.

radmin, teamviewer и openvpn были установлены задолго до, и о них известно.
Так же установлен microsoft security essentials уже в течение довольно длительного времени - ничего подозрительного.

Система была проверена kaspersky removal tool, drweb cureit - ничего подозрительного.

Заражение произошло ориентировочно около недели назад. Пользователь смотрел через google chrome сайты взрослой тематики. В какой то из моментов хром упал с ошибкой. Сегодня при открытии хрома произошло то же самое - хром падает, запускается drwatson.
Дата обращения: 18.08.2011 22:55:14
Номер заявки: 107370

[CyberHelper]

18.08.2011 23:30:05 на зараженном компьютере были обнаружены следующие вредоносные файлы:

1. c:\\openvpntech\\bin\\instant-xmlserv.exe - подозрительный, обрабатывается вирлабом
   
   • размер: 1012386 байт
   • дата файла: 15.12.2009 21:05:20
2. C:\\OpenVPNTech\\bin\\libascli.dll - подозрительный, обрабатывается вирлабом
   
   • размер: 520066 байт
   • дата файла: 04.12.2009 5:33:08
3. C:\\OpenVPNTech\\bin\\libcurl.dll - подозрительный, обрабатывается вирлабом
   
   • размер: 242688 байт
   • дата файла: 22.11.2009 0:27:52
   • версия: "7.19.6"
   • копирайты: "© 1996 - 2009 Daniel Stenberg, <[email protected]>."
4. C:\\OpenVPNTech\\bin\\libeay32.dll - подозрительный, обрабатывается вирлабом
   
   • размер: 1206784 байт
   • дата файла: 22.11.2009 0:27:52
5. C:\\OpenVPNTech\\bin\\libssl32.dll - подозрительный, обрабатывается вирлабом
   
   • размер: 232448 байт
   • дата файла: 22.11.2009 0:27:54
6. C:\\temp\\_uninst_62451096.bat - подозрительный, обрабатывается вирлабом
   
   • размер: 139 байт
   • дата файла: 18.08.2011 21:14:00
7. C:\\WINDOWS\\system32\\AVC_AX_742_VIEWER.dll - подозрительный, обрабатывается вирлабом
   
   • размер: 925696 байт
   • дата файла: 11.06.2010 19:48:22
   • версия: "1.0.9.5"
   • копирайты: "AVTECH. All rights reserved."
8. C:\\WINDOWS\\system32\\drivers\\btusbflt.sys - подозрительный, обрабатывается вирлабом
   
   • размер: 43688 байт
   • дата файла: 22.12.2008 16:05:06
   • версия: "6.2.0.7100"
   • копирайты: "Copyright 2000-2007, Broadcom Corporation."
9. C:\\WINDOWS\\System32\\Drivers\\sptd.sys - подозрительный, обрабатывается вирлабом
   
   • размер: 717296 байт
   • дата файла: 16.01.2011 3:23:56
   • версия: "1.56.0.0 built by: WinDDK"
   • копирайты: "Copyright (C) 2004"
10. C:\\WINDOWS\\System32\\Drivers\\sptd.sys - подозрительный, обрабатывается вирлабом
    
    • размер: 717296 байт
    • версия: "1.56.0.0 built by: WinDDK"
    • копирайты: "Copyright (C) 2004"

[CyberHelper]

19.08.2011 12:30:06 на зараженном компьютере были обнаружены следующие вредоносные файлы:

1. c:\\temp\\24.tmp - Backdoor.Win32.Shiz.raj
   
   • размер: 222208 байт
   • дата файла: 18.08.2011 19:32:58
   • версия: "6.9.0.1"
   • копирайты: "Kerat"
   • детект других антивирусов: DrWEB 6.0: Зловред Trojan.DownLoader4.46033
2. c:\\temp\\26.tmp - Backdoor.Win32.Shiz.raj
   
   • размер: 222208 байт
   • дата файла: 18.08.2011 21:57:04
   • версия: "6.9.0.1"
   • копирайты: "Kerat"
   • детект других антивирусов: DrWEB 6.0: Зловред Trojan.DownLoader4.46033

[CyberHelper]

19.08.2011 15:02:58 лечение успешно завершено