Помогите: скрытые и неистребимые вирусы или кривые руки?

[Simbaka]

Доброе время суток,

несколько слов о системе: WinXP SP3, стоят avast! и Spyware Terminator

Был странный вирус, который создавал в папке windows\system32\ различные файлы типа XX.scr (скринсэйверы), где ХХ - произвольные цифры.
Аваст эти файлы удалял только при загрузочной проверке (логи есть), Терминатор ругался, когда они пытались запуститься. Проверил комп при помощи avz4 - он определил как вирусы примерно половину из них и поместил в карантин. Проверил в безопасном режиме при помощи AVPTool - он определил как вирусы и удалил все оставшиеся файлы XX.scr.

Одновременно с этим Аваст периодически удаляет странные файлы, находящиеся по пути Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5, AVPTool так же удалил несколько файлов по тому же пути.

После этого я вновь проверил систему при помощи avz4 и HiJack, никаких особых нареканий не получил (логи сохранились) и успокоился.

Как оказалось - зря. Спустя примерно неделю после прекрасной работы системы однажды утром отказался работать интернет (непрерывный беспарольный доступ по схеме коаксил-модем-USB). После длительных проверок и разбирательств оказалось, что в диспетчере устройств у меня продублирован и модем, и встроенная в материнку сетевая плата, вызывающая конфликт оборудования. При попытке удалить дубликат выдавалось сообщение из серии "невозможно: оборудование необходимо для загрузки!".

В итоге сегодня был отформатирован жёсткий диск и переустановлен WinXP, плюс некоторые программы, включая Office, Torrent, FireFox и avast!

Однако, почти сразу же после загрузки и обновления баз Аваст! произошло ровно то же самое: дублирование модема и исчезновение интернета.
При этом аваст сразу же предложил отправить в карантин четыре странных файла:
"C:\WINDOWS\System32\Drivers\bcsjcmmb.sys"
"C:\WINDOWS\system32\drivers\ndisvvan.sys"
"C:\Documents and Settings\Admin\kpfm.exe"
"C:\WINDOWS\System32\Drivers\lmdzwast.sys"

При проверке avz4 (логи приложены) так же определил kpfm.exe как вирус, плюс ему не понравились следующие процессы:
C:\WINDOWS\iexplorer7.exe
C:\WINDOWS\system32\ctfmon.exe

Плюс то, что беспокоит меня больше всего -
>>> Обратите внимание - нестандартный диспетчер задач "C:\RECYCLER\S-1-5-21-9144308407-2697480220-039855389-3914\mwau.exe"
Подмена диспетчера задач

причём этот странный файл из корзины не удаляется никакими известными мне способами

Собственно, вопрос: что же это такое, и что с этим делать?
Win ставился на свежеотформатированный Acronis-ом диск, причём та же копия операционки без нареканий работает на нескольких других компьютерах.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\documents and settings\admin\kpfm.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-9144308407-2697480220-039855389-3914\mwau.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\lmdzwast.sys','');
 DeleteService('lmdzwast');
 QuarantineFile('C:\WINDOWS\System32\Drivers\bcsjcmmb.sys','');
 DeleteService('bcsjcmmb');
 TerminateProcessByName('c:\windows\iexplorer7.exe');
 QuarantineFile('c:\windows\iexplorer7.exe','');
 DeleteFile('c:\windows\iexplorer7.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\bcsjcmmb.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\lmdzwast.sys');
 DeleteFile('C:\RECYCLER\S-1-5-21-9144308407-2697480220-039855389-3914\mwau.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 DeleteFile('c:\documents and settings\admin\kpfm.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Файлы типа файлы типа XX.scr (если найдутся), удалите вручную

Обновите базы AVZ
Сделайте новые логи

[Simbaka]

Карантин отправлен, в папке windows\system32\ два свежих файла - 00.scr и 74.scr, удалены вручную.

при проверке подозрения у avz4 вызывают те же оставшиеся процессы -
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\iexplorer7.exe

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DeleteFile('C:\RECYCLER\S-1-5-21-7340059250-9414462033-472810202-6730\mwau.exe');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\229.exe','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\229.exe');
 QuarantineFile('c:\windows\system32\winpsvc.exe','');
 TerminateProcessByName('c:\windows\iexplorer7.exe');
 DeleteFile('c:\windows\iexplorer7.exe');
 DeleteFile('c:\windows\system32\winpsvc.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Simbaka]

карантин выслал, логи приложены

avz ругается на
C:\WINDOWS\innounp.exe - Подозрение на Virus.Win32.PE_Type1(степень опасности 75%)

и на
C:\WINDOWS\system32\ctfmon.exe
второй вряд ли вирус - размер файла 30208 Кб, находится в "правильном" месте, предоставляемая им функция запланирована и работает.

[Simbaka]

Только что попытался удалить реальную, не созданную вирусом fake-сетевую плату, аваст! сразу сказал:
Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\system32\DRIVERS\ndisvvan.sys

отправил файл в карантин, удалилась и настоящая, и fake-сетевая плата
то же самое произошло с кабельным модемом (удалился настоящий и fake), модем получилось переустановить заново
в диспетчере устройств осталось только непонятное
Минипорт WAN (IP)

как я понимаю, это третий файл из папки /drivers, указанный в первом посте

как "вылечить" диспетчер задач - сделать так, чтобы он показывал только два реальных устройства, сетевую плату и кабельный модем? Как удалить фальшивую вторую сетевую, фальшивый второй модем (отмечены жёлтым восклицательным знаком и сообщают, что им не нужны драйвера) и этот непонятный минипорт?

[Simbaka]

И ещё два момента:

Сетевой экран аваст! стал блокировать сетевые атаки DCCOM-exploit - к сожалению, пока не записал, с какого адреса, но за три часа уже раз 5 подобное было

И другое - svchost.exe стала выдавать неизвестную ошибку, скрин - в приложенном файле
При нажатии на кнопку "Ок" Windows "подвисает" в области панели задач и начинает жутко тормозить, при нажатии на "Отмена" всё возвращается к работе.

Печально то, что всё это на недавно переустановленной с чистого винта Винде...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 20
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\admin\kpfm.exe - Trojan.Win32.Agent.cwsg ( DrWEB: Trojan.Packed.154, BitDefender: Trojan.Generic.2421994, AVAST4: Win32:Rootkit-gen [Rtk] )
  2. c:\recycler\s-1-5-21-9144308407-2697480220-039855389-3914\mwau.exe - Trojan.Win32.Inject.ajfn ( DrWEB: Trojan.Packed.154, BitDefender: Worm.Generic.89330, NOD32: Win32/Peerfrag.DY worm, AVAST4: Win32:Trojan-gen )
  3. c:\windows\iexplorer7.exe - Trojan.Win32.Buzus.camn ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: Trojan.Generic.2477453 )
  4. c:\windows\system32\drivers\bcsjcmmb.sys - Rootkit.Win32.Pakes.tx ( DrWEB: Trojan.NtRootKit.2682, BitDefender: Backdoor.Rootkit.X, NOD32: Win32/Agent.NWF trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
  5. c:\windows\system32\drivers\lmdzwast.sys - Rootkit.Win32.Pakes.tx ( DrWEB: Trojan.NtRootKit.2682, BitDefender: Backdoor.Rootkit.X, NOD32: Win32/Agent.NWF trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
  6. c:\windows\system32\winpsvc.exe - Trojan.Win32.Refroso.kqt ( DrWEB: BackDoor.IRC.Letmein.13, BitDefender: Application.Generic.233959, NOD32: Win32/Agent.QDP trojan, AVAST4: Win32:Refroso-D [Trj] )