неубиваемые процессы 2m.exe, daleko.exe, ftp.exe

[Vadd]

Начал тормозить и самопроизвольно закрываться Интернет эксплорер. Касперский перестал запускаться, при переустановке устанавливается, но доходит только до запуска мастера настройки, потом ничего не происходит. Утилиты Касперского clrav и klwk ничего не обнаружили. Поиск на диске с внешней системы с помощью KAV и Avira тоже ничего не обнаружил. В списке процессов фигурируют заменяющие друг друга с периодом в пару минут 2m.exe, daleko.exe, ftp.exe. При работе они формируют файлы типа C:\Documents and Settings\Local Settings\Temp\2m.exe. Стирание этих файлов или убивание процесса естественно ничего не дает,они возрождаются снова. Что удивительно, даже поиск в интернете информации по названиям этой дряни (2m.exe, daleko.exe) вообще ничего не нашел.
Спасибо заранее.

[kps]

Скачайте вот этот AVZ: http://rapidshare.com/files/116949749/pingpong.pif.html
Запустите его.
Выполните в нем скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\Reset_AKVIS_Retrial.exe','');
 QuarantineFile('C:\Program Files\Common Files\onOne Software Shared\lt_lib_gf_iconShellEx.dll','');
 QuarantineFile('C:\Program Files\Common Files\fjOs0r.dll','');
 QuarantineFile('C:\Program Files\Internet Explorer\OnlO0r.dll','');
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\ffice.exe','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\vserial.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\VSD2XX.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\VKDriver.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\VICPRT00.SYS','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\usbgx_2.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\tsusbser.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\stinmdm.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\stinmdfl.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\stinbus.sys','');
 QuarantineFile('D:\nokia\Knok\printio.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\P2k.sys','');
 QuarantineFile('D:\ericsson\DIV\ntportio.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\mssbox.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\gxdlusb.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\gggen.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ftser2k.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ftdibus.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\NSD2XX.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ftcusb.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ftcser2k.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\XPROTECTOR.SYS','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\UserPort.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
 QuarantineFile('c:\windows\system32\wuauserv.dll','');
 QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
 QuarantineFile('c:\docume~1\АДМИНИ~1\locals~1\temp\2m.exe','');
 DeleteFile('c:\docume~1\АДМИНИ~1\locals~1\temp\2m.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\ffice.exe');
 DeleteFile('C:\Program Files\Internet Explorer\OnlO0r.dll');
 DeleteFile('C:\Program Files\Common Files\fjOs0r.dll');
 DelBHO('{C2626E66-D21B-E628-C1DF-1DACCFA36ED2}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=24216 ).

Выполните отсюда http://virusinfo.info/showthread.php?t=15927 пункт 1. У Вас признаки файлового вируса.
Пришлите файл avz.exe (которым Вы делали первые логи) нам по правилам.

Потом сделайте новые логи.

[Vadd]

Карантин и утилиту выслал, Cureit в нормальном режиме ничего не нашел. Логи снял новой утилитой.

[AndreyKa]

Отключите службу восстановление системы (см. Приложение 1 Правил).
После перезагрузки ее можно включить.

Присланный avz.pif не заражен, наверное, просто старая версия.

Проблем больше нет?

[Vadd]

Да, похоже, что заработало, "левых" процессов не наблюдатся, полет несколько часов нормальный. Огромное спасибо!
Есть ли какие рекомендации, выяснилось ли, в чем причина?

[AndreyKa]

Дело было в файле
C:\Documents and Settings\Администратор\Local Settings\Temp\ffice.exe
Он был создан 6 июня в 23 часа. Это целый набор программ, добывающих пароли почтовых ящиков и пр.
Он создавал процессы 2m.exe, daleko.exe и др.
Будет детектироваться как Trojan-Dropper.Win32.Delf.bkm.
Меняйте пароли...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 157
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\администратор\\local settings\\temp\\ffice.exe - Trojan-Dropper.Win32.Delf.bkm